SOU 2017:49

EU:s dataskyddsförordning och utbildningsområdet

Till statsrådet och chefen för Utbildningsdepartementet

Regeringen beslutade den 30 juni 2016 att tillkalla en särskild utredare med uppdrag att föreslå kompletterande regleringar för behandling av personuppgifter inom utbildningsområdet, med undantag för forskningsverksamhet (dir. 2016:63).

Till särskild utredare förordnades samma dag chefsjuristen vid Pensionsmyndigheten Mikael Westberg.

Som sakkunnig i utredningen förordnades den 26 september 2016 kanslirådet vid Utbildningsdepartementet Tyri Öhman.

Som experter att biträda utredningen förordnades den 26 september 2016 ämnesrådet vid Utbildningsdepartementet Anna Barklund, juristen vid Myndigheten för yrkeshögskolan Anna Berg, enhetschefen vid Luleå tekniska universitet Jenny Blom, departementssekreteraren vid Utbildningsdepartementet Andreas Bokerud, förbundsjuristen vid Friskolornas riksförbund Mariette Dennholt, chefsjuristen vid Specialpedagogiska skolmyndigheten Ulrika Ehlin, departementssekreteraren vid Utbildningsdepartementet Hedvig Feltelius, juristen vid Statens skolverk Anna Grebäck, juristen vid Datainspektionen Ulrika Harnesk, chefsjuristen vid Universitets- och högskolerådet Drazenko Jozic, verksjuristen vid Centrala studiestödsnämnden Johan Lindeberg, förbundsjuristen vid Sveriges Kommuner och Landsting Kristina Söderberg och handläggaren vid Folkbildningsrådet Tomas Östlund.

Andreas Bokerud entledigades från sitt uppdrag den 24 januari 2017 och departementssekreteraren vid Utbildningsdepartementet Per Anders Nilsson Strandberg utsågs samma dag i hans ställe.

Som sekreterare anställdes den 1 juli 2016 juristen vid Pensionsmyndigheten Anne-Therése Byström, numera Zetterström, och den 24 augusti 2016 kammarrättsassessorn Tommy Fraenkel.

Utredningen, som har tagit sig namnet Utbildningsdatautredningen, överlämnar härmed betänkandet EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49).

Till betänkandet har fogats ett särskilt yttrande av experten Ulrika Harnesk.

Uppdraget är härmed slutfört.

Stockholm i juni 2017

Mikael Westberg

/ Anne-Therése Zetterström

Tommy Fraenkel

Förkortningar

Artikel 29-gruppen Artikel 29-arbetsgruppen för skydd av personuppgifter

BEDA nationell databas för betygsuppgifter från gymnasieskolan och kommunal vuxenutbildning på gymnasial nivå

CSN Centrala studiestödsnämnden

dataskyddsdirektivet Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter

dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

dataskyddslagen Dataskyddsutredningens förslag till lag (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning

DIFS Datainspektionens författningssamling

dir. direktiv

EES Europeiska ekonomiska samarbetsområdet

EU Europeiska unionen

EU-domstolen Europeiska unionens domstol/ Europeiska gemenskapernas domstol

f. följande sida/sidor

FBR Folkbildningsrådet

kommissionen Europeiska kommissionen

MYH Myndigheten för yrkeshögskolan

MYHFS Myndigheten för yrkeshögskolans författningssamling

OSL offentlighets- och sekretesslagen (2009:400)

prop. regeringens proposition

PUF personuppgiftsförordningen (1998:1191)

PUL personuppgiftslagen (1998:204)

SCB Statistiska centralbyrån

SiS Statens institutionsstyrelse

SKOLFS Skolverkets författningssamling

Skolinspektionen Statens skolinspektion

Skolverket Statens skolverk

SOU Statens offentliga utredningar

UHR Universitets- och högskolerådet

UHRFS Universitets- och högskolerådets författningssamling

UKÄ Universitetskanslersämbetet

VHS Verket för högskoleservice

Sammanfattning

Utredningens uppdrag

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Utredningen har i detta betänkande valt att benämna den nya rättsakten dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna och ska börja tillämpas den 25 maj 2018. Genom dataskyddsförordningen upphävs Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet), vilket innebär att personuppgiftslagen (1998:204, PUL) måste upphävas.

En särskild utredare fick den 25 februari 2016 regeringens uppdrag att lämna förslag till upphävande av den nuvarande generella personuppgiftsregleringen (dir. 2016:15). Utredningen, som tog sig namnet Dataskyddsutredningen (Ju 2016:04), fick även i uppdrag att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter. I Dataskyddsutredningens uppdrag ingick också bl.a. att överväga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter som bör finnas i den generella regleringen. I Dataskyddsutredningens uppdrag ingick dock inte att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som finns i bl.a. särskilda registerförfattningar.

Utredningen har fått i uppdrag att föreslå kompletterande regleringar för behandling av personuppgifter inom utbildningsområdet,

med undantag för forskningsverksamhet. Syftet är att regleringen ska möjliggöra en ändamålsenlig behandling av personuppgifter inom utbildningsområdet samtidigt som den ska skydda den enskildes fri- och rättigheter.

I utredningens uppdrag ingår att undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom utbildningsområdet som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå.

Uppdraget omfattar även att analysera om det utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå finns ett behov av kompletterande regleringar för behandling av känsliga personuppgifter inom utbildningsområdet.

I utredningens uppdrag ingår vidare att se över vilka anpassningar av studiestödsdatalagen (2009:287), studiestödsdataförordningen (2009:321), förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor, förordningen (2011:268) om lärar- och förskollärarregister och förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar som behövs med anledning av dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag som utredningen kan komma att lämna.

Slutligen ingår det även i utredningens uppdrag att analysera om det behövs något författningsstöd – utöver dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredningen kan komma att lämna – för att personuppgifter även fortsättningsvis ska kunna behandlas i betygsdatabasen BEDA, i de register som Myndigheten för yrkeshögskolan (MYH) svarar för samt i registret över deltagare i studiecirklar och annan folkbildningsverksamhet hos studieförbunden.

Skollagsreglerad utbildningsverksamhet

Utredningen bedömer att det för huvudmän inom skolväsendet och aktörer enligt 24 och 25 kap. skollagen (2010:800) finns en i svensk rätt fastställd uppgift av allmänt intresse att tillhandahålla, anordna och bedriva utbildning och annan pedagogisk verksamhet. Även en

kommuns åligganden enligt skollagen är en i svensk rätt fastställd uppgift av allmänt intresse. För sådan personuppgiftsbehandling som är nödvändig för utförandet av dessa uppgifter är den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen tillämplig. Därutöver kan dessa organ i viss utsträckning samtidigt använda sig av de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och andra ledet i 6.1 e (myndighetsutövning). Dessa kan även i viss utsträckning använda sig av samtycke som rättslig grund (artikel 6.1 a). Vidare kan enskilda huvudmän även tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning).

Beträffande behandling av känsliga personuppgifter bedömer utredningen att kommuner, landsting och staten, även som huvudmän inom skolväsendet, kan finna stöd för viss sådan behandling i Dataskyddsutredningens förslag till bestämmelser i 3 kap. 3 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Enligt utredningens bedömning har enskilda huvudmän – när de anordnar utbildning enligt skollagen – samma behov av att kunna behandla känsliga personuppgifter som offentliga huvudmän. De enskilda huvudmännen kan dock inte grunda sådan behandling i dataskyddslagen annat än i den mån offentlighetsprincipen och sekretesslagstiftningen enligt författning gäller i ett organs verksamhet. I dessa fall möjliggör 3 kap. 3 § 2 dataskyddslagen sådan behandling av känsliga personuppgifter som är oundviklig i organets verksamhet som en direkt följd av bland annat tryckfrihetsförordningens och offentlighets- och sekretesslagens (2009:400) bestämmelser om allmänna handlingar och diarieföring.

Vissa skolformer och anordnare av vissa utbildningar har dessutom ett behov av att kunna behandla känsliga personuppgifter mer systematiskt, bl.a. grundsärskolan och sameskolan, som det inte finns stöd för i dataskyddslagen. Detsamma gäller för kommunerna när de ska utföra vissa uppgifter som de är ålagda enligt skollagen.

Utredningen bedömer därför att det finns behov av att möjliggöra sådan behandling. För tydlighets skull föreslår utredningen att det i ett nytt 28 a kapitel i skollagen ska införas bl.a. motsvarande bestämmelser som Dataskyddsutredningen föreslår i 3 kap. 3 och 4 §§ dataskyddslagen. Kapitlet ska tillämpas vid den personuppgiftsbehandling som både offentliga och enskilda huvudmän, hemkommunen och aktörer enligt 24 och 25 kap. skollagen utför.

Vidare föreslås att huvudmän för vissa skolformer, bl.a. grundsärskolan och specialskolan, och för vissa utbildningar, bl.a. Rh-anpassad utbildning och fristående grundskola som begränsats till att avse elever som är i behov av särskilt stöd, under vissa förutsättningar får behandla uppgifter om hälsa. Sameskolan föreslås få behandla uppgifter om etniskt ursprung under vissa förutsättningar.

Hemkommunen föreslås få behandla uppgifter om hälsa i vissa fall och uppgift om hälsa och etniskt ursprung när det är nödvändigt för att fullgöra skyldighet enligt 7 kap. 21 § skollagen.

För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen föreslår utredningen att det ska införas bestämmelser om förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. Huvudmän för de skolformer och utbildningar som föreslås få behandla uppgifter om hälsa respektive etniskt ursprung under vissa förutsättningar undantas dock från förbudet för just sökbegrepp som avslöjar hälsa respektive etniskt ursprung. Detsamma gäller för hemkommunen i de fall den getts särskild möjlighet att behandla vissa känsliga personuppgifter. Regeringen föreslås få meddela föreskrifter om begränsningar av möjligheten att använda de sökbegrepp som tillåts.

Vidare föreslås regeringen få meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt skollagen eller föreskrifter som har meddelats med stöd av skollagen.

Förslaget till dataskyddslag innehåller en upplysningsbestämmelse som tydliggör att förbudet i artikel 10 mot behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel inte gäller för myndigheter. Utredningen bedömer att i förskolor, skolor och vuxenutbildningsenheter vars huvudmän är staten, en kommun eller ett landsting kommer personuppgifter som rör fällande domar i brottmål och liknande i de enskilda fall sådan behandling bedöms nödvändig kunna behandlas med stöd av dataskyddsförordningen.

Utredningen bedömer att det för fristående skolor finns skäl att möjliggöra behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel i elevhälsan i löpande text om det är absolut nöd-

vändigt för ändamålet med behandlingen och i skriftlig dokumentation som ska föras enligt 5 kap. 24 § skollagen om det är absolut nödvändigt för ändamålet med behandlingen.

Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för huvudmän inom skolväsendet, hemkommunen och aktörer enligt 24 och 25 kap. skollagen kan ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser att det enligt bestämmelserna i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2 regeringsformen inte krävs en särskild lag för den personuppgiftsbehandling som utförs av huvudmännen inom skolväsendet. Utredningen anser att det inte heller finns något annat skäl för ytterligare reglering än den som utredningen föreslår.

Utredningen anser att goda skäl talar för att det ska tas fram en uppförandekod för skolväsendets personuppgiftsbehandling. Utredningen föreslår därför att regeringen ger lämplig myndighet i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet.

Universitets- och högskolesektorn

Behov av reglering

Utredningen bedömer att det för statliga högskolor och enskilda utbildningsanordnare med examenstillstånd enligt lagen (1993:792) om tillstånd att utfärda vissa examina finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva högskoleutbildning. För sådan personuppgiftsbehandling som är nödvändig för utförandet av denna uppgift är den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen tillämplig. Därutöver kan lärosätena i viss utsträckning samtidigt använda sig av de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och andra ledet i 6.1 e (myndighetsutövning). Lärosätena kan i viss utsträckning även använda sig av samtycke som rättslig grund (artikel 6.1 a). Enskilda utbildningsanordnare kan dessutom tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning).

Beträffande behandling av känsliga personuppgifter bedömer utredningen att statliga högskolor kan finna stöd för sådan behand-

ling i Dataskyddsutredningens förslag till bestämmelser i 3 kap. 3 § dataskyddslagen. Dataskyddsutredningens förslag, med undantag för behandling av känsliga personuppgifter med anledning av offentlighetsprincipen, gäller endast för myndigheter. Eftersom utredningen bedömer att enskilda utbildningsanordnare har samma behov som statliga högskolor att behandla känsliga personuppgifter föreslår utredningen att det i lagen om tillstånd att utfärda vissa examina ska införas bestämmelser med motsvarande innebörd som de som Dataskyddsutredningen föreslår.

Vidare bedömer utredningen att enskilda utbildningsanordnare, i ärenden om avskiljande av studenter från utbildning, har samma behov som statliga högskolor att behandla personuppgifter som rör fällande domar i brottmål. Utredningen föreslår därför en bestämmelse som möjliggör sådan behandling, eftersom dataskyddsförordningen och dataskyddslagen endast medger att statliga högskolor behandlar sådana uppgifter.

För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen föreslår utredningen att det ska införas en bestämmelse om förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.

Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för lärosätenas del kan ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser inte att det enligt bestämmelserna i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2 regeringsformen krävs en särskild lag för statliga högskolors personuppgiftsbehandling. Utredningen anser att det inte heller finns något annat skäl för ytterligare reglering än den som utredningen föreslår.

Förordningen om redovisning av studier m.m. vid universitet och högskolor

Utredningen bedömer att bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor utgör i enlighet med artikel 6.1 c i dataskyddsförordningen fastställda rättsliga för-

pliktelser för statliga högskolor att föra ett studieregister och för Statistiska centralbyrån att föra ett universitets- och högskoleregister samt ett register för sammanställning av statistik över högskolornas personal. Förandet av nämnda register är dessutom fastställda uppgifter av allmänt intresse i enlighet med första ledet i artikel 6.1 e. För Universitets- och högskolerådets (UHR) del finns det genom bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor en fastställd uppgift av allmänt intresse att föra ett antagningsregister.

Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 c och e. Förordningen om redovisning av studier m.m. vid universitet och högskolor är därmed i sig förenlig med dataskyddsförordningen.

För att anpassa förordningens bestämmelser till dataskyddsförordningen föreslår utredningen att hänvisningen till personuppgiftslagen i 1 kap. 1 § andra stycket ska utgå och ersättas med nya bestämmelser i en ny paragraf. I den nya paragrafen, 1 a §, ska det upplysas om att förordningen kompletterar dataskyddsförordningen. Därtill ska förhållandet till dataskyddslagen regleras. Utredningen föreslår vidare att bestämmelserna om information, rättelse och skadestånd samt intern kontroll över studieregistret som finns i 1 kap. 4 och 5 §§ samt 2 kap. 1 § tredje stycket ska upphävas, eftersom det finns direkt tillämpliga bestämmelser i dataskyddsförordningen med motsvarande innehåll. Bestämmelsen om överklagande i 1 kap. 6 § föreslår utredningen också ska upphävas, eftersom det finns bestämmelser om överklagande i dataskyddslagen. Avslutningsvis föreslår utredningen att hänvisningarna till 13 § PUL, som finns i 2 kap. 5 a § och 4 kap. 3 §, ska ändras på så sätt att de hänvisar till artikel 9.1 i dataskyddsförordningen i stället. I artikel 9.1 finns motsvarande förbud mot behandling av känsliga personuppgifter som finns i 13 § PUL.

Utredningen lyfter även fram att den tekniska utvecklingen och den praktiska hanteringen av personuppgifter när det gäller redovisning m.m. vid universitet och högskolor har gjort att det finns ett behov av en omfattande översyn av förordningen. En sådan översyn som utredningen bedömer är påkallad krävs dock inte för att anpassa

förordningen till dataskyddsförordningen och den reglering som Dataskyddsutredningen har föreslagit. Utredningen lämnar därför inga förslag i dessa delar.

Yrkeshögskolan och andra eftergymnasiala utbildningar

Behov av reglering

Utredningen bedömer att det för anordnare av utbildningar inom yrkeshögskolan och sådana utbildningar som avses i förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva sådana utbildningar. För sådan personuppgiftsbehandling som är nödvändig för utförandet av denna uppgift är den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen tillämplig. Därutöver kan utbildningsanordnarna i viss utsträckning samtidigt använda sig av de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och, beträffande utbildningsanordnarna inom yrkeshögskolan, andra ledet i artikel 6.1 e (myndighetsutövning). Utbildningsanordnarna kan i viss utsträckning även använda sig av samtycke som rättslig grund (artikel 6.1 a). Enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan dessutom tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning).

Beträffande behandling av känsliga personuppgifter inom yrkeshögskolan bedömer utredningen att offentliga utbildningsanordnare kan finna stöd för sådan behandling i Dataskyddsutredningens förslag till bestämmelser i 3 kap. 3 § dataskyddslagen. För tydlighets skull föreslår utredningen dock att det i lagen (2009:128) om yrkeshögskolan, som gäller för både offentliga och enskilda utbildningsanordnare, ska införas motsvarande bestämmelser som Dataskyddsutredningen föreslår och att dessa ska gälla för både offentliga och enskilda utbildningsanordnare, eftersom dessa har samma behov av att behandla känsliga personuppgifter. Ett undantag finns dock, enskilda utbildningsanordnare inom yrkeshögskolan omfattas inte av offentlighetsprincipen. Utredningens förslag i denna del omfattar således endast offentliga utbildningsanordnare.

Utredningen föreslår att motsvarande bestämmelser om behandling av känsliga personuppgifter också ska föras in i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. De som anordnar sådana utbildningar har samma behov som anordnare av utbildningar inom yrkeshögskolan att behandla känsliga personuppgifter. Eftersom de som anordnar utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar inte omfattas av offentlighetsprincipen ska det dock inte föras in någon bestämmelse som möjliggör behandling av känsliga personuppgifter som krävs enligt lag.

Vidare bedömer utredningen att det för enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns skäl att möjliggöra behandling av personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande av studerande från utbildning. Utredningen föreslår därför sådana bestämmelser, eftersom dataskyddsförordningen och dataskyddslagen endast medger att offentliga utbildningsanordnare inom yrkeshögskolan behandlar sådana uppgifter.

För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen föreslår utredningen att det i lagen om yrkeshögskolan och förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska införas bestämmelser om förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. Motsvarande sökförbud ska även gälla för personuppgifter som rör fällande domar i brottmål i fråga om enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för utbildningsanordnarnas del kan ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser inte att det enligt bestämmelserna i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2 regeringsformen krävs en särskild lag för den personuppgiftsbehandling som utförs av de offentliga utbildningsanordnarna inom yrkeshögskolan. Utredningen anser att det inte heller

finns något annat skäl för ytterligare reglering än den som utredningen föreslår.

MYH:s register

Utredningen bedömer att det för MYH finns en i svensk rätt fastställd rättslig förpliktelse och uppgift av allmänt intresse att svara för ett register över uppgifter om de studerande i utbildningarna inom yrkeshögskolan och i de utbildningar inom yrkeshögskolan som bedrivs som uppdragsutbildningar. Utredningen bedömer att motsvarande gäller för det register över uppgifter om de studerande i utbildningarna enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar som MYH också ska svara för. MYH kan därmed tillämpa de rättsliga grunderna i artikel 6.1 c och första ledet i artikel 6.1 e i dataskyddsförordningen för sådan personuppgiftsbehandling som är nödvändig vid förandet av registren. Utredningen bedömer att det inte finns något ytterligare regleringsbehov.

Vidare bedömer utredningen att utbildningsanordnarna inom yrkeshögskolan kan tillämpa samma rättsliga grunder när de lämnar uppgifter om de studerande till MYH. Något ytterligare regleringsbehov finns därmed inte heller för deras del.

För att säkerställa att anordnarna av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har en rättslig grund att tillämpa när de ska lämna uppgifter till MYH, föreslår utredningen att MYH ska bemyndigas att meddela föreskrifter om uppgiftslämningen på motsvarande sätt som i 2 kap. 17 § förordningen (2009:130) om yrkeshögskolan.

Folkbildning

Folkhögskolorna

Utredningen bedömer att folkhögskolorna, som stöd för sin personuppgiftsbehandling när dataskyddsförordningen ska börja tillämpas, kan använda främst samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för sin behandling av personuppgifter. Folkhögskolor som anordnar utbildning motsvarande kommunal

vuxenutbildning i svenska för invandrare kan behandla personuppgifter om studerande i den verksamheten även med stöd av första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse. Känsliga personuppgifter kan behandlas med stöd av samtycke enligt artikel 9.2 a.

Utredningen bedömer att nämnda rättsliga grunder är tillräckliga för att nödvändig behandling av personuppgifter inom folkhögskolorna ska kunna ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas. Något behov av ytterligare reglering finns inte.

Studieförbunden

Utredningen bedömer att studieförbunden, som stöd för sin personuppgiftsbehandling när dataskyddsförordningen ska börja tillämpas, kan använda främst samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för sin behandling av personuppgifter. Känsliga personuppgifter kan behandlas med stöd av samtycke enligt artikel 9.2 a.

Utredningen bedömer att den rättsliga grunden samtycke är tillräcklig för att nödvändig behandling av personuppgifter inom studieförbunden ska kunna ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas. Något behov av ytterligare reglering finns inte.

Register över deltagare i studieförbundens verksamhet

Utredningen bedömer att Folkbildningsrådet och studieförbunden kan använda samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för behandling av personuppgifter i Folkbildningsrådets centrala uppgiftssamlingar över deltagare i studiecirkel och annan folkbildningsverksamhet när dataskyddsförordningen ska börja tillämpas. Utredningen anser att varken 2 kap. 6 § andra stycket regeringsformen eller något annat skäl fordrar att det införs någon särskild reglering.

CSN:s studiestödsverksamhet

Utredningen bedömer att Centrala studiestödsnämnden (CSN) har en i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet. Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 e. Studiestödsdatalagen med tillhörande förordning är därmed i sig förenliga med dataskyddsförordningen.

För att anpassa studiestödsdatalagens bestämmelser till dataskyddsförordningen föreslår utredningen att hänvisningen till personuppgiftslagen i 2 § ska ersättas med en upplysningsbestämmelse om dataskyddsförordningen samt, i andra stycket, en reglering om förhållandet till dataskyddslagen. Det nuvarande andra stycket, som reglerar studiestödsdatalagens förhållande till lagen (2001:99) om den officiella statistiken, ska flyttas till ett nytt tredje stycke. Bestämmelserna i 6 och 8 §§, vilka reglerar begränsningar i rätten att behandla personuppgifter respektive användningen av sökbegrepp, föreslår utredningen ska ändras på så sätt att de ska omfatta samtliga kategorier av personuppgifter som räknas upp i artikel 9.1 i dataskyddsförordningen. Bestämmelsen i 7 § tredje stycket om återkallande av samtycke och 15 §, vilken reglerar rättelse och skadestånd, ska upphävas, eftersom det i dessa delar finns direkt tillämpliga bestämmelser i dataskyddsförordningen. Avslutningsvis ska bestämmelserna i 16 § tredje stycket och 16 § studiestödsdataförordningen ändras på så sätt att formuleringen ”historiska, statistiska eller vetenskapliga ändamål” ändras till ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.

Betygsdatabasen BEDA

Utredningen föreslår att UHR:s uppgift att ansvara för en nationell databas för betygsuppgifter från gymnasieskolan och den kommunala vuxenutbildningen på gymnasial nivå, betygsdatabasen BEDA, ska fastställas genom att den förs in i en bestämmelse i förordningen (2012:811) med instruktion för Universitets- och hög-

skolerådet. Såväl ändamålet med registret att användas vid antagning av studenter till studier vid universitet och högskolor som det statistiska ändamål uppgifterna i registret används för ska fastställas i bestämmelsen.

Utredningen bedömer vidare att Statens skolverk (Skolverket) behöver komplettera sina föreskrifter (SKOLFS 2011:142) om uppgiftsinsamling från huvudmännen inom skolväsendet m.m. för att huvudmännen som bedriver kommunal vuxenutbildning på gymnasial nivå ska ha en rättslig grund att tillämpa när de fullgör sin skyldighet att lämna uppgifter om gymnasieexamen genom att lämna uppgifterna till UHR.

Om utredningens förslag genomförs och om Skolverket kompletterar sina föreskrifter bedömer utredningen att ändamålsenliga behandlingar i BEDA, som samtidigt skyddar den enskildes fri- och rättigheter, kan göras även när dataskyddsförordningen ska börja tillämpas. Utredningen anser att det inte finns något ytterligare regleringsbehov med anledning av regeringsformens bestämmelser. Utredningen anser inte heller att det finns anledning att med stöd av artikel 89.2 i dataskyddsförordningen föreskriva om undantag från den registrerades rättigheter som avses i artiklarna 15, 16, 18 och 21, dvs. rätt till information om personuppgifter som behandlas, rätt att få felaktiga personuppgifter rättade, rätt att kräva begränsning av behandling och rätt att göra invändningar mot behandling.

Lärar- och förskollärarregistret

Utredningen bedömer att bestämmelserna i förordningen om lärar- och förskollärarregister utgör i enlighet med artikel 6.1 c i dataskyddsförordningen en fastställd rättslig förpliktelse för Skolverket att föra ett register över legitimerade och tidigare legitimerade lärare och förskollärare. Förandet av registret är dessutom en för Skolverket fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e.

Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 c

och e. Förordningen om lärar- och förskollärarregister är därmed i sig förenlig med dataskyddsförordningen.

För att anpassa förordningens bestämmelser till dataskyddsförordningen föreslår utredningen att hänvisningen till personuppgiftslagen i 2 § ska utgå och ersättas med en upplysning om att förordningen kompletterar dataskyddsförordningen. Därtill ska förhållandet till dataskyddslagen regleras. Utredningen föreslår vidare att det i ett nytt tredje stycke i 6 § ska finnas en hänvisning till artikel 5.1 b i dataskyddsförordningen. Hänvisningen ersätter den nuvarande hänvisningen till finalitetsprincipen i 9 § PUL som finns i 6 § andra stycket. Bestämmelserna om information i 10 § föreslås ändras på så sätt att de endast reglerar den informationsskyldighet som gäller utöver den informationsskyldighet som kommer att gälla enligt dataskyddsförordningen. Slutligen föreslår utredningen att bestämmelserna om rättelse och skadestånd i 11 § ska upphävas, eftersom det finns motsvarande bestämmelser i dataskyddsförordningen som är direkt tillämpliga.

Kommunernas register över ungdomar som de har aktivitetsansvar för

Utredningen bedömer att det i svensk rätt finns en i enlighet med artikel 6.1 c i dataskyddsförordningen fastställd rättslig förpliktelse för kommunerna att föra ett register över de ungdomar som omfattas av kommunens aktivitetsansvar enligt 29 kap. 9 § skollagen. Förandet av registren är dessutom en för kommunerna fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e.

Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 c och e. Förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar är därmed i sig förenlig med dataskyddsförordningen.

För att anpassa förordningens bestämmelser till dataskyddsförordningen föreslår utredningen att hänvisningen till personuppgiftslagen i 2 § ska utgå och ersättas med en upplysning om att förordningen kompletterar dataskyddsförordningen. Därtill ska förhållandet till dataskyddslagen regleras. Vidare föreslår utredningen

att bestämmelsen i 5 § om förbud mot att behandla känsliga personuppgifter ska hänvisa till artikel 9.1 i stället för 13 § PUL. Bestämmelsen i 5 § om förbud mot att behandla uppgifter om lagöverträdelser m.m. ska ändras så att den när dataskyddsförordningen och dataskyddslagen ska börja tillämpas kommer att ha samma materiella innebörd som i dagsläget. Slutligen föreslår utredningen att bestämmelserna om rättelse och skadestånd i 6 § ska upphävas, eftersom det finns motsvarande bestämmelser i dataskyddsförordningen som är direkt tillämpliga.

Övriga myndigheter med anknytning till utbildningsområdet

Direktiven anger inte att det ska göras en analys av om det behöver införas kompletterande regleringar för personuppgiftsbehandlingen hos sådana myndigheter vars verksamhet anknyter till utbildningsområdet t.ex. Statens skolinspektion, Skolverket och UHR. Enligt utredningens uppfattning omfattas därför inte den personuppgiftsbehandling som sker vid dessa myndigheter av utredningens uppdrag, annat än i de fall det särskilt har angivits att utredningen ska analysera behovet av reglering av särskilda register som förs av en myndighet eller behovet av anpassningar av författningar som styr en myndighets personuppgiftsbehandling.

Då det finns ett intresse av vägledning har utredningen dock funnit anledning att göra en generell och övergripande analys av myndigheternas möjligheter att behandla personuppgifter sett i ljuset av dataskyddsförordningen och den av Dataskyddsutredningen föreslagna dataskyddslagen.

Utredningen bedömer att statliga och kommunala myndigheters verksamhet inom utbildningsområdet i allt väsentligt är en uppgift av allmänt intresse. Denna verksamhet framgår normalt av uppdrag och åligganden i författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser. Uppgiften av allmänt intresse är fastställd genom dessa författningar, beslut och kommunala reglementen. Myndigheterna kan därigenom grunda nödvändig behandling av personuppgifter på första ledet i artikel 6.1 e i dataskyddsförordningen.

Utredningen konstaterar dock att det ankommer på myndigheterna att själva gå igenom all personuppgiftsbehandling som sker

inom myndigheten och säkerställa att den har stöd i och är förenlig med dataskyddsförordningens och dataskyddslagens bestämmelser.

Konsekvenser

Utredningen bedömer att utredningens förslag till regleringar inte kommer att innebära någon kostnadsökning för stat, kommuner, landsting och enskilda huvudmän som tillhandahåller och anordnar utbildningsverksamhet. Vidare bedömer utredningen att förslagen är neutrala rörande integritetsskyddet och att förslagen inte förväntas få några andra konsekvenser.

Ikraftträdande och övergångsbestämmelser

Utredningen föreslår att den nya förordningen – förordningen om sökbegränsningar vid personuppgiftsbehandling i vissa utbildningsformer och i hemkommunen – och ändringsförfattningarna ska träda i kraft den 25 maj 2018.

Vidare föreslår utredningen tre övergångsbestämmelser för studiestödsdatalagen, förordningen om lärar- och förskollärarregister, förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar samt förordningen om redovisning av studier m.m. vid universitet och högskolor. Enligt den första ska äldre föreskrifter fortfarande gälla för ärenden hos Datainspektionen eller aktuell myndighet som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet. Den andra övergångsbestämmelsen ska ange att äldre föreskrifter fortfarande gäller för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet. Enligt den sista övergångsbestämmelsen ska äldre föreskrifter om skadestånd fortfarande gälla för skada som har orsakats före ikraftträdandet.

1. Författningsförslag

1.1. Förslag till lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina

Härigenom föreskrivs att det i lagen (1993:792) om tillstånd att utfärda vissa examina ska införas fyra nya paragrafer, 10–13 §§, av följande lydelse.

10 § Bestämmelserna i 11–13 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid enskilda utbildningsanordnares behandling av personuppgifter, om inte annat följer av 11–13 §§ eller föreskrifter som har meddelats med stöd av lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

11 § Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en enskild utbildningsanordnare

1. i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,

2. om uppgifterna har lämnats till den enskilde utbildningsanordnaren och behandlingen krävs enligt lag, eller

3. i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

12 § Personuppgifter som rör fällande domar i brottmål får behandlas av en enskild utbildningsanordnare i löpande text i ett ärende om avskiljande av student från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära.

13 § Vid behandling enligt 11 och 12 §§ får en enskild utbildningsanordnare inte använda sökbegrepp som avslöjar känsliga personuppgifter eller uppgifter som rör fällande domar i brottmål.

Denna lag träder i kraft den 25 maj 2018.

1.2. Förslag till lag om ändring i lagen (2009:128) om yrkeshögskolan

Härigenom föreskrivs att det i lagen (2009:128) om yrkeshögskolan ska införas sju nya paragrafer, 19 a–19 g §§, samt närmast före 19 a § en ny rubrik av följande lydelse.

Behandling av personuppgifter

19 a § Bestämmelserna i 19 b–19 g §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid utbildningsanordnares behandling av personuppgifter, om inte annat följer av 19 b–19 f §§ eller föreskrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

19 b § Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en utbildningsanordnare i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.

19 c § Statliga universitet och högskolor samt andra statliga myndigheter, kommuner och landsting som anordnar utbildning får med stöd av artikel 9.2 g i dataskyddsförordningen behandla känsliga personuppgifter om uppgifterna har lämnats till universitetet, högskolan, myndigheten, kommunen eller landstinget och behandlingen krävs enligt lag.

19 d § Utöver vad som följer av 19 b och 19 c §§ får känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en utbildningsanordnare i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte

innebär ett otillbörligt intrång i den registrerades personliga integritet.

19 e § Utbildningsanordnare med en enskild fysisk eller juridisk person som huvudman får behandla personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande av studerande från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära.

19 f § Vid behandling enligt 19 b–19 d §§ får en utbildningsanordnare inte använda sökbegrepp som avslöjar känsliga personuppgifter.

Vid behandling enligt 19 e § får en enskild utbildningsanordnare inte använda sökbegrepp som avslöjar personuppgifter som rör fällande domar i brottmål.

19 g § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt denna lag eller föreskrifter som har meddelats med stöd av denna lag.

Denna lag träder i kraft den 25 maj 2018.

1.3. Förslag till lag om ändring i studiestödsdatalagen (2009:287)

Härigenom föreskrivs i fråga om studiestödsdatalagen (2009:287)

dels att 15 § ska upphävas,

dels att rubriken närmast före 15 § ska utgå,

dels att 2, 6–8 och 16 §§ samt rubriken närmast före 2 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till personuppgiftslagen och lagen om den officiella statistiken

Förhållandet till annan dataskyddsreglering

2 §

I den mån personuppgiftslagen (1998:204) innehåller bestämmelser om behandling av personuppgifter som saknar motsvarighet i denna lag, ska personuppgiftslagen tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

Vid Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik ska lagen (2001:99 ) om den offici-

ella statistiken och anslutande författningar tillämpas i stället för denna lag.

6 §

Särskilda begränsningar gäller för behandling av personuppgifter som

1. avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,

2. avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, eller

3. rör hälsa eller sexualliv.

Uppgifter enligt första stycket får behandlas bara för ändamål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket.

Särskilda begränsningar gäller för behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt för behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Särskilda begränsningar gäller även för behandling av personuppgifter som avser lagöverträ-

delser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Uppgifter enligt första och andra stycket får behandlas bara för ändamål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket.

7 §

Trots 4 § första stycket får personuppgifter behandlas i Centrala studiestödsnämndens studiestödsverksamhet med den registrerades samtycke. Uppgifter som avses i 6 § får behandlas för andra ändamål än som anges i paragrafen bara med den registrerades uttryckliga samtycke.

Uppgifter som behandlas med samtycke enligt första stycket får också behandlas enligt 4 § andra stycket.

I de fall då behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet bara är tillåten när den registrerade har lämnat sitt samtycke, har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.

8 §

Som sökbegrepp får inte användas

1. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,

2. uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden,

3. uppgifter som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott, eller

4. uppgift om att det allmänna

2. genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning,

3. uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden,

4. uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott, eller

5. uppgift om att det allmänna

helt eller till en väsentlig del bekostat en persons uppehälle.

helt eller till en väsentlig del bekostat en persons uppehälle.

Vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sökbegrepp som anges i första stycket användas. Som sökbegrepp får också användas uppgifter som rör

1. hälsa för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och

2. inkomst och förmögenhet för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.

16 §

Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.

Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Centrala studiestödsnämnden får också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Centrala studiestödsnämnden får också, trots första

ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.

stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.

1. Denna lag träder i kraft den 25 maj 2018.

2. Äldre föreskrifter gäller fortfarande för ärenden hos Datainspektionen eller Centrala studiestödsnämnden som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.

3. Äldre föreskrifter gäller fortfarande för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.

4. Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.

1.4. Förslag till lag om ändring i skollagen (2010:800)

Härigenom föreskrivs att det i skollagen (2010:800) ska införas ett nytt kapitel, 28 a kap., av följande lydelse.

28 a kap. Behandling av personuppgifter

1 § Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som utförs med stöd av denna lag eller föreskrifter som meddelats med stöd av lagen och de bestämmelser för utbildningen som kan finnas i andra författningar samt beslut som meddelats med stöd av dessa av

1. en huvudman inom skolväsendet enligt 2 kap.,

2. en hemkommun enligt denna lag, eller

3. en aktör enligt 24 och 25 kap.

Förhållandet till annan dataskyddsreglering

2 § Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter, om inte annat följer av bestämmelserna i detta kapitel eller föreskrifter som har meddelats med stöd av 9 § tredje stycket eller 10 § eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

Detta kapitel ska inte tillämpas på vårdgivares behandling av personuppgifter inom hälso- och sjukvården eller Kriminalvårdens verksamhet enligt 24 kap. 10 §.

Känsliga personuppgifter

3 § Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av ett sådant organ som avses i 1 §

1. i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, eller

2. om uppgifterna har lämnats till organet och behandlingen krävs enligt lag.

4 § I grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna får med stöd av artikel 9.2 g i dataskyddsförordningen uppgifter om hälsa behandlas om det är nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Vad som föreskrivs i första stycket gäller även

1. i gymnasieskolan med Rh-anpassad utbildning,

2. i utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning,

3. i fristående förskoleklass som begränsats till att avse elever som är i behov av särskilt stöd för sin utveckling enligt 9 kap. 17 §,

4. i fristående grundskola som begränsats till att avse elever som är i behov av särskilt stöd enligt 10 kap. 35 § 2, och

5. i fristående gymnasieskola som begränsats till att avse elever som är i behov av särskilt stöd enligt 15 kap. 33 § 1.

5 § I sameskolan får med stöd av artikel 9.2 g i dataskyddsförordningen uppgifter om etniskt ursprung behandlas om det är nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

6 § En hemkommun får med stöd av artikel 9.2 g i dataskyddsförordningen behandla uppgifter om hälsa om det är nödvändigt för handläggningen av

1. ett ärende om mottagande i grundsärskolan enligt 7 kap. 5 § andra stycket,

2. ett ärende om en sökande tillhör målgruppen för gymnasiesärskolan enligt 18 kap. 5 §, eller

3. ett ärende om tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd.

För att behandlingen enligt första stycket ska vara tillåten krävs dessutom att den inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

7 § En hemkommun får med stöd av artikel 9.2 g i dataskyddsförordningen behandla uppgifter om etniskt ursprung och hälsa i form av elevens namn, personnummer, samordningsnummer, adress och vårdnadshavare om det är nödvändigt för att fullgöra skyldigheter enligt 7 kap. 21 §.

8 § Utöver vad som följer av 3–7 §§ får ett organ som avses i 1 § behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

9 § Vid behandling enligt 3–8 §§ får sökbegrepp som avslöjar känsliga personuppgifter inte användas.

Förbudet i första stycket gäller inte användning av sökbegrepp som avslöjar

1. hälsa i de utbildningsformer som anges i 4 §,

2. etniskt ursprung i sameskolan som anges i 5 §,

3. hälsa i hemkommunen i ärenden som anges i 6 §, och

4. hälsa eller etniskt ursprung i form av namn, personnummer, samordningsnummer och adress i hemkommunen som anges i 7 §.

Regeringen får meddela föreskrifter om begränsningar av möjligheten att använda de sökbegrepp som anges i andra stycket.

10 § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt denna lag eller föreskrifter som har meddelats med stöd av denna lag.

Personuppgifter som rör lagöverträdelser

11 § Fristående skolor får behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel

1. i elevhälsan i löpande text om det är absolut nödvändigt för ändamålet med behandlingen, och

2. i skriftlig dokumentation som ska föras enligt 5 kap. 24 § om det är absolut nödvändigt för ändamålet med behandlingen.

Denna lag träder i kraft den 25 maj 2018.

1.5. Förslag till förordning om sökbegränsningar vid personuppgiftsbehandling i vissa utbildningsformer och i hemkommunen

Härigenom föreskrivs följande.

1 § I denna förordning finns kompletterande bestämmelser till 28 a kap. 9 § skollagen (2010:800).

2 § Vid personuppgiftsbehandling i de utbildningsformer som anges i 28 a kap.4 och 5 §§skollagen (2010:800) får endast följande sökbegrepp användas

1. namn,

2. personnummer, samordningsnummer eller födelsedatum,

3. klassbeteckning,

4. skolenhet, och

5. hemkommun.

3 § Vid personuppgiftsbehandling som sker med stöd av 28 a kap. 6 § skollagen (2010:800) i hemkommunen får endast följande sökbegrepp användas

1. elevens namn,

2. personnummer, samordningsnummer eller födelsedatum,

3. adress,

4. skolenhet, och

5. diarienummer.

Denna förordning träder i kraft den 25 maj 2018.

1.6. Förslag till förordning om ändring i förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor

Härigenom föreskrivs i fråga om förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor

dels att 1 kap. 4–6 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 1 kap. 1, 4, 5 och 6 §§ ska utgå,

dels att 1 kap. 1 §, 2 kap. 1 och 5 a §§ samt 4 kap. 3 § ska ha följande lydelse,

dels att det i förordningen ska införas en ny paragraf, 1 kap. 1 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

1 §1

I denna förordning finns det bestämmelser om

1. registrering av uppgifter om studier inom utbildning på grundnivå, avancerad nivå och forskarnivå vid statliga universitet och högskolor (2 kap.),

2. rapportering av uppgifter till Statistiska centralbyrån (SCB) om studenter för officiell statistik (3 kap.),

3. framställning av personalstatistik vid SCB (3 kap.), och

4. registrering av uppgifter om studie- och yrkesmeriter vid Universitets- och högskolerådet (4 kap.).

Denna förordning gäller utöver personuppgiftslagen (1998:204) vid helt eller delvis automatiserad behandling av personuppgifter.

Denna förordning gäller vid helt eller delvis automatiserad behandling av personuppgifter.

Ett universitet, en högskola, SCB och Universitets- och högskolerådet är personuppgiftsansvariga för behandling av personuppgifter i sin verksamhet.

1 Senaste lydelse 2012:713.

1 a §

Denna förordning kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna förordning, om inte annat följer av denna förordning eller föreskrifter som har meddelats med stöd av lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

2 kap.

1 §2

Varje högskola ska dokumentera uppgifter om studenter. Varje högskola ska föra ett studieregister och där ange uppgifterna individuellt för varje student. Registret får föras med hjälp av automatiserad behandling.

En högskola ska upprätthålla en god intern kontroll över registret, och det ska finnas en beskrivning av hur registret förs.

Om en högskola avser att införa ett nytt system för att föra registret eller göra väsentliga förändringar i ett befintligt system, ska högskolan samråda dels med Ekonomistyrningsverket i syfte att säkerställa att de uppgifter i registret som ligger till grund för resurs-

2 Senaste lydelse 2012:713.

tilldelningen blir tillförlitliga, dels med Universitetskanslersämbetet och Universitets- och högskolerådet i syfte att säkerställa att uppgifterna i registret uppfyller krav på kvalitet och jämförbarhet mellan olika högskolor.

5 a §3

En högskola får behandla känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) i antagningsärenden, om den enskilde har lämnat samtycke till detta.

En högskola får behandla känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen i antagningsärenden, om den enskilde har lämnat samtycke till detta.

4 kap.

3 §4

Universitets- och högskolerådet får behandla känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) i antagningsärenden, om den enskilde har lämnat samtycke till det.

Universitets- och högskolerådet får behandla känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen i antagningsärenden, om den enskilde har lämnat samtycke till det.

1. Denna förordning träder i kraft den 25 maj 2018.

2. Äldre föreskrifter gäller fortfarande för ärenden hos Datainspektionen, en högskola, SCB eller Universitets- och högskolerådet som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.

3. Äldre föreskrifter gäller fortfarande för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.

4. Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.

3 Senaste lydelse 2005:665. 4 Senaste lydelse 2012:713.

1.7. Förslag till förordning om ändring i förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar

Härigenom föreskrivs i fråga om förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar

dels att 6 § ska upphöra att gälla,

dels att rubriken närmast före 6 § ska utgå,

dels att 2 och 5 §§, samt rubriken närmast före 2 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till personuppgiftslagen

Förhållandet till annan dataskyddsreglering

2 §5

Personuppgiftslagen (1998:204) gäller vid den behandling av personuppgifter som en kommun vidtar i sin verksamhet enligt 29 kap. 9 § skollagen (2010:800) om inte annat följer av denna förordning.

Denna förordning kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna förordning, om inte annat följer av denna förordning eller föreskrifter som har meddelats

5 Senaste lydelse 2011:530.

med stöd av denna förordning eller med stöd av lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

5 §

Personuppgifter som omfattas av 13 och 21 §§ personupp-giftslagen (1998:204) får inte behandlas.

Personuppgifter som omfattas av artikel 9.1 i dataskyddsförordningen och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte behandlas.

1. Denna förordning träder i kraft den 25 maj 2018.

2. Äldre föreskrifter gäller fortfarande för ärenden hos Datainspektionen eller en kommun som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.

3. Äldre föreskrifter gäller fortfarande för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.

4. Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.

1.8. Förslag till förordning om ändring i studiestödsdataförordningen (2009:321)

Härigenom föreskrivs att 16 § studiestödsdataförordningen (2009:321) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

16 §

Riksarkivet får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål samt för redovisningsändamål, även om föreskrifterna kommer att avvika från bestämmelserna om gallring i 16 § första stycket studiestödsdatalagen (2009:287). Riksarkivet ska inför beslut om att meddela föreskrifter samråda med Datainspektionen.

Riksarkivet får meddela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål samt för redovisningsändamål, även om föreskrifterna kommer att avvika från bestämmelserna om gallring i 16 § första stycket studiestödsdatalagen (2009:287). Riksarkivet ska inför beslut om att meddela föreskrifter samråda med Datainspektionen.

Denna förordning träder i kraft den 25 maj 2018.

1.9. Förslag till förordning om ändring i förordningen (2011:268) om lärar- och förskollärarregister

Härigenom föreskrivs i fråga om förordningen (2011:268) om lärar- och förskollärarregister

dels att 11 § ska upphöra att gälla,

dels att rubriken närmast före 11 § ska utgå,

dels att 2, 6 och 10 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §

Personuppgiftslagen (1998:204) gäller vid behandlingen av personuppgifter i registret om inte annat följer av denna förordning.

Denna förordning kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna förordning, om inte annat följer av denna förordning eller föreskrifter som har meddelats med stöd av lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

6 §6

Personuppgifterna i registret får, utöver det som anges i 5 §, behandlas om det behövs för att

1. handlägga ärenden om legitimation enligt 2 kap. 16 § skollagen (2010:800), enligt föreskrifter som har meddelats med stöd av 2 kap. 16 b § andra stycket skollagen eller enligt 27 kap. 4 § skollagen,

2. lämna uppgifter till utländska myndigheter i enlighet med förordningen (2016:157) om erkännande av yrkeskvalifikationer,

3. utöva tillsyn av skolväsendet och dess personal, och

4. kontrollera identitet och behörighet i samband med tjänstetillsättning av lärare och förskollärare.

Personuppgifterna i registret får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Personuppgifterna i registret får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Att personuppgifter som behandlas för ändamål som anges i första och andra styckena och 5 § även får behandlas för andra ändamål framgår av artikel 5.1 b i dataskyddsförordningen.

10 §

Statens skolverk ska på lämpligt sätt informera den registrerade om registret. Informationen ska ge upplysning om vem som är personuppgiftsansvarig och redovisa ändamålet med registret och vilken typ av uppgifter som registret får innehålla samt ge upplysning om

Statens skolverk ska utöver vad som följer av dataskyddsförordningen informera den registrerade om vilken typ av uppgifter som registret får innehålla och ge upplysning om

6 Senaste lydelse 2016:184.

1. de sekretess- och säkerhetsbestämmelser som gäller för registret,

2. rätten att få information och rättelse enligtpersonuppgiftslagen (1998:204),

3. rätten till skadestånd vid behandling av personuppgifter i strid med denna förordning och personuppgiftslagen,

2. rätten att få information enligt dataskyddsförordningen,

3. rätten till skadestånd vid behandling av personuppgifter i strid med denna förordning och dataskyddsförordningen,

4. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling, och

5. om registreringen är frivillig eller inte.

1. Denna förordning träder i kraft den 25 maj 2018.

2. Äldre föreskrifter gäller fortfarande för ärenden hos Datainspektionen eller Statens skolverk som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.

3. Äldre föreskrifter gäller fortfarande för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.

4. Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.

1.10. Förslag till förordning om ändring i förordningen (2012:811) med instruktion för Universitets- och högskolerådet

Härigenom föreskrivs att det i förordningen (2012:811) med instruktion för Universitets- och högskolerådet ska införas en ny paragraf, 2 a §, av följande lydelse.

2 a § För de ändamål som anges i 2 § första stycket 1 ska myndigheten med hjälp av automatiserad behandling föra ett register över uppgifter om elevers slutbetyg, examensbevis eller motsvarande från gymnasieskolan och den kommunala vuxenutbildningen på gymnasial nivå.

Uppgifterna i registret ska lämnas till statistikansvarig myndighet för skolväsendet eller till den myndighet eller det organ som den statistikansvariga myndigheten bestämmer.

Denna förordning träder i kraft den 25 maj 2018.

1.11. Förslag till förordning om ändring i förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar

Härigenom föreskrivs i fråga om förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar

dels att det ska införas fyra nya paragrafer, 39 a–39 d §§, samt närmast före 39 a § en ny rubrik av följande lydelse,

dels att 40 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Behandling av personuppgifter

39 a §

Bestämmelserna i 39 b–39 d §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid utbildningsanordnares behandling av personuppgifter, om inte annat följer av 39 b–39 d §§ eller föreskrifter som har meddelats med stöd av lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

39 b §

Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en utbildningsanordnare

1. i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, eller

2. i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

39 c §

Personuppgifter som rör fällande domar i brottmål får behandlas av en utbildningsanordnare i löpande text i ett ärende om avskiljande av studerande från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära.

39 d §

Vid behandling enligt 39 b och 39 c §§ får en utbildningsanordnare inte använda sökbegrepp som avslöjar känsliga personuppgifter eller uppgifter som rör fällande domar i brottmål.

40 §

Myndigheten för yrkeshögskolan får meddela föreskrifter om

1. utbildningsplaner och kursplaner,

2. betyg, intyg och utbildningsbevis, och

3. verkställigheten av denna förordning.

2. betyg, intyg och utbildningsbevis,

3. att den ansvariga utbildningsanordnaren ska lämna uppgifter till myndigheten om de studerande och deras studieresultat, betyg, intyg och utbildningsbevis samt på vilket sätt och när uppgifterna ska lämnas, och

4. verkställigheten av denna förordning.

Denna förordning träder i kraft den 25 maj 2018.

2. Utredningens uppdrag och arbete

2.1. Uppdraget

Utredningens uppdrag har varit att för utbildningsområdet, med undantag för forskningsverksamhet, föreslå regleringar för behandling av personuppgifter som ska komplettera dataskyddsförordningen och den generella reglering som Dataskyddsutredningen (Ju 2016:04, dir. 2016:15) haft i uppdrag att föreslå.

I kommittédirektiven anges även att utredningen ska analysera om det utöver dessa regleringar finns behov av kompletterande regleringar för behandling av känsliga personuppgifter inom utbildningsområdet. Utredningen ska också analysera behovet av reglering för vissa särskilt angivna register och vilka ändringar som behöver göras i vissa särskilt angivna författningar.

Den reglering som föreslås ska möjliggöra en ändamålsenlig behandling av personuppgifter inom utbildningsområdet samtidigt som den skyddar den enskildes fri- och rättigheter.

Utredningens direktiv finns i bilaga 1.

2.2. Avgränsning

Utredningens uppdrag har spänt över ett heterogent område – utbildningsområdet såsom det angetts i kommittédirektiven – samtidigt som den i direktiven givna tidsramen måste hållas. För att kunna hålla tidsramen har utredningen ansett det nödvändigt att tolka uppdraget tämligen strikt. Utredningen har därför inte, med något undantag, tagit sig an uppgifter som inte klart framgår av de direktiv som lämnats.

Som angetts ovan har utredningens uppdrag varit att för utbildningsområdet utreda och föreslå de nödvändiga anpassningar av nationell rätt som dataskyddsförordningen och den generella reglering som Dataskyddsutredningen haft i uppdrag att föreslå ger anledning till. Syftet är att utbildningsanordnarna även fortsättningsvis ska kunna utföra nödvändiga behandlingar av personuppgifter om barnen i förskolan, eleverna i t.ex. grundskolan, gymnasieskolan och kommunal vuxenutbildning, studenterna i högskola och universitet, studerande i t.ex. folkhögskola, yrkeshögskola, konst- och kulturutbildningar samt deltagarna i studiecirklar och annan folkbildningsverksamhet. Den personuppgiftsbehandling som behöver vidtas med anledning av att utbildningsanordnaren även är arbetsgivare omfattas inte av direktiven.

Enligt utredningens bedömning omfattas vidare inte heller den personuppgiftsbehandling som sker vid statliga myndigheter vars verksamhet anknyter till utbildningsområdet, t.ex. Statens skolinspektion, Statens skolverk och Universitets- och högskolerådet (UHR), av direktiven, annat än i de fall det särskilt har angivits att utredningen ska analysera behovet av reglering av särskilda register som förs av en myndighet eller behovet av anpassningar av författningar som styr en myndighets personuppgiftsbehandling. Beträffande dessa aktörers personuppgiftsbehandling har dock utredningen funnit anledning att övergripande analysera deras möjligheter att behandla personuppgifter sett i ljuset av dataskyddsförordningen och den av Dataskyddsutredningen föreslagna lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (se avsnitt 12).

Utredningen har strävat efter att sådan personuppgiftsbehandling som är tillåten i dagsläget i möjligaste mån ska kunna fortsätta. Utredningens arbete har således inte syftat till att vare sig utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring.

Utredningen har inte haft i uppdrag att analysera eller beskriva vilka förändringar som dataskyddsförordningen i sig innebär för utbildningsanordnarnas (personuppgiftsansvarigas) möjligheter att behandla och skyldigheter att skydda personuppgifter. Det har inte heller varit utredningens uppgift att bedöma konsekvenserna av dataskyddsförordningens bestämmelser eller av de förändringar som dessa innebär för utbildningsområdet.

2.3. Utredningsarbetet

Arbetet påbörjades i juli 2016. Som framgår ovan av beskrivningen av utredningens uppdrag har utredningen varit beroende av Dataskyddsutredningens bedömningar och förslag. Något färdigt betänkande från Dataskyddsutredningen har dock inte förelegat i sådan tid under utredningens arbete att det kunnat beaktas. När det i betänkandet hänvisas till Dataskyddsutredningens bedömningar och förslag är det således till de preliminära texter som utredningen getts möjlighet att ta del av och lämna synpunkter på under hand. Utredningsarbetet har annars bedrivits på sedvanligt sätt med regelbundna expertgruppssammanträden. Utredningen har haft fem sammanträden med sakkunnig och experter. Utredningsarbetet har även i övrigt bedrivits i nära samarbete med experterna.

Under hösten 2016 har 13 möten hållits med företrädare för myndigheter och andra organisationer för att inhämta kunskap om den personuppgiftsbehandling som sker inom utbildningsområdet. Enskilda möten har hållits med respektive Datainspektionen, Statens skolinspektion, Folkbildningsrådet, Statens skolverk, Friskolornas riksförbund, Sveriges Kommuner och Landsting, Statistiska centralbyrån (SCB), Myndigheten för yrkeshögskolan, Sameskolstyrelsen, Specialpedagogiska skolmyndigheten och Centrala studiestödsnämnden. Ett gemensamt möte har hållits med företrädare för UHR och Ladokkonsortiet. Vidare har ytterligare ett gemensamt möte med företrädare för UHR, Ladokkonsortiet, Sveriges universitets- och högskoleförbund och Datainspektionen hållits.

Under våren 2017 har ett gemensamt möte med företrädare för UHR och Statens skolverk hållits. Vidare har texter med utredningens bedömningar och förslag beretts med Universitetskanslersämbetet, SCB och Sameskolstyrelsen.

Parallellt med utredningen har ett flertal andra utredningar också haft i uppdrag att anpassa svensk rätt till dataskyddsreformen. Utredningen tog tillsammans med Forskningsdatautredningen (U 2016:04) initiativ till att en informell samordningsgrupp bildades i september 2016. I den informella samordningsgruppen har även bl.a. Dataskyddsutredningen och Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06) ingått. Under utredningstiden har det hållits tio möten i denna samordningsgrupp.

Utredningen har även samrått med Integritetskommittén (Ju 2014:09).

3. Bakgrund

3.1. Dataskydd i allmänhet

I dagens samhälle behandlas stora mängder personuppgifter elektroniskt av både privata och offentliga aktörer. Det är nödvändigt för att företag ska kunna bedriva en konkurrenskraftig affärsverksamhet och för att offentliga organ ska kunna utföra sina uppdrag på ett effektivt och rättssäkert sätt. Denna hantering är dock förenad med påtagliga risker. Om de personuppgifter som samlats in utnyttjas för andra syften än avsett eller annars behandlas på ett otillbörligt sätt, eller om uppgifterna på grund av säkerhetsbrister hamnar i fel händer, kan det leda till allvarlig skada för enskildas personliga integritet. För att skydda enskildas integritet har det därför ansetts finnas ett behov av bestämmelser som begränsar hur, när och varför personuppgifter får behandlas och som reglerar hur otillåten behandling ska förhindras och beivras.

Det finns flera internationella överenskommelser som innehåller reglering till skydd för den personliga integriteten. En kortfattad genomgång av den övergripande rättsliga regleringen till skydd för den personliga integriteten i den mån denna reglering är av relevans med avseende på behandling av personuppgifter finns i Dataskyddsutredningens betänkande Ny dataskyddslag – Kompletterande bestämmelser till EU:s dataskyddsförordning, SOU 2017:39, avsnitt 3.2 Internationella överenskommelser.

3.2. Dataskydd i svensk rätt

3.2.1. Regeringsformen

Grundläggande bestämmelser till skydd för den personliga integriteten finns i regeringsformen. I 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt för bl.a. den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv.

Enligt 2 kap. 6 § andra stycket regeringsformen, som trädde i kraft den 1 januari 2011, är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

Skyddet mot integritetsintrång kan dock enligt 2 kap. 20 § första stycket 2 regeringsformen begränsas genom lag. Det krävs därmed särskilt författningsstöd för åtgärder från det allmännas sida som innefattar betydande intrång i den personliga integriteten, om intrånget sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

I förarbetena till 2 kap. 6 § andra stycket regeringsformen uttalas bl.a. följande (prop. 2009/10:80 s. 250).

Vid bedömning av vilka åtgärder som kan anses utgöra ett ”betydande intrång” ska både åtgärdens omfattning och arten av det intrång åtgärden innebär beaktas. Även åtgärdens ändamål och andra omständigheter kan ha betydelse vid bedömningen. Bestämmelsen omfattar endast sådana intrång som på grund av åtgärdens intensitet eller omfattning eller av hänsyn till uppgifternas integritetskänsliga natur eller andra omständigheter innebär ett betydande ingrepp i den enskildes privata sfär.

3.2.2. Dataskyddsdirektivets genomförande

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av

personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204, PUL). Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgiftslagen kompletteras av bestämmelser i personuppgiftsförordningen (1998:1191). Dataskyddsutredningens betänkande SOU 2017:39 innehåller en utförligare beskrivning av personuppgiftslagen, se avsnitt 3.4.2.

3.3. EU:s dataskyddsförordning

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). I dagligt tal används ofta den vedertagna förkortningen, GDPR. Dataskyddsutredningen har dock valt att i sitt betänkande benämna den nya rättsakten dataskyddsförordningen. Utredningen har därför valt att göra detsamma.

Dataskyddsförordningen kommer från och med den 25 maj 2018 att ersätta det nuvarande dataskyddsdirektivet och utgöra grunden för generell personuppgiftsbehandling inom EU. Enligt artikel 288 andra stycket i Fördraget om Europeiska unionens funktionssätt ska en EU-förordning ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat. Till skillnad från EU-direktiv ska alltså förordningar inte implementeras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmelser. Detta innebär att dataskyddsförordningen är direkt tillämplig.

Även om dataskyddsförordningen är direkt tillämplig i medlemsstaterna, till skillnad från dataskyddsdirektivet, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär. I skäl 8 till förordningen anges också att om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas natio-

nella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av denna förordning i nationell rätt.

Dataskyddsutredningen beskriver i sitt betänkande SOU 2017:39 dataskyddsförordningens syfte, tillämpningsområde och sakliga förändringar med förordningen, se avsnitt 4.2.1–4.2.3.

3.4. Utgångspunkten är Dataskyddsutredningens förslag

Utredningen har fått i uppdrag att undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom utbildningsområdet, med undantag för forskningsverksamhet, som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå. Utredningen har således att utgå från den generella reglering som Dataskyddsutredningen kommer att föreslå och de bedömningar den utredningen gör. Något färdigt betänkande från Dataskyddsutredningen har dock inte förelegat i sådan tid under utredningens arbete att det kunnat beaktas. När det i det följande hänvisas till Dataskyddsutredningens bedömningar och förslag är det således till de preliminära texter som utredningen getts möjlighet att ta del av och lämna synpunkter på under hand.

Här nedan redovisas i korthet relevanta delar av Dataskyddsutredningens förslag till nytt svenskt regelverk för dataskydd.

3.4.1. Dataskyddsutredningens förslag i korthet

Dataskyddsutredningen föreslår att en lag, lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen), med tillhörande förordning, som kompletterar dataskyddsförordningen på ett generellt plan, ska träda i kraft den 25 maj 2018 samtidigt som personuppgiftslagen och personuppgiftsförordningen ska upphävas. Sektorsspecifika författningsbestämmelser om behandling av personuppgifter ska ha företräde framför den nya lagen.

Rättslig grund för behandling av personuppgifter

I artikel 5 i dataskyddsförordningen anges ett antal principer för behandling av personuppgifter, bl.a. att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (5.1 a). Vad som krävs för att en behandling ska vara laglig framgår av artikel 6. Enligt artikel 6.1 är behandling endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes person-

uppgifter behandlas för ett eller flera specifika ändamål.

b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den

registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktel-

se som åvilar den personuppgiftsansvarige.

d) Behandlingen är nödvändig för att skydda intressen som är av

grundläggande betydelse för den registrerade eller för en annan fysisk person.

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt

intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f) Behandlingen är nödvändig för ändamål som rör den person-

uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Artikel 6.1 i dataskyddsförordningen motsvarar i stora drag artikel 7 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 10 § PUL. Den största skillnaden är att det enligt förordningen inte är tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan den personuppgiftsansvariges berättigade intressen och den registrerades rättigheter och intressen (jfr 10 § f PUL). Den möjligheten kvarstår däremot för privata aktörer som behandlar personuppgifter. I andra stycket av artikel 6.1 anges nämligen att led f i första stycket inte ska

gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

Som framgår ovan måste en behandling av personuppgifter vara nödvändig för att den ska vara tillåten enligt artikel 6.1 b–f. I EUdomstolens dom i målet Huber mot Tyskland (mål C-524/06), som rörde tolkningen av nödvändighetsrekvisitet i artikel 7 e i dataskyddsdirektivet, uttalade EU-domstolen att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser. Dataskyddsutredningen anser att domen bör kunna utgöra stöd även vid tolkningen av dataskyddsförordningen. Även om exempelvis en uppgift av allmänt intresse skulle kunna utföras utan behandling av personuppgifter, kan behandlingen alltså ur ett unionsrättsligt perspektiv anses vara nödvändig och därmed tillåten enligt artikel 6, om behandlingen leder till effektivitetsvinster (SOU 2017:39, avsnitt 8.2.2).

Uppräkningen i artikel 6.1 är uttömmande. Om inget av dessa villkor är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling. Den omständigheten att behandlingen är laglig enligt artikel 6.1, dvs. att den är rättsligt grundad, innebär inte att behandling kan ske av vilka uppgifter som helst eller på valfritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen, t.ex. de allmänna principerna i artikel 5.

I utredningens direktiv anges att när dataskyddsförordningen ska börja tillämpas kommer möjliga grunder för behandling av personuppgifter inom utbildningsområdet huvudsakligen att vara att den registrerade har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål (6.1 a) eller att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse (6.1 c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (6.1 e).

Av artikel 6.3 framgår att den grund för behandlingen som avses i 6.1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Dataskyddsutredningen bedömer att med grunden för behandlingen i artikel 6.1 c och e avses den rättsliga förpliktelsen, uppgiften

av allmänt intresse respektive myndighetsutövningen (SOU 2017:39, avsnitt 8.3.1).

Dataskyddsutredningen anser att det i dataskyddslagen ska finnas en bestämmelse som tydliggör att personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som gäller enligt lag eller annan författning eller som följer av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.2).

Vidare föreslås en bestämmelse som tydliggör att personuppgifter får behandlas om behandlingen är nödvändig som ett led i myndighetsutövning som den personuppgiftsansvarige utövar enligt lag eller annan författning (SOU 2017:39, avsnitt 8.3.3).

Slutligen föreslås en bestämmelse som tydliggör att personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.4).

Barns samtycke

I artikel 8 i dataskyddsförordningen finns villkor som gäller barns samtycke till personuppgiftsbehandling vid erbjudande av informationssamhällets tjänster direkt till ett barn. Enligt Dataskyddsutredningen omfattar begreppet informationssamhällets tjänster bl.a. olika sociala medier, t.ex. bloggar, internetforum, webbplatser för videoklipp, chattprogram och sociala nätverk. Även onlinespel och olika applikationer (appar) med spel eller annat innehåll kan omfattas av definitionen (SOU 2017:39, avsnitt 9.4.3).

I artikel 8.1 anges att om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet. Dataskyddsförordningen tillåter att en lägre åldersgräns föreskrivs i medlemsstaternas nationella rätt, dock lägst 13 år. Dataskyddsutredningen föreslår att barn som har fyllt 13 år själva ska kunna samtycka till personuppgiftsbehandling i samband med att informationssamhällets tjänster erbjuds direkt till barn. Om barnet är under 13 år ska

sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet (SOU 2017:39, avsnitt 9.5).

Känsliga personuppgifter

I artikel 9 i dataskyddsförordningen regleras behandling av särskilda kategorier av personuppgifter. Enligt artikel 9.1 ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden. Dataskyddsutredningen anser att begreppet känsliga personuppgifter är ett tydligare begrepp för de uppgifter som omfattas av artikel 9.1 och har, eftersom begreppet även anses inarbetat på EU-nivå, valt att använda det istället (SOU 2017:39, avsnitt 10.2).

I artikel 9.2 finns ett antal undantag från förbudet i artikel 9.1. Vissa av bestämmelserna innehåller hänvisningar till medlemsstaternas nationella rätt och innehåller också krav på någon form av skyddsåtgärder. Enligt Dataskyddsutredningens bedömning innebär kravet på stöd i nationell rätt att vissa av undantagen i sig bör föreskrivas i nationell rätt antingen i generell eller i sektorsspecifik reglering (SOU 2017:39, avsnitt 10.3).

Dataskyddsutredningen föreslår en bestämmelse i dataskyddslagen som möjliggör behandling av känsliga personuppgifter om det är nödvändigt för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten. Uppgifter ska få lämnas ut till tredje part bara om det finns en skyldighet inom arbetsrätten för den personuppgiftsansvarige att göra det eller om den registrerade uttryckligen har samtyckt till utlämnandet (SOU 2017:39, avsnitt 10.5.2).

Dataskyddsutredningen föreslår även bestämmelser med särskilda undantag från förbudet mot behandling av känsliga personuppgifter för myndigheter (SOU 2017:39, avsnitt 10.6.2). Myndigheter ska få behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Vidare ska myndigheter och andra organ som omfattas av

offentlighetsprincipen få behandla känsliga personuppgifter om dessa har lämnats till myndigheten eller organet och behandlingen krävs enligt lag. Dessutom ska myndigheter få behandla känsliga personuppgifter i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Ett förbud för myndigheter att använda sökbegrepp som avslöjar känsliga personuppgifter föreslås, då behandlingen sker enbart med stöd av de nämnda undantagen.

Regeringen föreslås få meddela föreskrifter om ytterligare undantag från förbudet mot behandling av känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse.

Dataskyddsutredningen föreslår även bestämmelser som innebär att känsliga personuppgifter ska få behandlas för sådana ändamål relaterade till hälso- och sjukvård samt social omsorg som avses i dataskyddsförordningen, under förutsättning att förordningens krav på tystnadsplikt är uppfyllt (SOU 2017:39, avsnitt 10.7.2).

Personuppgifter som rör lagöverträdelser

Dataskyddsutredningen föreslår att behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel som huvudregel ska få utföras endast av myndigheter. Vissa bestämmelser som tillåter andra än myndigheter att behandla motsvarande uppgifter ska föras in i den kompletterande förordningen. I den kompletterande förordningen ska även Datainspektionen bemyndigas att meddela ytterligare föreskrifter och besluta om sådana behandlingar (SOU 2017:39, avsnitt 11.4).

Personnummer och samordningsnummer

Uppgifter om personnummer eller samordningsnummer föreslås ska få behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Regeringen ska få meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten (SOU 2017:39, avsnitt 12.4).

Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

Dataskyddsutredningen föreslår med stöd av artikel 23 i dataskyddsförordningen att skyldigheten att ge den registrerade information om och tillgång till de personuppgifter som behandlas inte ska gälla uppgifter som på grund av sekretess eller tystnadsplikt inte får lämnas ut till den registrerade (SOU 2017:39, avsnitt 13.4.1).

Den registrerades rätt att på begäran få information om pågående personuppgiftsbehandling ska inte omfatta uppgifter som behandlas i löpande text som utgör utkast eller minnesanteckning. Undantaget ska dock inte gälla om uppgifterna har lämnats ut till tredje part, om uppgifterna behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål eller, när det gäller utkast, om uppgifterna har behandlats under mer än ett år (SOU 2017:39, avsnitt 13.4.2).

Regeringen ska få meddela föreskrifter om ytterligare undantag från vissa av förordningens skyldigheter och rättigheter (SOU 2017:39, avsnitt 13.4.4).

Dataskyddsutredningen gör bedömningen att rätten att göra invändningar inte bör inskränkas genom ett undantag i dataskyddslagen. Sådana undantag bör i stället övervägas på sektorspecifik nivå, om villkoren för behandling av personuppgifter specificeras genom författning (SOU 2017:39, avsnitt 13.4.3).

Arkivändamål av allmänt intresse

Enligt Dataskyddsutredningens bedömning har myndigheter och andra organ som omfattas av arkivlagstiftningen redan enligt gällande rätt rättslig grund för behandling av personuppgifter för arkivändamål av allmänt intresse. Vidarebehandling av personuppgifter för arkivändamål av allmänt intresse ska enligt dataskyddsförordningen inte anses vara oförenlig med de ursprungliga ändamålen. Någon rättslig grund behöver inte fastställas för sådan vidarebehandling (SOU 2017:39, avsnitt 14.4.2).

Dataskyddsutredningen föreslår att känsliga personuppgifter och uppgifter om lagöverträdelser ska få behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv (SOU 2017:39, avsnitt 14.4.3).

Vidare föreslås att personuppgifter som behandlas enbart för arkivändamål av allmänt intresse inte ska få användas för att vidta åtgärder i fråga om den registrerade annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning ska inte hindra en myndighet från att använda personuppgifter som finns i allmänna handlingar (SOU 2017:39, avsnitt 14.4.4).

Vidare föreslås undantag från vissa av den registrerades rättigheter (SOU 2017:39, avsnitt 14.4.5).

Slutligen föreslås att bestämmelserna i dataskyddslagen om behandling av personuppgifter för arkivändamål av allmänt intresse i tillämpliga delar också ska gälla andra organ än myndigheter, i den mån organets verksamhet omfattas av offentlighetsprincipen och sekretesslagstiftningen (SOU 2017:39, avsnitt 14.4.6).

Statistiska ändamål

Den officiella statistiken och annan reglerad statistik framställs av särskilt utpekade myndigheter, som genom författning har tilldelats en uppgift av allmänt intresse. Personuppgifter kan enligt Dataskyddsutredningens bedömning samlas in och i övrigt behandlas för detta ändamål, utan samtycke från de registrerade, med stöd av artikel 6.1 e i dataskyddsförordningen (SOU 2017:39, avsnitt 14.5.2).

Dataskyddsutredningen föreslår en bestämmelse i dataskyddslagen som möjliggör behandling av känsliga personuppgifter för statistiska ändamål om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära (SOU 2017:39, avsnitt 14.5.3).

Vidare föreslås att personuppgifter som enbart behandlas för statistiska ändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen (SOU 2017:39, avsnitt 14.5.4).

Processuella frågor

Dataskyddsutredningen föreslår att dataskyddslagen ska innehålla vissa processuella bestämmelser (SOU 2017:39, avsnitt 19.3.3). Om den personuppgiftsansvarige är en myndighet, ska myndighetens beslut avseende behandlingen av personuppgifter i vissa fall få överklagas av den registrerade till allmän förvaltningsdomstol.

Vidare ska det förtydligas i dataskyddslagen att rätten till ersättning enligt dataskyddsförordningen även gäller vid överträdelser av bestämmelser som kompletterar dataskyddsförordningen.

Dataskyddsutredningen bedömer att den registrerades rätt till ett effektivt rättsmedel mot den personuppgiftsansvarige eller biträdet tillgodoses genom möjligheten att föra talan om skadestånd i allmän domstol.

Ikraftträdande- och övergångsbestämmelser

Dataskyddsutredningen föreslår att dataskyddslagen ska träda i kraft den 25 maj 2018 och att personuppgiftslagen samtidigt ska upphöra att gälla. Enligt Dataskyddsutredningens förslag ska personuppgiftslagen dock fortfarande gälla i den utsträckning som det i en annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den. Vidare föreslår Dataskyddsutredningen att äldre föreskrifter, dvs. personuppgiftslagen, personuppgiftsförordningen och föreskrifter som har meddelats med stöd av dessa, fortfarande ska gälla för ärenden som har inletts hos Datainspektionen men inte avgjorts före ikraftträdandet. Äldre föreskrifter ska också gälla för överklagande av beslut som har meddelats med stöd av dessa föreskrifter liksom för överträdelser som har skett före ikraftträdandet. Slutligen föreslår Dataskyddsutredningen att bestämmelserna om skadestånd i 48 § PUL ska gälla för skada som har orsakats före ikraftträdandet (SOU 2017:39, avsnitt 20.3).

4. Skollagsreglerad utbildningsverksamhet

4.1. Allmänt

Skolväsendet består enligt 1 kap. 1 § skollagen (2010:800) av skolformerna

  • förskola,
  • förskoleklass,
  • grundskola,
  • grundsärskola,
  • specialskola,
  • sameskola,
  • gymnasieskola,
  • gymnasiesärskola,
  • kommunal vuxenutbildning, och
  • särskild utbildning för vuxna.

I skolväsendet ingår också fritidshem som kompletterar utbildningen i förskoleklassen, grundskolan, grundsärskolan, specialskolan, sameskolan och vissa särskilda utbildningsformer.

Skollagen reglerar förutom skolväsendet vissa särskilda utbildningsformer och annan pedagogisk verksamhet som bedrivs i stället för utbildning inom skolväsendet (24 och 25 kap. skollagen). Dessa utbildningsformer är

  • internationella skolor,
  • utbildning vid särskilda ungdomshem,
  • utbildning för intagna i kriminalvårdsanstalt,
  • utbildning vid folkhögskola som motsvarar utbildning i svenska för invandrare,
  • utbildning för barn och elever som vårdas på sjukhus eller annan motsvarande institution,
  • utbildning i hemmet eller på annan lämplig plats,
  • pedagogisk omsorg som erbjuds i stället för förskola eller fritidshem,
  • öppen förskola,
  • öppen fritidsverksamhet, och
  • omsorg under tid då förskola eller fritidshem inte erbjuds (t.ex. s.k. nattis).

Dessa uppräknade utbildningsformer ingår således inte i skolväsendet.

Kommunerna ansvarar som huvudregel för att utbildning kommer till stånd eller erbjuds de barn, ungdomar eller vuxna som har rätt till utbildning inom skolväsendet.

Utbildning inom skolväsendet anordnas av såväl det allmänna som av enskilda. Kommunerna kan vara huvudmän för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning, särskild utbildning för vuxna och fritidshem. Staten är huvudman för specialskolan och sameskolan samt förskoleklass och fritidshem vid en skolenhet med specialskola och sameskola.

Landsting får vara huvudman för gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning och särskild utbildning för vuxna i den utsträckning som anges i skollagen. Enskilda får efter ansökan, som beroende av vilken skolform det är frågan om prövas av Statens skolinspektion (Skolinspektionen) respektive av kommunen där utbildningen ska bedrivas, godkännas som huvudmän för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola och fritidshem (2 kap.5 och 7 §§skollagen).

Till det kommunala ansvaret att tillhandahålla utbildning inom skolväsendet tillkommer uppgifter som har nära koppling till skolväsendet. Kommunerna har t.ex. ansvar för att bevaka att alla skolpliktiga barn hemmahörande i kommunen får föreskriven utbildning (7 kap. 21 § skollagen). Kommunerna har dessutom skyldighet att erbjuda eleverna som bor i kommunen skolskjuts under vissa förutsättningar inom grundskolan, grundsärskolan och gymnasiesärskolan (t.ex. 10 kap. 32 § och 11 kap. 31 §skollagen). Kommunerna har också ansvar för att lämna bidrag till enskilda huvudmän som tar emot elever hemmahörande i kommunen (t.ex. 8 kap. 21 §, 9 kap. 19 §, 10 kap. 37 §, 11 kap. 36 § och 14 kap. 15 §skollagen).

I 23 kap. skollagen finns bestämmelser som reglerar entreprenader. En kommun, ett landsting eller en enskild huvudman får med bibehållet huvudmannaskap avtala med någon annan att utföra uppgifter inom utbildning eller annan verksamhet enligt skollagen (entreprenad).

En grundprincip enligt skollagen är att alla, oberoende av geografisk hemvist och sociala och ekonomiska förhållanden, ska ha lika tillgång till utbildning i skolväsendet. En annan princip är att utbildningen inom skolväsendet ska vara likvärdig inom varje skolform och inom fritidshemmet oavsett var i landet den anordnas.

Huvudmannen ansvarar för att utbildningen genomförs i enlighet med bestämmelserna i skollagen, föreskrifter som har meddelats med stöd av skollagen och de bestämmelser för utbildningen som kan finnas i andra författningar.

4.1.1. Skolväsendet för barn och unga

Förskolan

Barn som är bosatta i Sverige och som inte har börjat i förskoleklass eller i någon utbildning för fullgörande av skolplikten ska av sin hemkommun erbjudas förskola. Barn ska från och med ett års ålder erbjudas förskola i den omfattning det behövs med hänsyn till föräldrarnas förvärvsarbete eller studier eller om barnet har ett eget behov av familjens situation i övrigt. Från och med höstterminen det år barnet fyller tre år ska förskola erbjudas med ett minsta antal timmar om året.

Förskolan ska stimulera barns utveckling och lärande samt erbjuda barnen en trygg omsorg. Verksamheten ska utgå från en helhetssyn på barnet och barnets behov och utformas så att omsorg, utveckling och lärande bildar en helhet.

Kommunerna ansvarar för att utbildning i förskola kommer till stånd för alla barn i kommunen som ska erbjudas förskola och vars vårdnadshavare önskar det. Även enskilda kan vara huvudman för förskola.

Bestämmelserna om förskolan finns främst i 8 kap. skollagen och 1998 års läroplan för förskolan (Lpfö 98, SKOLFS 1998:16).

Förskoleklassen

Varje barn som är bosatt i Sverige ska av sin hemkommun erbjudas en plats i förskoleklass från och med höstterminen det år då de fyller sex år. Rättigheten gäller till dess att barnet ska fullgöra sin skolplikt, dvs. då han eller hon ska börja i grundskolan eller i motsvarande skolform.

Förskoleklassen ska stimulera elevers utveckling och lärande och förbereda dem för fortsatt utbildning. Utbildningen ska utgå från en helhetssyn på eleven och elevens behov.

Hemkommunen ansvarar för att utbildning i förskoleklass kommer till stånd för alla barn i kommunen som önskar sådan. Staten är dock huvudman för förskoleklasser vid specialskola eller sameskola. Enskilda kan vara huvudman för fristående förskoleklass. Huvudregeln är att dessa ska vara öppna för alla elever som ska erbjudas utbildning i förskoleklassen. Utbildningen får dock begränsas till att avse elever som är i behov av särskilt stöd för sin utveckling. Dessa skolor benämns ibland fristående resursskolor.

Bestämmelser om förskoleklasserna finns huvudsakligen i 9 kap. skollagen och läroplanen för grundskolan, förskoleklassen och fritidshemmet (SKOLFS 2010:37).

Grundskolan

För barn gäller normalt skolplikt från och med höstterminen det kalenderår de fyller sju år till utgången av vårterminen det nionde året därefter. Skolplikten ska som huvudregel fullgöras i grundskolan

eller i någon av de i skollagen angivna motsvarande utbildningsformerna, t.ex. grundsärskola, specialskola eller sameskola.

Grundskolan, som ska vara avgiftsfri, har nio årskurser och ska ge eleverna kunskaper och värden samt utveckla elevernas förmåga att tillägna sig dessa. Utbildningen ska utformas så att den bidrar till personlig utveckling samt förbereder eleverna för aktiva livsval och ligger till grund för fortsatt utbildning. Utbildningen ska även främja allsidiga kontakter och social gemenskap och ge en god grund för ett aktivt deltagande i samhällslivet.

Kommunerna ansvarar för att utbildning i grundskolan kommer till stånd för alla som enligt skollagen har rätt att gå i grundskolan och som inte fullgör sin skolgång på annat sätt. Huvudregeln är att fristående grundskolor ska vara öppna för alla elever som har rätt till utbildning i grundskolan. Utbildningen får dock begränsas till att avse t.ex. elever som är i behov av särskilt stöd. Dessa skolor benämns ibland fristående resursskolor.

Bestämmelser om grundskolan finns huvudsakligen i 10 kap. skollagen, skolförordningen (2011:185) och läroplanen för grundskolan, förskoleklassen och fritidshemmet.

Grundsärskolan

Grundsärskolan är ett alternativ till grundskolan för elever som inte bedöms kunna nå upp till grundskolans kunskapskrav därför att de har en utvecklingsstörning. Syftet är att ge alla elever med utvecklingsstörning en för dem anpassad utbildning som ger kunskaper och värden och utvecklar elevernas förmåga att tillägna sig dessa. Utbildningen ska utformas så att den bidrar till personlig utveckling, förbereder eleverna för aktiva livsval och ligger till grund för fortsatt utbildning. Utbildningen ska främja allsidiga kontakter och social gemenskap och ge en god grund för aktivt deltagande i samhällslivet. Frågan om mottagande i grundsärskolan prövas av hemkommunen.

Grundsärskolan, som är avgiftsfri, ska ha nio årskurser. Inom grundsärskolan finns en särskild inriktning som benämns träningsskola, som är avsedd för elever som inte kan tillgodogöra sig hela eller delar av utbildningen i ämnen.

Hemkommunen ansvarar för att utbildning inom grundsärskolan kommer till stånd för alla som har rätt att gå i grundsärskolan och

inte fullgör sin skolgång på annat sätt. Fristående grundsärskolor ska vara öppna för alla elever som har rätt till utbildning i grundsärskolan. Utbildningen får dock begränsas till att avse t.ex. elever som är i behov av särskilt stöd. Dessa skolor benämns ibland fristående resursskolor.

Bestämmelser om grundsärskolan finns huvudsakligen i 11 kap. skollagen, skolförordningen och läroplanen för grundsärskolan (SKOLFS 2010:255).

Specialskolan

Barn och ungdomar som på grund av sin funktionsnedsättning eller andra särskilda skäl inte kan gå i grundskolan eller grundsärskolan ska tas emot i specialskolan om de är dövblinda, har en synnedsättning och ytterligare funktionsnedsättning, är döva, är hörselskadade eller har en grav språkstörning. Frågan om mottagande i specialskola prövas av Specialpedagogiska skolmyndigheten.

Specialskolan ska ge dessa barn och ungdomar en utbildning som är anpassad till varje elevs förutsättningar och som så långt det är möjligt motsvarar den utbildning som ges i grundskolan. Specialskolan, som är avgiftsfri, ska ha tio årskurser.

Utbildningen i specialskolan anordnas av Specialpedagogiska skolmyndigheten och bedrivs vid flera skolenheter. Det finns fem regionala specialskolor och tre riksskolor som finns vid fyra skolenheter.

Bestämmelser om specialskolan finns huvudsakligen i 12 kap. skollagen, skolförordningen och läroplanen för specialskolan samt för förskoleklassen och fritidshemmet i vissa fall (SKOLFS 2010:250). Grundsärskolans kursplaner får tillämpas för en elev i specialskolan om eleven har en utvecklingsstörning och elevens vårdnadshavare lämnar sitt samtycke (12 kap. 8 § skollagen).

Sameskolan

Sameskolan ska ge en utbildning med samisk inriktning som i övrigt motsvarar utbildningen i årskurserna 1–6 i grundskolan. Sameskolan, som är avgiftsfri, ska ha sex årskurser. Därefter går eleverna vidare till grundskolan. Barn till samer får gå i sameskolan. Även andra barn får gå i sameskolan om det finns särskilda skäl. Utbildning i sameskolan

anordnas av Sameskolstyrelsen och bedrivs vid fem skolor. Bestämmelser om sameskolan finns huvudsakligen i 13 kap. skollagen, skolförordningen och läroplanen för sameskolan samt för förskoleklassen och fritidshemmet i vissa fall (SKOLFS 2010:251).

Fritidshemmet

Fritidshemmet utgör en för eleverna frivillig verksamhet som kompletterar utbildningen i förskoleklassen, grundskolan och motsvarande skolformer. Fritidshemmet ska erbjuda eleverna en meningsfull fritid samt stimulera deras utveckling och lärande. Utbildningen ska utgå från en helhetssyn på eleven och elevens behov.

Hemkommunen ansvarar för att eleverna erbjuds fritidshem. Staten ska dock erbjuda utbildning i fritidshem för elever i specialskola och sameskola. Enskilda får efter ansökan godkännas som huvudmän för fritidshem.

Fritidshem ska erbjudas till och med vårterminen det år då eleven fyller 13 år. Från och med höstterminen det år då eleven fyller 10 år får öppen fritidsverksamhet erbjudas i stället för fritidshem. Bestämmelser om fritidshemmet finns huvudsakligen i 14 kap. skollagen och läroplanen för grundskolan, förskoleklassen och fritidshemmet (SKOLFS 2010:37).

Gymnasieskolan

För ungdomars vidareutbildning efter fullgjord skolplikt i grundskola eller motsvarande finns den, som huvudregel, treåriga gymnasieskolan. Huvudmän för gymnasieskolan, som ska vara avgiftsfri, är kommuner, landsting eller enskilda. Gymnasieskolan ska ge eleverna en grund för yrkesverksamhet och fortsatta studier på högskolenivå samt för personlig utveckling och ett aktivt deltagande i samhällslivet. Utbildningen kan fullgöras dels vid nationella program, som är yrkesprogram eller högskoleförberedande, dels vid introduktionsprogram och vidareutbildning i form av ett fjärde tekniskt år. Det finns 18 nationella program, varav 12 är yrkesförberedande och 6 är högskoleförberedande, och 5 introduktionsprogram för elever som inte är behöriga till ett nationellt program.

För ungdomar med ett svårt rörelsehinder får de kommuner som regeringen beslutar anordna speciellt anpassad utbildning (gymnasieskola med Rh-anpassad utbildning) i sin gymnasieskola. För dessa utbildningar gäller särskilda bestämmelser. Riksgymnasier med Rh-anpassad utbildning finns inom den kommunala gymnasieskolan i Göteborg, Kristianstad, Stockholm och Umeå.

Örebro kommun får i sin gymnasieskola anordna utbildning för döva och gravt hörselskadade från hela landet (Riksgymnasiet för döva och hörselskadade).

Huvudregeln är att huvudmannen för fristående gymnasieskola ska ta emot alla ungdomar som har rätt till den sökta utbildningen i gymnasieskolan. Mottagandet till en viss utbildning får dock begränsas till att avse t.ex. elever som är i behov av särskilt stöd. Dessa skolor benämns ibland fristående resursskolor.

Bestämmelser om gymnasieskolan finns huvudsakligen i 15– 17 a kap. skollagen, gymnasieförordningen (2010:2039) och läroplanen för gymnasieskolan (SKOLFS 2011:144) samt examensmål för gymnasieskolans nationella program (SKOLFS 2010:14).

Gymnasiesärskolan

Gymnasiesärskolan riktar sig till ungdomar vars skolplikt har upphört och som inte bedöms ha förutsättningar att nå upp till gymnasieskolans kunskapskrav därför att de har en utvecklingsstörning. Gymnasiesärskolan ska ge elever med utvecklingsstörning en för dem anpassad utbildning som ska ge en god grund för yrkesverksamhet och fortsatta studier samt för personlig utveckling och ett aktivt deltagande i samhällslivet. Hemkommunen prövar frågan om en sökande tillhör målgruppen. Utbildningen i gymnasiesärskolan består av nationella och individuella program. Varje kommun ansvarar för att alla ungdomar i kommunen som tillhör gymnasiesärskolans målgrupp erbjuds utbildning av god kvalitet i gymnasiesärskolan. Även landsting och enskilda kan vara huvudmän för gymnasiesärskolan. Bestämmelser om gymnasiesärskolan finns huvudsakligen i 18 och 19 kap. skollagen, gymnasieförordningen och läroplanen för gymnasiesärskolan (SKOLFS 2013:148).

Elevhälsan

I skollagen anges att det för eleverna i förskoleklassen, grundskolan, grundsärskolan, sameskolan, specialskolan, gymnasieskolan och gymnasiesärskolan ska finnas elevhälsa (2 kap. 25 § skollagen). Kravet gäller såväl offentliga som fristående skolor. Elevhälsan ska omfatta medicinska, psykologiska, psykosociala och specialpedagogiska insatser. Elevhälsan ska främst vara förebyggande och hälsofrämjande. Elevernas utveckling mot utbildningens mål ska stödjas.

För medicinska, psykologiska och psykosociala insatser ska det finnas tillgång till skolläkare, skolsköterska, psykolog och kurator. Vidare ska det finnas tillgång till personal med sådan kompetens att elevernas behov av specialpedagogiska insatser kan tillgodoses.

Varje elev i grundskolan, grundsärskolan och specialskolan ska erbjudas minst tre hälsobesök som innefattar allmänna hälsokontroller. Varje elev i sameskolan ska erbjudas minst två hälsobesök som innefattar allmänna hälsokontroller. Eleven ska dessutom mellan hälsobesöken erbjudas undersökning av syn och hörsel och andra begränsade hälsokontroller. I gymnasieskolan och gymnasiesärskolan ska minst ett hälsobesök som innefattar en allmän hälsokontroll erbjudas. Elever får vid behov anlita elevhälsan för enkla sjukvårdsinsatser.

Skolbiblioteken

Eleverna i grundskolan, grundsärskolan, specialskolan, sameskolan, gymnasieskolan och gymnasiesärskolan ska ha tillgång till skolbibliotek (2 kap. 36 § skollagen). Kravet på att elever ska ha tillgång till skolbibliotek gäller för såväl offentliga som fristående skolor. Skolbiblioteken är en pedagogisk resurs för undervisning och skolarbete.

Av 1 § bibliotekslagen (2013:801) framgår att skolbibliotek ingår i det allmänna biblioteksväsendet.

4.1.2. Särskilda utbildningsformer för barn och ungdomar enligt 24 kap. skollagen

I 24 kap. skollagen finns bestämmelser om bl.a. internationella skolor, utbildning vid särskilda ungdomshem, utbildning för barn och elever som vårdas på sjukhus eller en institution som är knuten till ett sjukhus och utbildning i hemmet eller på annan lämplig plats.

Internationella skolor

Med en internationell skola avses enligt skollagen en skola där utbildningen inte följer en sådan läroplan som avses i 1 kap. 11 § skollagen, utan ett annat lands läroplan eller en internationell läroplan och som i första hand riktar sig till elever som är bosatta i Sverige för en begränsad tid.

Skolinspektionen prövar ansökningar från enskilda om att få godkännas som huvudman för en internationell skola på grundskolenivå. Vidare kan Skolinspektionen efter ansökan av en kommun besluta att kommunen får vara huvudman för en internationell skola på grundskolenivå. Hemkommunen för en elev i en internationell skola på grundskolenivå ska, om inte hemkommunen och huvudmannen är samma kommun, lämna bidrag till huvudmannen för skolan.

Ett barn får fullgöra sin skolplikt i en internationell skola på grundskolenivå om huvudmannen har godkänts eller fått medgivande av Skolinspektionen och barnet t.ex. är bosatt i Sverige under en begränsad tid eller har gått i skola utomlands under en längre tid och vill avsluta sin utbildning i Sverige.

Internationella skolor på gymnasienivå med enskild huvudman behöver enligt gällande rätt inte godkännas av Skolinspektionen, men för att få rätt till bidrag från elevernas hemkommuner krävs att huvudmannen ansökt om och av Skolinspektionen förklarats berättigad till bidrag. För att en förklaring om rätt till bidrag ska lämnas krävs bl.a. att det kan antas att det kommer att finnas ett tillräckligt elevunderlag för att driva en stabil verksamhet.

Utbildning vid särskilda ungdomshem

Utbildning kan i vissa fall ske vid särskilda ungdomshem. Under vistelse i ett sådant hem som avses i 12 § lagen (1990:52) med särskilda bestämmelser om vård av unga (avseende särskilt ungdomshem) ska skolpliktiga barn, som inte lämpligen kan fullgöra sin skolplikt på annat sätt, fullgöra den genom att delta i utbildning vid hemmet. Statens institutionsstyrelse (SiS) är huvudman för all utbildning som sker vid särskilda ungdomshem.1 Utbildningen ska motsvara utbildningen i grundskolan eller i förekommande fall grundsärskolan eller specialskolan. För sådan utbildning ska relevanta bestämmelser i skollagen tillämpas med de nödvändiga avvikelser som följer av att barnet vistas i ett sådant hem.

Den som inte längre är skolpliktig och vistas i ett särskilt ungdomshem och som inte lämpligen kan fullgöra skolgång på annat sätt ska genom huvudmannens försorg ges möjlighet att delta i utbildning som motsvarar sådan utbildning som erbjuds i gymnasieskolan eller gymnasiesärskolan.

Utbildning på sjukhus

Om ett barn vårdas på sjukhus eller en institution som är knuten till ett sjukhus, ska huvudmannen för institutionen svara för att barnet får tillfälle att delta i utbildning som så långt det är möjligt motsvarar den som erbjuds i förskola, förskoleklass eller fritidshem (24 kap. 16 §). För elever i grundskolan, grundsärskolan, specialskolan, sameskolan, gymnasieskolan och gymnasiesärskolan, som på grund av sjukdom eller liknande skäl inte kan delta i vanligt skolarbete och som vårdas på sjukhus eller en institution som är knuten till ett sjukhus, ska särskild undervisning anordnas på sjukhuset eller institutionen om det inte är obehövligt för elevens inhämtande av kunskaper (24 kap. 17 §). Sådan undervisning ska så långt det är möjligt motsvara den undervisning som eleven inte kan delta i. Särskild undervisning anordnas av den kommun där institutionen är belägen (24 kap. 19 §). Statens skolverk (Skolverket) har tagit fram allmänna råd (SKOLFS 2016:64) med kommentarer om utbildning på sjukhus.

1SOU 2016:62 s. 94 och 125.

Särskild undervisning i hemmet

För elever i grundskolan, grundsärskolan, specialskolan, sameskolan, gymnasieskolan och gymnasiesärskolan, som på grund av sjukdom eller liknande skäl inte kan delta i vanligt skolarbete under längre tid men som inte vårdas på sjukhus eller en institution som är knuten till ett sjukhus, ska särskild undervisning anordnas i hemmet eller på annan lämplig plats. Sådan undervisning ska så långt det är möjligt motsvara den undervisning som eleven inte kan delta i (24 kap. 20 §). Särskild undervisning får ges i hemmet endast om eleven eller elevens vårdnadshavare samtycker. Sådan särskild undervisning anordnas av den som är huvudman för den utbildning som eleven annars deltar i (24 kap. 22 §).

Annat sätt att fullgöra skolplikten

Ett skolpliktigt barn får medges rätt att fullgöra skolplikten på annat sätt än som anges i skollagen. Medgivande ska lämnas om verksamheten framstår som ett fullgott alternativ till den utbildning som annars står barnet till buds enligt föreskrifter i skollagen, behovet av insyn i verksamheten kan tillgodoses och det finns synnerliga skäl (24 kap. 23 §).

I förarbetena till bestämmelsen (prop. 2009/10:165 s. 885) anges två exempel på situationer när synnerliga skäl kan förekomma. Den ena är en elev som nyss flyttat till Sverige från något av våra grannländer som har mycket starka skäl för att gå kvar i det gamla landets skola under återstoden av terminen. Även situationer då en elev under längre tid önskar vara från skolan på grund av resor eller filminspelning skulle kunna utgöra synnerliga skäl för att under en tid få medgivande att fullgöra skolplikten på annat sätt om det finns mycket starka skäl i det enskilda fallet. Det betonas att bestämmelsen ska tillämpas med stor restriktivitet.

Medgivande får lämnas för upp till ett år i sänder. Frågor om medgivande prövas som huvudregel av barnets hemkommun.

4.1.3. Annan pedagogisk verksamhet enligt 25 kap. skollagen

Pedagogisk omsorg som erbjuds i stället för förskola eller fritidshem, öppen förskola, öppen fritidsverksamhet och omsorg under tid då förskola eller fritidshem inte erbjuds regleras i 25 kap. skollagen.

Verksamheten kan bedrivas i kommunal och enskild regi.

Pedagogisk omsorg som erbjuds i stället för förskola eller fritidshem

Kommunen ska sträva efter att i stället för förskola eller fritidshem erbjuda ett barn pedagogisk omsorg om barnets vårdnadshavare önskar det (25 kap. 2 §). Pedagogisk omsorg ska genom pedagogisk verksamhet stimulera barns utveckling och lärande. Med pedagogisk omsorg avses bl.a. familjedaghem, flerfamiljslösningar och andra verksamheter där det bedrivs pedagogisk verksamhet i annan form än förskola eller fritidshem (prop. 2009/10:165 s. 886). Förskolans läroplan är vägledande för pedagogisk omsorg. Skolverket har tagit fram allmänna råd (SKOLFS 2012:90) med kommentarer om pedagogisk omsorg.

Öppen förskola

En kommun får anordna öppen förskola som komplement till förskola och pedagogisk omsorg. Den öppna förskolan ska erbjuda barn en pedagogisk verksamhet i samarbete med de till barnen medföljande vuxna samtidigt som de vuxna ges möjlighet till social gemenskap (25 kap. 3 §).

Öppen fritidsverksamhet

Från och med höstterminen det år då eleven fyller tio år får öppen fritidsverksamhet erbjudas i stället för fritidshem, om eleven inte på grund av fysiska, psykiska eller andra skäl är i behov av sådant särskilt stöd i sin utveckling som endast kan erbjudas i fritidshem (14 kap. 7 §). En huvudman kan erbjuda dessa elever öppen fritidsverksamhet i stället för fritidshem. Den öppna fritidsverksamheten ska genom

pedagogisk verksamhet komplettera utbildningen i grundskolan, grundsärskolan, specialskolan, sameskolan och andra särskilda utbildningsformer i vilka skolplikt kan fullgöras. Verksamheten ska erbjuda barnen möjlighet till utveckling och lärande samt en meningsfull fritid och rekreation.

Omsorg under tid då förskola eller fritidshem inte erbjuds

Kommunen ska sträva efter att erbjuda omsorg för barn under tid då förskola eller fritidshem inte erbjuds i den omfattning det behövs med hänsyn till föräldrars förvärvsarbete och familjens situation i övrigt. Som exempel på omständigheter som är hänförliga till familjens situation i övrigt anförs i förarbetena (prop. 2009/10:165 s. 888) att en förälder fullgör värnplikt eller är intagen på behandlingshem eller i kriminalvårdsanstalt.

4.1.4. Skolväsendet för vuxna

Skolväsendet för vuxna utgörs enligt 1 kap. 1 § skollagen av skolformerna kommunal vuxenutbildning och särskild utbildning för vuxna. Målet med dessa utbildningsformer är att vuxna ska stödjas och stimuleras i sitt lärande. Individerna ska ges möjlighet att utveckla sina kunskaper och sin kompetens i syfte att bl.a. stärka sin ställning i arbetslivet.

Kommunal vuxenutbildning

Kommunal vuxenutbildning ska tillhandahållas på grundläggande nivå, gymnasial nivå och som utbildning i svenska för invandrare. Utbildning på grundläggande nivå motsvarar i huvudsak grundskolan och syftar till att ge vuxna sådana kunskaper som de behöver för att delta i samhälls- och arbetslivet. Den syftar också till att möjliggöra fortsatta studier. Vuxna som saknar kunskaper motsvarande grundskolan har rätt att fr.o.m. 20 års ålder delta i den grundläggande vuxenutbildningen.

Utbildning på gymnasial nivå syftar till att ge vuxna kunskaper på en nivå som motsvarar den som utbildningen i gymnasieskolan

ska ge. Den som fått minst utbildning ska prioriteras till kommunal vuxenutbildning på gymnasial nivå. Från och med den 1 januari 2017 gäller en utökad rätt att delta i kommunal vuxenutbildning på gymnasial nivå i syfte att antingen uppnå grundläggande och särskild behörighet till högskoleutbildning som påbörjas på grundnivå och som vänder sig till nybörjare, eller uppnå grundläggande behörighet eller särskilda kunskaper för utbildning inom yrkeshögskolan (prop. 2016/17:5).

Utbildning i svenska för invandrare syftar till att ge vuxna invandrare grundläggande kunskaper i svenska språket, men också till att ge vuxna invandrare som saknar grundläggande läs- och skrivfärdigheter möjlighet att förvärva sådana färdigheter.

Kommunerna ska tillhandahålla kommunal vuxenutbildning. Landsting får vara huvudmän för sådan utbildning på gymnasial nivå inom områdena naturbruk och omvårdnad och efter avtal med en kommun även inom andra områden. Utbildningen ska som huvudregel vara avgiftsfri.

Bestämmelser om kommunal vuxenutbildning finns huvudsakligen i 20 kap. skollagen, förordningen (2011:1108) om vuxenutbildning och läroplanen för vuxenutbildningen (SKOLFS 2012:101).

Särskild utbildning för vuxna

För vuxna med utvecklingsstörning eller förvärvad hjärnskada finns särskild utbildning för vuxna i stället för kommunal vuxenutbildning. Målet med utbildningen är att vuxna med utvecklingsstörning ska stödjas och stimuleras i sitt lärande. De ska ges möjlighet att utveckla sina kunskaper och sin kompetens i syfte att stärka sin ställning i arbets- och samhällslivet samt att främja sin personliga utveckling. Utbildningen på grundläggande nivå syftar till att ge vuxna kunskaper på en nivå som motsvarar den som utbildningen i grundsärskolan ska ge. På motsvarande sätt syftar utbildningen på gymnasial nivå till att ge kunskaper motsvarande utbildningen på nationella program i gymnasiesärskolan.

Kommunerna är huvudmän för särskild utbildning för vuxna, men landstingen kan efter överenskommelse ansvara för viss utbildning. Utbildningen ska tillhandahållas på grundläggande nivå och gymnasial nivå samt vara avgiftsfri. Bestämmelser om särskild utbildning

för vuxna finns huvudsakligen i 21 kap. skollagen, förordningen (2011:1108) om vuxenutbildning och läroplanen för vuxenutbildningen (SKOLFS 2012:101).

Elevhälsan

En huvudman för kommunal vuxenutbildning eller särskild utbildning för vuxna får för sina elever anordna elevhälsa motsvarande sådan som ska anordnas för eleverna i bl.a. grundskolan och gymnasieskolan (2 kap.25 och 26 §§skollagen).

4.1.5. Särskilda utbildningsformer för vuxna enligt 24 kap. skollagen

I 24 kap. skollagen finns bestämmelser om bl.a. utbildning för intagna i kriminalvårdsanstalt och utbildning vid folkhögskola som motsvarar kommunal utbildning i svenska för invandrare.

Utbildning för intagna i kriminalvårdsanstalt

För intagna på kriminalvårdsanstalt får det anordnas utbildning som motsvarar kommunal vuxenutbildning och särskild utbildning för vuxna. För sådan utbildning ansvarar Kriminalvården (24 kap. 10 §).

Utbildning vid folkhögskola som motsvarar kommunal vuxenutbildning i svenska för invandrare

Den som har rätt att delta i kommunal vuxenutbildning i svenska för invandrare har rätt att i stället delta i en folkhögskolas motsvarande utbildning. Detta om folkhögskolan enligt sådana föreskrifter som har meddelats med stöd av 29 kap. 24 § skollagen av Skolinspektionen har getts rätt att sätta betyg, anordna prövning samt utfärda betyg och intyg, och folkhögskolan har förklarat sig ha för avsikt att ta emot den sökande till utbildningen (24 kap. 11 §).

En folkhögskola som till sin utbildning i svenska för invandrare har antagit en elev som har förklarats behörig att delta i utbildning-

en, har rätt till ersättning för kostnaden för elevens utbildning från elevens hemkommun (24 kap. 15 §).

4.1.6. Entreprenad

Enligt bestämmelserna i 23 kap. skollagen får en kommun, ett landsting eller en enskild huvudman sluta avtal om att någon annan än kommunen, landstinget eller den enskilde huvudmannen utför uppgifter inom utbildning eller annan verksamhet enligt skollagen (entreprenad).

Entreprenad innebär att kommunen, landstinget eller den enskilde huvudmannen ansvarar i egenskap av huvudman för verksamhetens innehåll, men låter någon annan sköta själva utförandet. De bestämmelser som finns för en utbildning i skollagen och andra författningar på skolområdet, t.ex. läroplaner och kursplaner, gäller även vid entreprenad. Bibehållet huvudmannaskap innebär att även om en entreprenör ges i uppdrag av en kommun att utföra uppgifter inom utbildning som kommunen är huvudman för, så är det fortfarande fråga om en kommunal verksamhet i förhållande till barn, elever och vårdnadshavare (prop. 2009/10:165 s. 508).

Inom förskolan, förskoleklassen, fritidshemmet, kommunal vuxenutbildning, särskild utbildning för vuxna och sådan pedagogisk verksamhet som avses i 25 kap. får uppgifter överlämnas på entreprenad till en enskild fysisk eller juridisk person.

När det gäller undervisning inom grundskolan, grundsärskolan, gymnasieskolan och gymnasiesärskolan får uppgifter som inte är hänförliga till undervisning läggas ut på entreprenad. Uppgifter som avser modersmålsundervisning eller studiehandledning på modersmålet får överlämnas på entreprenad till annan huvudman om huvudmannen har gjort vad som rimligen kan krävas för att anordna utbildningen inom den egna organisationen. Undervisning i gymnasieskolan i karaktärsämnen som har en yrkesinriktad eller estetisk profil får överlämnas på entreprenad till enskild fysisk eller juridisk person. Vidare får uppgifter som avser fjärrundervisning inom grundskolan, grundsärskolan, gymnasieskolan och gymnasiesärskolan överlämnas till staten på entreprenad. Inom dessa skolformer får uppgifter som avser fjärrundervisning även överlämnas till annan huvudman på entreprenad om uppgifterna är sådana som avser modersmålsunder-

visning eller studiehandledning på modersmålet om huvudmannen har gjort vad som rimligen kan krävas för att anordna utbildningen inom den egna organisationen

Kommuner kan således erbjuda t.ex. kommunal vuxenutbildning i egen regi eller genom upphandling av andra utbildningsanordnare såsom privata utbildningsföretag, studieförbund eller folkhögskolor (SOU 2016:62 s. 98).

Regeringen har i proposition 2016/17:156 föreslagit att det införs bestämmelser i skollagen om att huvudmän ska vara skyldiga att i vissa situationer erbjuda elever i grundskolan undervisning under skollov. Undervisning inom ramen för lovskolan får överlämnas på entreprenad. Lagändringarna föreslås träda i kraft den 1 augusti 2017. Propositionen behandlas för närvarande i riksdagen.

Regeringen har vidare i proposition 2016/17:161 föreslagit en ny lag om försöksverksamhet med branschskolor. Försöksverksamheten innebär att en huvudman för utbildning på ett yrkesprogram inom gymnasieskolan eller för kommunal vuxenutbildning enligt skollagen med bibehållet huvudmannaskap får sluta avtal med en branschskola om att skolan utför vissa uppgifter inom sådan utbildning (entreprenad). Den nya lagen om försöksverksamhet med branschskolor föreslås träda i kraft den 1 augusti 2017 och tillämpas på utbildning efter den 1 juli 2018. Lagen ska upphöra att gälla vid utgången av juni månad 2023. Propositionen behandlas för närvarande i riksdagen.

I syfte att öka möjligheterna för huvudmän för vissa skolformer att erbjuda den undervisning som elever har behov av och att ge alla elever en likvärdig tillgång till utbildning utreds frågan om vilka som får bedriva utbildning på entreprenad. En särskild utredare har bl.a. fått i uppdrag att föreslå under vilka förutsättningar skolhuvudmän, eller i vissa fall andra aktörer, bör få utföra undervisning åt andra skolhuvudmän (Utredningen Bättre möjligheter till fjärrundervisning och undervisning på entreprenad [U2015:09]). Utredaren ska även bedöma om bestämmelserna i 23 kap. om entreprenad och samverkan bör ändras och vid behov föreslå nya ändamålsenliga avtalsformer för skolhuvudmän som avser att ingå avtal med varandra om att utföra uppgifter avseende undervisning (dir. 2015:112). Uppdraget i denna del ska redovisas senast den 30 maj 2017. Utredaren har i tilläggsdirektiv fått i uppdrag att inom samma tid bl.a. bedöma hur

entreprenad inom skolväsendet förhåller sig till den kommande lagen om offentlig upphandling (dir. 2016:107).

4.2. Utredningen om offentlighet och sekretess i skolans syn på skolans personuppgiftsbehandling

Utredningen om offentlighet och sekretess i skolan har i sitt betänkande Sekretess i elevernas intresse – Dokumentation, samverkan och integritetet i skolan (SOU 2003:103 s. 198 f.) prövat behovet av särskild reglering av skolmyndigheternas personuppgiftsbehandling. Utredningen konstaterade att ett stort antal elevuppgifter inom skolverksamheten, såväl i undervisningen som i elevvården, behandlas på ett sådant sätt att de omfattas av bestämmelserna i personuppgiftslagen (1998:204, PUL). Det kan röra sig om behandling genom regelrätt registerföring (t.ex. datalistor över skolans samtliga elever), behandling i löpande text med hjälp av ordbehandling (t.ex. upprättade beslut och protokoll samt personalanteckningar), e-post eller publicering av uppgifter på hemsidor på internet.

Utredningen ansåg att det var självklart att mycket av den behandling som förekommer också måste få förekomma eftersom skolverksamheten på samma sätt som annan verksamhet borde kunna dra fördel av ny teknik. Utredningen analyserade därför om det fanns rättsligt stöd för den behandling som behövs i samband med dokumentation avseende enskilda elever, dvs. om den kunde ske i överensstämmelse med personuppgiftslagens regler.

Enligt utredningens bedömning torde det inte föreligga någon tvekan om att skolmyndigheter enligt den då lydande skollagen och andra författningar har en rättslig skyldighet i personuppgiftslagens mening att fullgöra sina åligganden gentemot eleverna i fråga om såväl undervisning som elevvård. Likaså måste det anses vara av stort allmänt intresse att skolorna kan fullgöra sina arbetsuppgifter. Skolorna bedöms kunna stödja behandling av personuppgifter på 10 § b och d PUL, med undantag för behandlingen av känsliga personuppgifter.

Beträffande skolornas behandling av känsliga personuppgifter konstaterade utredningen att 8 § personuppgiftsförordningen (1998:1191, PUF), enligt vilken känsliga personuppgifter får behandlas även utan samtycke av en myndighet i löpande text, t.ex. i pro-

memorior, protokoll och beslut, om uppgifterna har lämnats i ett ärende eller om de är nödvändiga för handläggningen av ärendet, inte är tillämplig på behandling som sker i den del av skolornas verksamhet som utgör faktiskt handlande, dvs. när det inte är fråga om ett pågående ärende.

Gemensamt för de flesta fall då känsliga personuppgifter behandlas automatiserat inom ramen för det faktiska handlandet i skolverksamheten (undantaget skolhälsovården samt legitimerade psykologer och psykoterapeuter) är att det krävs samtycke från eleven eller, i förekommande fall, dennes vårdnadshavare. Utan ett sådant uttryckligt samtycke är det alltså normalt inte tillåtet att behandla uppgifterna automatiserat, även om det från skolans eller personalens synvinkel ter sig nödvändigt. Som exempel kan nämnas att det krävs samtycke för att skolpersonalen i en frånvarojournal ska få anteckna orsaken till en elevs frånvaro, i den mån en sådan anteckning innebär att hälsouppgifter registreras.

Utredningens bedömning var att skolmyndigheter, med stöd av personuppgiftslagens bestämmelser, har möjlighet att med datorstöd behandla det absoluta flertalet av uppgifterna som behövs i skolverksamheten. Rättsliga problem som begränsar skolornas hantering av personuppgifter och som kan kräva särskild reglering kunde enligt utredningens bedömning egentligen uppstå endast när det gäller behandling av känsliga personuppgifter. Flera av de uppgiftskategorier som enligt personuppgiftslagen bedöms som känsliga berörde enligt utredningens uppfattning dock inte skolornas behov av registrering i särskilda dataregister.

De känsliga personuppgifter som skolmyndigheterna kan ha behov av att behandla i särskilda register rör framför allt uppgifter om elevernas hälsa, men också etniskt ursprung, som behövs för genomförandet av modersmålsundervisning. Uppgifter om hälsa kan förekomma i elevadministrativ information, t.ex. att vissa elever är allergiska och därför behöver särskild mat, men kanske främst information om elevers hälsotillstånd inom ramen för den elevvårdande verksamheten. Utredningen bortsåg dock i detta sammanhang från behovet av personuppgiftsbehandling inom skolhälsovården och annan verksamhet som utgör hälso- och sjukvård.

I fråga om annan behandling av känsliga personuppgifter än sådan som utförs i regelrätta register bedömdes det svårare att uttala sig bestämt om skolornas behov. Ingen användning av de ovan nämnda

kategorierna av känsliga personuppgifter kan uteslutas när det är fråga om behovet av att behandla information automatiserat i löpande text, t.ex. i beslut eller andra handlingar som har samband med handläggningen av ärenden inom en skolmyndighet. Det finns ingen möjlighet att i förväg avgöra vilka uppgifter som är av betydelse för, och som kan motivera utgången i, ett elevvårdsärende eller ett administrativt ärende. Som exempel kan nämnas ett elevvårdsärende om mobbning av en elev på grund av hans eller hennes sexuella läggning. Med stöd av den generella bestämmelsen i 8 § PUF får alla myndigheter behandla sådana känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller om de är nödvändiga för handläggning av ärendet. Det uppstår därför inte några rättsliga problem i det avseendet när det är fråga om hantering av känsliga personuppgifter vid handläggningen av ärenden inom en skolmyndighet.

En stor del av skolornas verksamhet utgörs av s.k. faktiskt handlande, såväl i fråga om undervisning som elevvård. Även som ett led i det faktiska handlandet kan det finnas ett visst behov av att med datorstöd behandla känsliga personuppgifter som rör elevernas hälsa m.m., t.ex. när kuratorer eller specialpedagoger för anteckningar vid elevsamtal. I princip är detta i dag inte tillåtet utan att uttryckligt samtycke inhämtas från elever eller, i förekommande fall, vårdnadshavare. (Det bör noteras att 5 a § PUL inte fanns när betänkandet skrevs, bestämmelsen trädde i kraft först den 1 januari 2007.) Detsamma gäller möjligheten att i vissa fall behandla t.ex. uppgifter om etniskt ursprung i elevadministrativ verksamhet. Datainspektionen var emellertid av den uppfattningen att registrering av känsliga uppgifter som behövs för modersmålsundervisning i grundskolan är tillåtet enligt personuppgiftslagen utan att samtycke inhämtas, eftersom det handlar om att fastställa eller göra gällande elevers rättsliga anspråk enligt grundskoleförordningen2. Utredningen hade ingen avvikande uppfattning i den frågan.

Särskild reglering som tillåter myndigheter att registrera känsliga personuppgifter utan samtycke borde enligt utredningens uppfattning komma i fråga endast om det är nödvändigt för att verksamheten ska kunna fungera på ett rationellt och av statsmakterna förutsatt sätt. Inte minst bör restriktivitet iakttas när det är fråga om barn. Av integritetsskäl bör därför sådana uppgifter i första hand behandlas

2 Datainspektionens rapport 2002:2, Behandling av elevers personuppgifter i grundskolan.

av skolmyndigheter endast om de registrerade personerna lämnar sitt samtycke till uppgiftsbehandlingen. Utredningen var även av den åsikten att det i de allra flesta fall är fullt praktiskt möjligt för skolmyndigheter, eller enskilda skolor, att inhämta sådant samtycke i de fall det behövs.

Sammantaget var utredningen av den uppfattningen att det i skolverksamheten inte finns ett så stort behov av att behandla känsliga personuppgifter, att det inte på ett praktiskt sätt går att tillgodose behovet utan sådan särskild författningsreglering som tillåter behandlingen av uppgifter även om samtycke saknas. På motsvarande sätt som samråd och samverkan med elever och vårdnadshavare är huvudregeln för skolverksamheten i övrigt, bör samtycke utgöra grunden för all registrering av känsliga personuppgifter i särskilda register och även för all övrig behandling av känsliga personuppgifter i den faktiska verksamheten (dvs. när det inte är fråga om ärendehantering). Utredningen lämnade därför inga författningsförslag om behandling av personuppgifter i skolan.

4.3. Skydd för uppgifter om barn – yttrande av artikel 29-gruppen

Artikel 29-arbetsgruppen för uppgiftsskydd har inrättats genom artikel 29 i dataskyddsdirektivet. Arbetsgruppen, som brukar benämnas artikel 29-gruppen, är EU:s oberoende rådgivande instans för dataskydd och skydd för privatlivet. Arbetsgruppen antog i februari 2009 ett yttrande om skydd för uppgifter om barn som innehåller allmänna riktlinjer och specialfallet skolor.3

Yttrandet riktar sig uttryckligen huvudsakligen till de som hanterar uppgifter om barn och i skolsammanhang främst till lärare och skolmyndigheter. Yttrandet innehåller avsnitt om hur uppgifter i elevfiler bör hanteras såsom t.ex. information till den registrerade (vårdnadshavare), ändamålsbegränsningar och proportionalitet, ickediskriminering, vem som ska få tillgång till uppgifterna och bevarande och utplånande av uppgifter. Vidare behandlas även frågor om uppgifter om elevers hälsotillstånd, webbplatser och foton av elever.

3 Artikel 29-gruppen för uppgiftsskydds yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor).

Beträffande elevfiler anges bl.a. att personuppgifter får tas med i elevfiler endast om de är nödvändiga för berättigade ändamål som skolorna strävar efter att uppnå. Uppgifterna får inte användas på ett sätt som är oförenligt med sådana ändamål. De uppgifter som begärs får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna samlas in (t.ex. är uppgifter om föräldrarnas akademiska examen eller yrke inte alltid nödvändiga).

Behandling av vissa uppgifter i elevfiler kan ge upphov till diskriminering, t.ex. uppgift om invandrarstatus eller funktionsnedsättning. Det konstateras att sådana uppgifter i regel inhämtas i syfte att trygga att skolan är medveten om och ägnar erforderlig uppmärksamhet t.ex. åt elever med kulturellt betingade problem såsom språkproblem. Principen om barnets bästa och principen om ändamålsbegränsning bör vara de relevanta kriterierna vid behandling av sådana uppgifter.

Det intas en mycket strikt hållning när det gäller införande av uppgifter om elevers religion i elevfiler. När det av administrativa skäl införs en uppgift om att en elev har särskilda kostönskemål i fråga om skolmat bör det inte i onödan dras några slutsatser om elevens religion.

Alla uppgifter som kan ge upphov till diskriminering måste skyddas genom lämpliga säkerhetsåtgärder och genom andra lämpliga åtgärder. Samtycke till behandling av alla uppgifter som kan ge upphov till diskriminering måste vara otvetydigt.

Behandling av uppgifter av särskild karaktär – t.ex. uppgifter om disciplinförfaranden, läkarbehandling i skolan, skolans inriktning (t.ex. när det rör sig om en skola som vilar på religiös grund) eller särskild utbildning för funktionshindrade – måste vara underkastad särskilda säkerhetskrav. Elevens vårdnadshavare och eleven själv, om han eller hon uppnått tillräcklig mognadsgrad, bör ges tillgång till uppgifterna i elevfiler. För övrigt bör tillgången till uppgifterna vara strängt reglerad och begränsad till skolmyndigheter, skolinspektörer, hälso- och sjukvårdspersonal, socialarbetare och rättsvårdande organ.

Den allmänna principen om att personuppgifter inte ska bevaras under längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna insamlades är giltig även när det gäller elevfiler.

Vidare konstateras att uppgifter om elevers hälsotillstånd är känsliga personuppgifter och att dessa bör behandlas endast av läkare och andra personer som direkt ”har hand om” eleverna, såsom lärare och

annan skolpersonal som är bunden av tystnadsplikt. För behandling av uppgifter om elevers hälsotillstånd krävs det antingen att vårdnadshavarna har gett sitt samtycke eller att behandlingen är nödvändig för att skydda grundläggande intressen som har att göra med skolan eller utbildningen.

Beträffande skolwebbplatser uttalas att spridning av personinformation via webbplatser kräver ett striktare iakttagande av grundläggande principer för uppgiftsskydd, särskilt uppgiftsminimering och proportionalitet. I syfte att skydda sådan information rekommenderas skolorna att använda mekanismer för begräsning av tillträdet till webbplatserna, t.ex. genom inloggning med hjälp av användar-id och personlig säkerhetskod.

I yttrandet anges att publicering av fotografier av eleverna på internet bör göras grundat på en bedömning av vilken typ av foto det rör sig om, av om det är lämpligt att lägga ut fotot på nätet och av syftet med utläggningen. Eleverna och vårdnadshavarna bör på förhand underrättas om publiceringen, men samtycke behöver inte nödvändigtvis inhämtas av vårdnadshavarna om det gäller gruppfoto och det inte är enkelt att identifiera eleverna (och det är tillåtet enligt nationell lagstiftning). Om en skola har för avsikt att lägga ut individuella foton av eleverna med uppgift om deras identitet, måste den först inhämta vårdnadshavarnas och – beroende på elevernas mognadsgrad – elevernas tillstånd för detta.

Artikel 29-gruppen drar slutsatsen att bestämmelserna i den gällande rättsliga ramen i de flesta fall på ett ändamålsenligt vis säkerställer skyddet för uppgifter om barn. En förutsättning för ett ändamålsenligt skydd för barnets integritet är dock att bestämmelserna tillämpas med beaktande av principen om att barnets bästa ska komma i främsta rummet och med beaktande av barnets och vårdnadshavarnas specifika situation.

4.4. It-användning inom skolväsendet

Vid Datainspektionens granskning av skolor 2001 konstaterades att it-system användes i begränsad omfattning för att lagra personuppgifter om elever.4 En kartläggning under 2008 visade att skolorna använder centrala it-system inte bara för elevadministration utan också för att hantera uppgifter om sjukdom, frånvaro, betyg och individuella utvecklingsplaner. Datainspektionen fann dock att det fanns stora brister i hur personuppgifterna hanterades i skolorna. För att komma till rätta med de vanligaste bristerna tog Datainspektionen fram en särskild checklista för skolor som använder sig av it-stöd i elevadministrationen. Det är skolans huvudman som har det yttersta ansvaret för hur personuppgifter behandlas. Datainspektionens lista behandlar bl.a. hur fritextfält bör användas, frågor om närvarorapportering och vilken slags säkerhetsnivå skolans it-system ska hålla om det innehåller s.k. integritetskänsliga personuppgifter och är tillgängligt via internet.5

Datainspektionen gjorde under 2009 en uppföljning av kartläggningen från 2008 och kunde konstatera att det fortfarande fanns brister i hur skolorna hanterar personuppgifter om elever och föräldrar i sina it-system, men de brister som uppmärksammades rörde dock främst bevarande och gallring av personuppgifter.6

I Skolverkets uppföljning 2015 av it-användningen och it-kompetensen i förskola, skola och vuxenutbildningen konstateras att itutrustningen ökar i förskola, grundskola och gymnasieskola jämfört med senaste uppföljningen 2012.7

Vidare framgår att både elever och lärare använder it i skolan allt oftare. Sett till eleverna använde de 2015 jämfört med 2012 it oftare både till skoluppgifter och på lektionerna och lärarna använde it i allt större utsträckning för olika arbetsuppgifter. Uppemot hälften av eleverna i årskurs 7–9 använde dator, surfplatta eller smartphone på alla eller de flesta lektionerna i svenska och samhällsorienterade

4 www.datainspektionen.se/press/nyheter/2008/stora-brister-i-hur-skolor-hanterarpersonuppgifter/ 5 www.datainspektionen.se/press/nyheter/2008/stora-brister-i-hur-skolor-hanterarpersonuppgifter/ 6 www.datainspektionen.se/press/nyheter/2009/fortsatta-brister-i-hur-skolor-hanterarpersonuppgifter/ 7 Skolverkets rapport: IT-användning och IT-kompetens i skolan, Skolverkets IT-uppföljning 2015, dnr 2015:00067.

ämnen 2015. I gymnasieskolan använde närmare sju av tio elever dator eller surfplatta på alla eller de flesta lektionerna i svenska och samhällskunskap.

Många skolor, sju av tio grundskolor och åtta av tio gymnasieskolor, använde 2015 s.k. molntjänster som t.ex. Google apps, Office 365 och iCloud. En molntjänst innebär möjligheten att t.ex. hantera program och datalagring på en extern resurs.

Antalet skolor som använder sig av internetbaserade plattformar för samarbetet mellan elever och lärare har också ökat mellan 2012 och 2015. Sådana plattformar användes 2015 i 67 procent av de kommunala grundskolorna, i 56 procent av de fristående grundskolorna, i 95 procent av de kommunala gymnasieskolorna och i 84 procent av de fristående gymnasieskolorna. Även andelen skolor som använde en internetbaserad plattform för kommunikationen mellan vårdnadshavare och skola har ökat.

Många skolor har en egen webbplats. Sådana webbplatser används oftare i gymnasieskolor än i grundskolor. Vanligt förekommande tjänster i skolorna är möjligheten att via skolans webbplats eller internetbaserade plattform få åtkomst till bl.a. schema, läxor och hemarbeten, skolresultat och funktioner för frånvaroanmälan.

Av Skolverkets redovisning i april 2016 av uppdraget om att föreslå nationella it-strategier för skolväsendet8 framgår att marknaden för digitala läromedel är ganska liten. Av de läromedel som såldes 2014 av förlag anknutna till Svenska Läromedel var 4,4 procent digitala. Vidare anges att det sedan några år utvecklas en typ av verktyg som registrerar elevernas arbete och resultat för att skapa bättre möjligheter att följa dessa och deras kunskapsutveckling. I verktygen kan uppgifter om t.ex. den tid en elev använt för en uppgift eller interaktion med andra elever registreras. Än så länge sker detta främst inom ramen för enstaka produkter men det utvecklas också verktyg som avser att samla data från olika källor och presentera samlat för läraren.

Det här området benämns learning analytics. Learning analytics handlar om att samla och analysera data på olika nivåer för att förbätt-

8 Skolverkets redovisning av uppdraget om att föreslå nationella IT-strategier för skolväsendet, dnr 2015:01153, IT-strategi som vänder sig till förskolan, föreskoleklassen, fritidshemmet och den obligatoriska skolan, s. 32 ff. och IT-strategin som vänder sig till gymnasieskolan, gymnasiesärskolan och skolväsendet för vuxna, s. 42 ff.

ra förutsättningarna för elevers lärande. Det handlar också om att ge stöd för lärarens bedömning liksom beslutsstöd på huvudmannanivå.9

Förhoppningen är att den insamlade informationen kan bearbetas och presenteras överskådligt och därigenom underlätta för läraren att bl.a. individualisera undervisningen och ge eleven underlag för reflektion kring det egna lärarandet.

Integritetskommittén konstaterar i sitt delbetänkande10 att digitala lärplattformar, dvs. internetbaserade system som möjliggör olika sorters interaktivitet och kommunikation mellan elever, lärare och vårdnadshavare, kan möjliggöra en detaljerad loggning av elevens aktiviteter med information om t.ex. när på dygnet eleven arbetar i systemet, hur eleven interagerar och kommunicerar med lärare och andra elever och hur aktivt eleven arbetar med sina olika ämnen i systemet. Denna information skulle genom learning analytics kunna användas för att få veta mer om elevens inlärningsprocess. Learning analytics är ännu i sin linda.

Skolverket bevakar området learning analytics för att kunna identifiera behov av reglering respektive bidra till utvecklandet av standarder för utbyte av information inom skolväsendet.11

Utredningen om nationella prov har i betänkandet Likvärdigt, rättssäkert och effektivt – ett nytt system för kunskapsbedömning, SOU 2016:25, föreslagit bl.a. att en särskild lag om behandling av personuppgifter i en försöksverksamhet med digitaliserade nationella prov ska införas. Det ingår dock inte i utredningens uppdrag att se över den föreslagna lagen och den behandlas därför inte i detta betänkande.

4.5. Personuppgiftsbehandling inom skolväsendet

Av beskrivningen i föregående avsnitt framgår att det inom den skollagsreglerade verksamheten används olika it-system. Genom användningen av dessa behandlas elevernas personuppgifter i olika sammanhang. Att här ange samtliga behandlingar som sker hos berörda

9 www.skolverket.se/skolutveckling/resurser-for-larande/itiskolan/digitalalarresurser/learning-analytics-1.223404 (Senast granskad: 2015-03-25) 10 Hur står det till med den personliga integriteten? SOU 2016:41, s. 181 f. 11 Skolverkets redovisning av regeringsuppdraget om att föreslå nationella IT-strategier för skolväsendet förskolan etc. s. 33 och gymnasieskolan etc. s. 45.

huvudmän och aktörer låter sig inte göras. Utifrån utredningens uppdrag, att det när dataskyddsförordningen ska börja tillämpas ska finnas en reglering som möjliggör en ändamålsenlig behandling inom utbildningsområdet, ges nedan därför en översiktlig beskrivning endast av de huvudsakliga behandlingarna som sker inom området.

Personuppgifter om elever behandlas i skolväsendet för elevadministrativa ändamål för att kunna planera, genomföra och följa upp elevernas utbildning.

Inom kommunernas organisation för bl.a. mottagande och erbjudande av plats i de olika skolformerna behandlas bl.a. elevens namn, personnummer, adress, vårdnadshavare och kontaktuppgifter till dessa. Det kan också förekomma att känsliga personuppgifter behandlas, t.ex. uppgifter om elevens hälsotillstånd.

Inom skolornas elevadministration behandlas uppgifter om bl.a. elevens namn, personnummer, adress, vårdnadshavare och kontaktuppgifter till dessa. Vid skapandet av klasslistor behandlas personuppgifter i form av namn och adress. I skolorna behandlas också elevens personuppgifter i samband med att de registrerar elevers frånvaro respektive närvaro (7 kap. 17 § skollagen), för dokumentation för att kunna skriva utvecklingsplaner och i utvecklingsplanen (t.ex. 10 kap.12 och 13 §§skollagen). Vid upprättandet av t.ex. en lista över elevers ämnesval, såsom språkval och modersmålsundervisning (t.ex. 10 kap. 7 § skollagen), behöver också personuppgiftsbehandling ske. Även vid dokumentation inför betygssättning och av själva betygssättningen (3 kap. 13 § skollagen), t.ex. i betygsregister, behandlas elevernas personuppgifter i form av namn, personnummer och betyg i ämnen, kurser och gymnasiearbete.

När en skola utreder och beslutar om stödåtgärder (t.ex. 3 kap.5 a och 8 §§skollagen) respektive åtgärdsprogram (3 kap. 9 § skollagen) behandlas också personuppgifter. Om disciplinära åtgärder vidtas ska dessa dokumenteras skriftligt (5 kap. 24 § skollagen) varvid personuppgiftsbehandling sker.

Personuppgifter behandlas även inom elevhälsan, t.ex. i samband med allmänna hälsokontroller som ska erbjudas i vissa skolformer (2 kap. 26 § skollagen) eller vid specialpedagogiska insatser (2 kap. 25 § skollagen).

Även vid lämnande av information till eleven eller elevens vårdnadshavare (3 kap. 4 § skollagen) kan personuppgiftsbehandling bli

aktuell beroende på hur informationen lämnas t.ex. genom ett e-postmeddelande.

Beroende av val av it-lösning kan det administrativa systemet vara integrerat med funktioner för det dagliga pedagogiska och administrativa arbetet för lärarna med t.ex. närvarohantering, betygssättning, provscheman, planeringar, nyheter, elevinlämningar och kommunikation mellan lärare och elev respektive vårdnadshavare.

Elevernas personuppgifter kan även behandlas automatiskt i undervisningen genom att t.ex. en lärare anvisar eleverna till att lämna in en uppsats via en lärplattform eller via e-post. En annan situation där det sker personuppgiftsbehandling är om eleverna får ett konto på skolans server eller får en bärbar dator och eleverna använder dessa till att t.ex. skriva sina elevarbeten eller leta efter information på internet.

Känsliga personuppgifter kan förekomma vid vissa personuppgiftsbehandlingar, t.ex. i uppgiftssamlingar om allergier inom elevhälsan och skolmatsalen, uppgifter om funktionsnedsättning och olika diagnoser i elevhälsan, elevvårdsteam och åtgärdsprogram. I utvecklingsplaner kan integritetskänsliga omdömen och bedömningar av elevernas möjligheter att nå kunskapskrav förekomma.

Personuppgiftsbehandling förekommer också i form av att barnen fotograferas av personalen i syfte att dokumentera verksamheten inom främst förskolan. Personuppgiftsbehandling i form av ljud- och filminspelningar kan även förekomma i undervisningssammanhang och elevarbeten.

Även i skolbiblioteken behandlas elevernas personuppgifter för att personalen ska kunna ha kontroll över vilka böcker som är utlånade till vem.

I förskolorna, fritidshemmen och pedagogisk omsorg behandlas barnens och elevernas personuppgifter i form av i vart fall namn för att kunna planera och genomföra respektive uppdrag att stimulera barnens och elevernas utveckling och lärande. Personalen i respektive verksamhet behöver även kunna notera när ett barn eller en elev kommit respektive gått för dagen. Även inom dessa verksamheter kan det finnas behov av att kunna behandla känsliga personuppgifter, t.ex. uppgifter om allergier.

Huvudmän för fristående förskolor och skolor behandlar även barnens respektive elevernas personuppgifter i samband med att de informerar kommunen om att de tagit emot ett barn eller en elev för

att huvudmannen ska få bidrag från hemkommunen (t.ex. 9 kap. 19 § och 10 kap. 37 §skollagen). I de fall en elev har ett omfattande behov av särskilt stöd eller ska erbjudas modersmålsundervisning ska hemkommunen betala ett tilläggsbelopp (t.ex. 9 kap. 21 § och 10 kap. 39 §skollagen). I ansökan om tilläggsbelopp förekommer känsliga personuppgifter om eleven, t.ex. uppgift om funktionsnedsättning och behov av tekniska hjälpmedel.

Skolorna behandlar även elevernas personuppgifter vid resultatuppföljningar som görs för dels huvudmannens systematiska kvalitetsarbete (4 kap. 3 § skollagen), dels nationell uppföljning och utvärdering (26 kap. 25 § skollagen, förordning [1992:1083] om viss uppgiftsskyldighet för huvudmännen inom skolväsendet m.m. och Skolverkets föreskrifter [SKOLFS 2011:142] om uppgiftsinsamling från huvudmännen inom skolväsendet m.m.).

Särskilt om elevhälsan

Elevhälsan omfattar medicinska, psykologiska, psykosociala och specialpedagogiska insatser. Den del av elevhälsan som består av den medicinska grenen (hälso- och sjukvård) anses utgöra en självständig verksamhetsgren i förhållande till den övriga elevhälsan. För den personuppgiftsbehandling som sker inom hälso- och sjukvården som bedrivs på skolorna gäller patientdatalagen (2008:355). Förutom patientdatalagen med tillhörande förordning innehåller Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter inom hälso- och sjukvården bestämmelser om dokumentation.

Vid vård av patienter ska det föras patientjournal (3 kap. 1 § patientdatalagen). Syftet med journalen är i första hand att bidra till en god och säker vård av patienten. För skolsköterskan och skolläkaren är journalen för elevhälsans medicinska insats ett underlag för att bedöma eventuella behov av uppföljning eller åtgärder utifrån tidigare undersökningsfynd eller åtgärder. Det kan till exempel gälla uppföljning av en ryggundersökning som genomförts i den egna elevhälsan eller i en annan elevhälsa. Journalen för elevhälsans medicinska insats är även en informationskälla för vårdnadshavaren och eleven.

Även skolpsykologer brukar ingå i hälso- och sjukvårdspersonalen och har skyldighet att föra patientjournal. Huruvida en skolpsykologs utredning av och insatser för en elev är hälso- och sjukvård eller inte beror på dess karaktär. Om skolpsykologen gör en individuell utredning av elevens psykiska hälsa i en patient- och behandlarrelation är verksamheten hälso- och sjukvård. En sådan utredning kan bl.a. ha sin grund i att det pedagogiska arbetet inte fungerar. Om utredningen och insatserna i stället är av mer generell karaktär och främst är knutna till den pedagogiska miljön är det emellertid inte hälso- och sjukvård.12

Journalföringsskyldigheten är densamma i fristående skolor som i kommunala skolor.

Elevhälsans psykosociala insatser utförs vanligen av skolkuratorer och de specialpedagogiska insatserna av personal med specialpedagogisk kompetens. Även om en specialpedagog eller motsvarande och, i vissa fall, en skolkurator inte har någon skyldighet att föra patientjournal så har de en dokumentationsskyldighet vid handläggning av enskilda elevärenden som avser myndighetsutövning (29 kap. 10 § skollagen). Det kan exempelvis vara ärenden om särskilt stöd. Personuppgiftsbehandlingen ska då göras enligt personuppgiftslagens bestämmelser. För insatser inom ramen för faktiskt handlande finns inget dokumentationskrav. Gränsen mellan vad som är ärendehandläggning och faktiskt handlande är inte alltid helt tydlig.

4.6. Rättslig grund för personuppgiftsbehandling

4.6.1. Utredningens uppdrag i denna del

Kommittédirektiven

För att personuppgifter ska få behandlas helt eller delvis automatiskt eller annan behandling ska få ske av personuppgifter som ingår i eller kommer att ingå i ett register krävs att en rättslig grund i artikel 6.1 i dataskyddsförordningen är tillämplig. Enligt artikel 6.3 första stycket ska grunden för den behandling av personuppgifter som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den nationella rätten som den personuppgiftsansvarige omfattas av.

12 Socialstyrelsens och Skolverkets Vägledning för elevhälsa – reviderad version 2016, s. 26.

Enligt kommittédirektiven behöver det analyseras vad dataskyddsförordningens krav i denna del innebär i fråga om nationell författningsreglering. Dataskyddsutredningen ska analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling och lämna behövliga och lämpliga författningsförslag.

När det gäller behandling av personuppgifter som utförs av myndigheter, kommuner, landsting och enskilda inom utbildningsområdet, förutom forskningsverksamhet, uppdras det åt utredningen att analysera om en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, för att säkerställa att nödvändig behandling av personuppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.

Utredningen ska därför undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom skollagsreglerad utbildningsverksamhet som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå och lämna de författningsförslag som behövs.

Utredningens närmare utgångspunkter

I dagsläget regleras skolväsendets och de övriga skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling av personuppgiftslagen. Förutom för den medicinska verksamheten inom elevhälsan, som omfattas av patientdatalagen, finns det ingen särskild registerförfattning för denna personuppgiftsbehandling. Den 25 maj 2018 ska dataskyddsförordningen börja tillämpas. Utredningen utgår från att Dataskyddsutredningens förslag till lag (2018:xx) om kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) kommer att träda i kraft samma dag och att personuppgiftslagen därigenom kommer att upphävas.

För en personuppgiftsansvarig som anordnar utbildning eller fullgör andra uppgifter enligt skollagen innebär detta att denne måste ha stöd för sin behandling i en rättslig grund enligt artikel 6.1 i dataskyddsförordningen om behandlingen företas på helt eller delvis automatisk väg eller ingår i eller kommer att ingå i ett register. De

rättsliga grunder som främst är aktuella för en personuppgiftsansvarig inom det skollagsreglerade utbildningsområdet att tillämpa är dels att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (c), dels att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (e). Ytterligare grunder som skulle kunna vara aktuella är samtycke från den registrerade till behandlingen (a) och för enskilda huvudmän intresseavvägningen enligt (f).

Beträffande de rättsliga grunderna i artikel 6.1 c och e i dataskyddsförordningen krävs, enligt artikel 6.3 första stycket, att de är fastställda i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av för att de ska vara tillämpliga. Detta är nytt i jämförelse med personuppgiftslagen. Såsom redogjorts för i avsnitt 3.4.1 är Dataskyddsutredningens uppfattning att det med grunden för behandlingen i artikel 6.3 första stycket avses den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen (SOU 2017:39, avsnitt 8.3.1). Enligt Dataskyddsutredningens bedömning innebär kravet på att grunden för behandlingen ska fastställas inte att det krävs en särskild reglering med anledning av dataskyddsförordningens ikraftträdande, men förekomsten av reglering avgör i vilken utsträckning personuppgiftsansvariga kan åberopa de rättsliga grunder som avses i artikel 6.1 c och e.

Av artikel 6.3 andra stycket framgår att syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Vidare anges att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Kommittédirektivens beskrivning av utbildningsområdet omfattar inte de uppgifter som skollagen ålägger hemkommunen generellt, t.ex. anordna skolskjuts och betala bidrag till enskilda huvudmän. Andra uppgifter som åligger hemkommunen omnämns dock särskilt t.ex. att hemkommunen ska föra ett register över de ung-

domar i kommunen som omfattas av aktivitetsansvaret enligt 29 kap. 9 § skollagen.

Av direktiven framgår dock att utredningen är oförhindrad att inom de ramar som angetts för uppdraget ta upp och belysa även andra frågeställningar som är relevanta för uppdraget. Om utredaren kommer fram till att det krävs eller är lämpligt med kompletterande eller ändrade nationella bestämmelser i andra delar än de som ska utredas särskilt, ska sådana föreslås.

Det har framkommit att det förenklar för kommunerna om de, när de behandlar personuppgifter med anledning av skollagen har att tillämpa samma regelverk, oavsett om behandlingen grundas i en uppgift som utförs på grund av att kommunen är huvudman för en viss skolform eller om behandlingen grundas i ett annat åliggande enligt skollagen. Utredningen har därför valt att även ta upp frågor som rör kommunernas åligganden såsom hemkommuner enligt skollagen.

De första frågor som utredningen har att ta ställning till är om det finns en eller flera rättsliga grunder som är tillämpliga för huvudmännen för den skollagsreglerade utbildningsverksamheten och kommunerna såsom hemkommuner, dvs. de personuppgiftsansvariga, när de behandlar personuppgifter. Om utredningen kommer fram till att dessa fullgör en rättslig förpliktelse, utför en uppgift av allmänt intresse eller utför en uppgift som ett led i myndighetsutövning måste utredningen även ta ställning till vilket rättsligt stöd det finns för verksamheterna att utföra dessa uppgifter, dvs. om grunderna är fastställda i svensk rätt.

Som framgår av följande avsnitt bedömer utredningen att uppgift av allmänt intresse är den rättsliga grund som skollagsreglerad utbildningsverksamhet oftast kan tillämpa vid behandling av personuppgifter. Av den anledningen inleds genomgången av de rättsliga grunderna med den.

4.6.2. Uppgift av allmänt intresse

Bedömning: Genom bestämmelser i skollagen med anslutande

föreskrifter och beslut fattade med stöd av dessa är det i svensk rätt fastställt att tillhandahållande, anordnande och bedrivande av utbildning och annan pedagogisk verksamhet är en uppgift av allmänt intresse.

Artikel 6.1 e i dataskyddsförordningen kan därmed utgöra rättslig grund för nödvändig personuppgiftsbehandling för att utöva verksamhet som har sin grund i nämnda föreskrifter när personuppgiftslagen upphävs. Det finns således inget behov av en särskild reglering för att de skollagsreglerade verksamheterna ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse.

Är anordnande och bedrivande av utbildning en fastställd uppgift av allmänt intresse?

Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I artikel 6.1 anges att en behandling är laglig endast om och i den mån åtminstone ett av de i artikeln uppräknade villkoren är uppfyllt. Enligt artikel 6.1 e får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Artikeln är inte begränsad till offentligrättsliga aktörer utan den rättsliga grunden allmänt intresse kan åberopas av både det allmänna och enskilda.

Begreppet allmänt intresse är ett unionsrättsligt begrepp som ännu inte har definierats. I artikel 14 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02) anges att var och en har rätt till utbildning och att denna rätt innefattar möjligheten att kostnadsfritt följa den obligatoriska undervisningen. Att utbildning är en grundläggande rättighet talar för att utbildning, på EU-nivå, bedöms vara en uppgift av allmänt intresse.

Dataskyddsutredningens bedömning är att det med hänsyn till svensk förvaltningstradition är rimligt att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse. Även de obligatoriska uppgifter som utförs av kommuner och landsting, till

följd av deras åligganden enligt lag eller förordning, bör vara av allmänt intresse i dataskyddsförordningens mening. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör även entreprenören anses utföra en uppgift av allmänt intresse. Genom avmonopolisering och konkurrensutsättning av offentlig verksamhet utför numera även privaträttsliga organ en inte obetydlig del av de uppgifter som måste anses vara av allmänt intresse, t.ex. barnomsorg och skola (SOU 2017:39, avsnitt 8.3.4).

Enligt 1 kap. 2 § andra stycket regeringsformen ska det allmänna särskilt trygga rätten till bl.a. utbildning. Syftet med bestämmelsen är att ange mål för den samhälleliga verksamheten. Redan härur kan det utläsas att anordnande av utbildning enligt svensk rätt är en uppgift av allmänt intresse.

Därtill finns skollagen med anslutande föreskrifter som innehåller närmare bestämmelser om utbildning för barn och vuxna. I förarbetena till den nuvarande skollagen anförs att utbildningen är av betydelse både för den enskilda individens utveckling och för samhällsutvecklingen (prop. 2009/10:165 s. 634). Redan utredningen om offentlighet och sekretess i skolan ansåg att det är av stort allmänt intresse att skolorna kan fullgöra sina arbetsuppgifter (SOU 2003:103 s. 199). Regeringen har i två propositioner från i mars 2017 ansett att undervisning inom skolväsendet får anses vara en uppgift av allmänt intresse i den mening som avses i 10 § PUL (prop. 2016/17:156 s. 43 och prop. 2016/17:161 s. 21).

Skollagen innehåller förutom bestämmelser om skolväsendet och särskilda utbildningsformer även bestämmelser om bl.a. annan pedagogisk verksamhet (25 kap.), se avsnitt 4.1.3. Även om annan pedagogisk verksamhet i strikt mening inte skulle inrymmas i begreppet utbildning så utgör de uppgifter som utförs av kommuner till följd av deras åligganden enligt skollagen med anslutande föreskrifter. När det gäller öppen förskola är det visserligen enligt skollagen frivilligt för kommunen att anordna sådan men om kommunen fattar beslut om att anordna öppen förskola måste verksamheten följa de föreskrifter som kommunen ställer upp. Enligt utredningens bedömning bör även annan pedagogisk verksamhet vara en uppgift av allmänt intresse i dataskyddsförordningens mening. Detsamma gäller för öppen fritidsverksamhet som erbjuds av en huvudman.

Även de uppgifter som åligger en kommun såsom hemkommun enligt skollagen, t.ex. ansvar för att utbildning i förskola kommer till stånd för alla barn i kommunen som ska erbjudas förskola och vars vårdnadshavare önskar det (8 kap. 12 § skollagen) eller tillhandahålla skolskjuts (t.ex. 10 kap. 32 § skollagen) är enligt utredningens bedömning en uppgift av allmänt intresse i dataskyddsförordningens mening.

Utredningens bedömning är således att tillhandahållande och anordnande av utbildning och annan pedagogisk verksamhet enligt skollagen med anslutande föreskrifter är en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.

Frågan härefter blir om denna uppgift är fastställd i svensk rätt. Av skäl 41 till dataskyddsförordningen framgår att en rättslig grund bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den.

Skolväsendets, de särskilda utbildningsformernas och annan pedagogisk verksamhets samt hemkommunernas uppdrag och åligganden framgår av skollagen men även av flera förordningar som alla antagits i enlighet med grundlagens bestämmelser om normgivningskompetens. Skollagen anger vilka ramar som gäller för all skolverksamhet. Där finns de övergripande målen och riktlinjerna för skolan. Läroplanerna ska tillsammans med skollagen styra verksamheten i skolan. I ämnes- och kursplanerna står vilket syfte och mål undervisningen i varje ämne ska ha. Kursplanerna talar inte om hur undervisningen ska läggas upp eller vilka arbetssätt som ska användas. Däremot anger kursplanerna vilka kunskapskvalitéer som ska utvecklas hos eleverna. Uppgiften av allmänt intresse som går att utläsa av skollagen och tillhörande föreskrifter kan sammanfattas till att tillhandhålla, anordna och genomföra samt utvärdera och följa upp utbildning och annan pedagogisk verksamhet.

Av avsnitt 4.1 framgår vilka som enligt 1 kap. 1 § och 2 kap.26 §§skollagen kan vara huvudmän för olika skolformer. Den närmare innebörden av uppdragen och åliggandena inom dessa verksamheter framgår av 2–21 kap. skollagen och föreskrifter som har sin grund i den lagen som t.ex. skolförordningen, gymnasieförordningen, förordningen (SKOLFS 2010:37) om läroplan för grundskolan, förskoleklassen och fritidshemmet, förordningen (SKOLFS 2011:144) om läroplan för gymnasieskolan, förordningen (SKOLFS 2010:14) om examensmål för gymnasieskolans nationella program, förordningen (SKOLFS 2010:261) om ämnesplaner för de

gymnasiegemensamma ämnena och Skolverkets föreskrifter (SKOLFS 2011:19) om kunskapskrav för grundskolans ämnen.

Av 2 kap. 8 § skollagen framgår att huvudmannen ansvarar för att utbildningen genomförs i enlighet med bestämmelserna i denna lag, föreskrifter som har meddelats med stöd av lagen och de bestämmelser för utbildningen som kan finnas i andra författningar. Genom bestämmelserna i 2 kap.24 §§skollagen åligger det kommuner, staten och i vissa fall landsting att vara huvudmän för vissa skolformer inom skolväsendet och därigenom bedriva utbildningen i enlighet med skollagen och anslutande föreskrifter. Av 5 § framgår att enskilda efter ansökan får godkännas som huvudmän för vissa skolformer. Genom Skolinspektionens beslut om godkännande av enskild som huvudman för förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola eller fritidshem som anordnas vid en skolenhet med förskoleklass, grundskola eller grundskola är den enskilde huvudmannen ålagd att anordna utbildning i enlighet med de bestämmelser som gäller för den aktuella skolformen. På motsvarande sätt utgör en kommuns godkännande av en enskild som huvudman för en fristående förskola eller ett fristående fritidshem som inte är kopplat till en skolenhet ett åläggande för huvudmannen att bedriva utbildningen i enlighet med skollagen och anslutande föreskrifter.

Huvudmännen är, oavsett om de är en kommun, ett landsting, staten eller ett privaträttsligt subjekt, skyldiga att genomföra utbildningen i enlighet med bestämmelserna i skollagen och anslutande föreskrifter samt de bestämmelser för utbildningen som kan finnas i andra författningar, dvs. i enlighet med en offentligrättslig lagstiftning. Uppdraget att bedriva utbildning är således detsamma oavsett huvudmannaskap.

Legalitetsprincipen

Enligt 1 kap. 1 § regeringsformen utövas den offentliga makten under lagarna. Med uttrycket lagarna avses inte endast sådana föreskrifter som riksdagen har beslutat utan även andra författningar och t.ex. sedvanerätt (prop. 1973:90 s. 397). All offentlig verksamhet, oavsett dess karaktär måste grundas på skrivna regler i rättsordningen. För statliga, kommunala eller landstings myndigheter gäller legalitets-

principen, dvs. myndigheternas maktutövning i vidsträckt mening måste ha stöd i någon av de källor som tillsammans bildar rättsordningen. Kravet på författningsstöd bildar utgångspunkten för myndigheternas verksamhet, såväl när det gäller att handlägga ärenden och beslut i dessa som i fråga om annan verksamhet som en myndighet bedriver.

Det kan vidare nämnas att regeringen i en proposition om ny förvaltningslag föreslår att legalitetsprincipen även ska komma till uttryck i förvaltningslagen (prop. 2016/17:180 s. 57 f. och 289). Av föreslagen 5 § framgår att en myndighet endast får vidta åtgärder som har stöd i rättsordningen. Paragrafen föreslås gälla i all verksamhet som en myndighet bedriver, dvs. vid såväl handläggning av och beslutsfattande i enskilda ärenden som s.k. faktiskt handlande. Med kravet på legalitet menar regeringen att det ska finnas någon form av normmässig förankring för all typ av verksamhet som en myndighet bedriver. Däremot bör det inte ställas krav på att varje enskild åtgärd som en myndighet vidtar kan kopplas till ett specifikt bemyndigande. Kravet på legalitet bör inte heller uppfattas så att en myndighets åtgärd måste ha uttryckligt stöd i en viss lagbestämmelse eller i andra föreskrifter som har meddelats i enlighet med 8 kap. regeringsformen.

Det råder ingen tvekan om att de förskolor och skolor vars huvudmän är staten, en kommun eller ett landsting är bundna av legalitetsprincipen. Dessa måste därför ha någon form av normmässig förankring i skollagen med tillhörande föreskrifter för de åtgärder de vidtar inom anordnandet av utbildningen. Detsamma gäller kommunerna när de utför sina åligganden som hemkommun enligt skollagen.

När ett privaträttsligt subjekt, en enskild, fått ett godkännande att bedriva fristående skola innebär det att uppgifter som innefattar myndighetsutövning mot enskilda, t.ex. beslut om disciplinära åtgärder och åtgärdsprogram, överlämnats till huvudmannen (prop. 2009/10:165 s. 598). I 1 kap. 9 § regeringsformen anges att domstolar samt förvaltningsmyndigheter och andra som fullgör offentliga förvaltningsuppgifter ska i sin verksamhet beakta allas likhet inför lagen samt iaktta saklighet och opartiskhet. Normmässighets- och objektivitetskravet gäller således även för privaträttsliga subjekt när de fullgör förvaltningsuppgifter som har överlämnats till dem (prop. 2009/10:80 s. 247). Det innebär att dessa principer gäller

även för de skolor vars huvudmän är ett privaträttsligt subjekt, en enskild, inom uppdraget att anordna utbildning.

Frågan om de enskilda huvudmännen för fristående skolor är bundna av legalitetsprincipen har uppmärksammats av Johan Hirschfeldt och Lotta Lerwall i artikeln Friskolorna – några konstitutionella synpunkter på deras ställning.13 Författarna anser att fristående skolor i förhållande till eleverna är bundna av legalitetsprincipen. Detta eftersom verksamheten i de fristående skolorna i förhållande till eleverna utgör offentliga förvaltningsuppgifter och då inte bara vid myndighetsutövning. Därtill har eleverna skolplikt eller plikt att närvara i skolan.

Huvudmännen för fristående skolor är bundna av skollagen med anslutande föreskrifters bestämmelser när de bedriver utbildning. Utredningen instämmer i bedömningen att de fristående skolornas huvudmän i förhållande till eleverna är bundna av legalitetsprincipen när de anordnar utbildning för eleverna enligt skollagen med tillhörande föreskrifter eftersom de därigenom på samma sätt som skolor vars huvudmän är staten, en kommun eller ett landsting, utövar offentlig makt över eleverna.

Som tidigare nämnts är utredningen även av uppfattningen att huvudmännen för de fristående förskolorna och fritidshemmen är bundna av skollagen med anslutande föreskrifter när de bedriver sådan utbildning.

Skollagen

Av skollagen och anslutande föreskrifter framgår mer precist vilka uppgifter som åligger huvudmännen när de anordnar utbildning och hemkommunerna när de tillhandahåller utbildning m.m. Som exempel på personuppgiftsbehandling som kan anses nödvändig på grund av huvudmännens uppgifter enligt skollagen kan t.ex. elevregister för administration av elevernas närvaro (7 kap. 17 § skollagen), dokument av elevernas kunskaper för att kunna hålla utvecklingssamtal, skriva en utvecklingsplan (t.ex. 10 kap.12 och 13 §§skollagen) och betygssätta (3 kap. 13 § skollagen) nämnas.

13 Ur boken Bertil Bengtsson 90 år, s. 169 f.

Ett annat exempel är själva undervisningen. Med undervisning avses enligt 1 kap. 3 § skollagen sådana målstyrda processer som under ledning av lärare och förskollärare syftar till utveckling och lärande genom inhämtande och utvecklande av kunskaper och värden. Med utbildning avses enligt samma bestämmelse den verksamhet inom vilken undervisning sker utifrån bestämda mål. Av förarbetena (prop. 2009/10:165 s. 217 f.) framgår att begreppet undervisning fått en definition som är anpassad för såväl förskola och fritidshem som skola och vuxenutbildning. Begreppet har getts en vid tolkning i dessa verksamheter. Med undervisning avses inte bara katederundervisning utan även t.ex. förmedlande och undersökande undervisningsmetodik. Det är centralt i den kunskapssyn som genomsyrar skolans samtliga styrdokument att undervisningen syftar till att eleverna ska inhämta samt utveckla både kunskaper och värden. I förskolan bildar omsorg, utveckling och lärande en helhet i undervisningen.

I förarbetena anges vidare att begreppet utbildning utgör en övergripande term som beskriver all den verksamhet som omfattas av de övergripande målen i skolförfattningarna. Begreppet utbildning är ett vidare begrepp än undervisning och kan omfatta annan verksamhet än undervisning i den inre och yttre miljön, t.ex. på skolgården och i matsalen eller organiserat lärande förlagt till en arbetsplats. Utbildning kan dessutom omfatta annan verksamhet som äger rum t.ex. vid lägerskolor, utflykter eller olika former av praktik eller annan verksamhetsförlagd verksamhet. I förskolan har utbildningsbegreppet ett brett pedagogiskt perspektiv där omsorg, utveckling och lärande bildar en helhet. I det vidare begreppet utbildning omfattas också de frivilliga konfessionella inslag som förskolor och skolor med enskild huvudman kan ha (1 kap. 7 § skollagen).

Vidare framgår av 1 kap. 11 § skollagen att det ska finnas en läroplan för varje skolform och fritidshemmet som utgår från bestämmelserna i skollagen. Läroplanen ska ange utbildningens värdegrund och uppdrag. Den ska också ange mål och riktlinjer för utbildningen.

För t.ex. skolformen grundskola anges i 5 kap. 2 § skolförordningen (2011:185) att eleverna ska genom strukturerad undervisning ges ett kontinuerligt och aktivt lärarstöd i den omfattning som behövs för att skapa förutsättningar för att eleverna når de kunskapskrav som minst ska uppnås och i övrigt utvecklas så långt som möjligt inom ramen för utbildningen.

I förordningen (SKOLFS 2010:37) om läroplan för grundskolan, förskoleklassen och fritidshemmet uppställs mål för elevernas kunskaper efter genomgången grundskola (avsnitt 2.2). Skolan ansvarar för att varje elev efter genomgången grundskola bl.a. kan använda modern teknik som ett verktyg för kunskapssökande, kommunikation, skapande och lärande.

Vidare anges i avsnitt 5.17 angående centralt innehåll för undervisningen i svenska i årskurs 1–3 under delen informationssökning och källkritik att informationssökning i böcker, tidskrifter och på webbsidor för barn ingår. För årskurs 4–6 ingår informationssökning i några olika medier och källor, till exempel i uppslagsböcker, genom intervjuer och via sökmotorer på internet. För årskurs 7–9 ingår informationssökning på bibliotek och på internet, i böcker och massmedier samt genom intervjuer. Vidare ingår i centralt innehåll i ämnet svenska för årskurs 1–3 att eleverna ska lära sig handstil och att skriva på dator och för årskurs 4–6 att skriva, disponera och redigera texter för hand och med hjälp av dator. För årskurs 7–9 ingår redigering och disposition av texter med hjälp av dator samt att lära sig olika funktioner för språkbehandling i digitala medier. Det ingår även att lära sig strategier för att skriva olika typer av texter med anpassning till deras typiska uppbyggnad och språkliga drag och skapande av texter där ord, bild och ljud samspelar.

Beträffande ämnet samhällskunskap (avsnitt 5.15 i nämnda läroplan) anges att ett av syftena med undervisningen är att eleverna ska utveckla sin förmåga att söka information om samhället från medier, internet och andra källor och värdera deras relevans och trovärdighet.

Vidare uppställs som kunskapskrav för godtagbara kunskaper i svenska i slutet av årskurs 3 att eleven kan skriva enkla texter med läslig handstil och på dator (Skolverkets föreskrifter [SKOLFS 2011:19] om kunskapskrav för grundskolans ämnen).

Av läroplanen för grundskolan och föreskrifterna om kunskapskrav för grundskolans ämnen kan utläsas att undervisningen (utbildningen), i vart fall i ämnena svenska och samhällskunskap, förutsätter att eleverna har tillgång till och använder sig av datorer. Om de inte får denna tillgång kommer eleverna inte att kunna uppnå kunskapskraven i svenska och samhällskunskap, dvs. att lära sig skriva texter på dator och söka information på internet.

Dessa uppräknade dokument anger mål med undervisningen men inte exakt i minsta detalj hur undervisningen ska läggas upp eller vilka

arbetssätt som ska användas. Läraren har ett visst mått av bestämmande över undervisningens innehåll men måste hålla sig inom de ramar som satts upp i bl.a. läroplanen och av skolans rektor. En lärare kan dock bestämma t.ex. vilken litteratur som eleverna ska läsa, vilka uppgifter som de ska lösa och vilka hjälpmedel som ev. ska användas t.ex. dator eller miniräknare. Detta innebär emellertid inte att själva undervisningen inte är fastställd i svensk rätt. Den undervisning som bedrivs av lärarna i skolorna har sitt stöd i skollagen med anslutande föreskrifter eftersom dessa sätter ramarna för undervisningen. Även själva undervisningen är enligt utredningens bedömning fastställd genom skollagen och anslutande föreskrifter och därigenom tydlig, precis och förutsägbar (jfr skäl 41 till dataskyddsförordningen).

Enligt utredningens bedömning har således de åtgärder som huvudmännen, oavsett om det är staten, en kommun, ett landsting eller en enskild, vidtar i syfte att utföra uppdragen eller uppfylla åligganden enligt skollagen och anslutande föreskrifter mot bakgrund av det anförda i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler (jfr skäl 41). Uppgiften av allmänt intresse som huvudmännen för olika skolformer utför, dvs. anordna utbildning, är således fastställd i svensk rätt genom skollagen med anslutande föreskrifter. Nödvändig behandling av personuppgifter för att utföra en uppgift som kan finna stöd i skollagen och därmed anslutande författningar kan ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering av huvudmännens obligatoriska uppgifter krävs inte för att de ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra sina uppgifter.

Det finns således rättslig grund för de personuppgiftsbehandlingar som sker i dagsläget för att kunna bedriva utbildning enligt skollagen och anslutande författningar. Som framgår av avsnittet om legalitetsprincipen krävs det redan enligt gällande rätt att skolhuvudmännen har författningsstöd för sina åtgärder inom ramen för den skollagsreglerade verksamheten, dvs. uppgiften av allmänt intresse. Motsvarande krav på författningsstöd kommer från och med den 25 maj 2018 gälla även enligt dataskyddsförordningen, men innebär alltså inte något principiellt nytt för skolhuvudmännen.

I den mån det bedöms angeläget att utvidga uppgiften av allmänt intresse – och därmed utöka möjligheten att behandla personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen – utöver vad som i dagsläget framgår av skollagen och anslutande författningar

följer det redan av legalitetsprincipen att så måste ske genom ändrade eller nya föreskrifter för verksamheten.

Utredningen bedömer att även de övriga skyldigheter som enligt skollagen åligger hemkommunen – t.ex. att ansvara för att utbildning i grundskolan kommer till stånd (10 kap. 24 skollagen) och lämna bidrag till enskilda huvudmän för fristående förskolor och fristående skolor (8 kap. 21 § och 10 kap. 37 §skollagen) – är en uppgift av allmänt intresse. Dessa uppgifter av allmänt intresse är fastställda genom bestämmelserna i skollagen som reglerar just den aktuella uppgiften. Nödvändig behandling av personuppgifter för att utföra dessa uppgifter som kan finna stöd i skollagen och därmed anslutande författningar kan ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering av hemkommunernas obligatoriska uppgifter enligt skollagen krävs inte för att de ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra dessa.

Det är dock av vikt att påpeka att det kommer an på den personuppgiftsansvarige att bedöma om den konkreta personuppgiftsbehandlingen är nödvändig för att utföra en uppgift som kan utläsas av skollagen eller anslutande föreskrifter. Om t.ex. en lärare bestämmer att uppgifter ska lösas med hjälp av dator och eleverna därför ges inloggningsuppgifter till dessa uppgifter är det den personuppgiftsansvarige som ska bedöma om personuppgiftsbehandlingen är nödvändig för att utföra uppgiften utbildning. Den personuppgiftsansvarige måste således hålla sig väl informerad om gränserna för det uppdrag och de åligganden som följer av regleringen för den skollagsreglerade verksamheten.

Om den personuppgiftsansvarige inte finner stöd i skollagen eller anslutande föreskrifter för den verksamhet för vilken den aktuella personuppgiftsbehandlingen är nödvändig är det enligt utredningens mening inte fråga om sådan utbildningsverksamhet som ska bedrivas enligt nämnda författningar. I sådant fall måste den personuppgiftsansvarige bedöma om en annan rättslig grund enligt artikel 6.1 är tillämplig för sådan personuppgiftsbehandling som inte krävs för att bedriva utbildning enligt skollagen. Om inte någon rättslig grund är tillämplig på behandlingen är den inte laglig enligt dataskyddsförordningen.

Ändamålet med behandlingen måste vara nödvändigt

Det bör betonas att rättslig grund inte ensam är en tillräcklig förutsättning för att behandling av personuppgifter ska vara tillåten. Därutöver måste den personuppgiftsansvarige även tillämpa principerna för behandling av personuppgifter i artikel 5 i dataskyddsförordningen. Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (5.1 a). De ska samlas in för särskilda, uttryckliga och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (5.1 b). Principen om att ändamålen ska vara berättigade utgör i likhet med principen om laglighet en direkt koppling till de rättsliga grunderna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte förenligt med artikel 5.

I artikel 6.3 andra stycket anges att syftet med behandlingen, i fråga om behandling enligt punkten 1 e (uppgift av allmänt intresse), ska vara nödvändigt för att utföra en uppgift av allmänt intresse. Enligt Dataskyddsutredningen behöver ändamålet inte framgå av den författning eller det beslut där själva uppgiften fastställs. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. Bestämmelsen uttrycker det samband som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de särskilda ändamålen för behandlingen, vilket i normalfallet är den personuppgiftsansvarige, men i vissa fall även kan vara lagstiftaren. Detta krav på samband framgår även av artikel 5.1 b, där det anges att de särskilda ändamålen ska vara berättigade (SOU 2017:39, 8.3.4).

Ett exempel är skolbiblioteken. Eleverna i bl.a. grundskolan och gymnasieskolan ska ha tillgång till skolbibliotek (2 kap. 36 § skollagen). Biblioteken skulle visserligen kunna låna ut böcker till eleverna utan att registrera vem som lånat boken, men om inte alla böcker lämnas tillbaka i tid vet inte bibliotekarien vilken elev som inte lämnat tillbaka boken och kan inte vidta några åtgärder för att få tillbaka den. För att skolbibliotekarien ska kunna veta vilken elev som lånat vilken bok och därigenom kunna återfå boken när lånetiden är slut, om den inte återlämnats, behöver det föras ett register över låntagare och deras lån. Detta ändamål är nödvändigt för att utföra uppgiften, att inom anordnandet av utbildning tillhandahålla skolbibliotek. Behandlingen av personuppgifter kan således ske enligt artikel 6.1 e, på

den rättsliga grund som utgörs av skollagen. Att föra ett register över låntagare för att hålla reda på utlånade böcker kan samtidigt också av den personuppgiftsansvarige anges som ett särskilt, uttryckligt angivet och berättigat ändamål enligt artikel 5.1 b.

Ett annat exempel är en av de skyldigheter kommunerna har såsom hemkommun enligt skollagen, utöver de som ankommer på en huvudman för en viss skolform. Av 7 kap. 21 § skollagen framgår att hemkommunen ska se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning. Att kommunerna har vetskap om vilka skolpliktiga barn som finns i kommunen och var de fullgör sin skolplikt är enligt utredningens bedömning en uppgift av allmänt intresse. Uppgiften är fastställd genom bestämmelserna i skollagen. För att kommunerna ska kunna uppfylla uppgiften behöver de föra en förteckning över vilka barn i kommunen som har skolplikt och var de fullgör denna. Syftet med denna behandling är nödvändigt för att utföra uppgiften av allmänt intresse. Behandlingen av personuppgifter kan således ske enligt artikel 6.1 e på den rättsliga grund som utgörs av skollagen.

Det bör noteras att avsaknad av författningsbestämmelse eller en särskild reglering till stöd för en viss personuppgiftsbehandling inte medför att det inte går att utläsa ett ändamål som är nödvändigt för att utföra uppgiften av allmänt intresse. Som exempel kan tas en internationell skola på gymnasienivå. Skolan har en enskild huvudman och följer en utländsk eller internationell läroplan. Det finns inga bestämmelser om att huvudmannen ska ha ett godkännande för att få bedriva utbildningen men för att vara berättigad till bidrag för elever från deras hemkommuner måste huvudmannen få en förklaring om rätt till bidrag från Skolinspektionen (24 kap.6 och 6 a §§skollagen). För att en enskild huvudman för en internationell skola på gymnasienivå ska förklaras berättigad till bidrag enligt skollagen krävs bl.a. att utbildningen är utformad så att den som helhet betraktad är likvärdig med utbildningen i gymnasieskolan. Dess allmänna mål och värdegrund får inte strida mot de allmänna mål och den värdegrund som gäller för utbildning inom skolväsendet (7 § förordningen [2015:801] om internationella skolor). Genom bestämmelserna i 24 kap.2, 6 och 6 a §§skollagen tillsammans med relevanta bestämmelser i förordningen om internationella skolor och ett beslut från Skolinspektionen om förklaring om rätt till bidrag är utredningens bedömning att den utbildning som den internationella sko-

lan bedriver är en uppgift av allmänt intresse som är fastställd i svensk rätt. Den internationella skolan är dock inte bunden av t.ex. skollagens bestämmelser om betygssättning (se 3 kap. 13 § skollagen som särskilt räknar upp vilka skolformer som omfattas) och den måste inte ansöka om tillstånd att sätta betyg, anordna prövning samt utfärda betyg, gymnasieexamen och intyg enligt de bestämmelser som gäller för gymnasieskolan (förordningen [2012:509] om betygsrätt för viss utbildning vid internationella skolor). Att eleverna ska få betyg kan dock framgå av den utländska eller internationella läroplanen skolan följer. Om behandling av personuppgifter för att kunna betygssätta eleverna inom den internationella skolan är nödvändig för att utföra uppgiften av allmänt intresse, dvs. anordna utbildning, bör sådan behandling kunna ske med stöd av den rättsliga grunden utföra uppgift av allmänt intresse fastställd i skollagen, förordningen om internationella skolor och beslutet från Skolinspektionen. Förutom att bedöma vilken rättslig grund enligt artikel 6.1 i dataskyddsförordningen som är tillämplig ankommer det på den enskilde huvudmannen att bestämma ändamålen med personuppgiftsbehandlingen, vilka personuppgifter som ska behandlas etc. enligt artikel 5.

Det kan tilläggas att även om den utbildning som en internationell skola på gymnasienivå anordnar inte skulle anses vara fastställd i svensk rätt kan huvudmannen tillämpa den rättsliga grunden intresseavvägning (artikel 6.1 f), se avsnitt 4.6.5.

Särskilda utbildningsformer

Utbildning vid särskilda ungdomshem ska för skolpliktiga barn som vistas där och inte lämpligen kan fullgöra sin skolplikt på annat sätt, anordnas genom försorg av huvudmannen för hemmet. För de barn som inte längre är skolpliktiga och inte lämpligen kan fullgöra sin skolgång på annat sätt ska genom huvudmannens försorg ges möjlighet att delta i utbildning (24 kap.8 och 9 §§skollagen).

Barn som genom en brottmålsdom dömts till sluten ungdomsvård placeras på särskilt ungdomshem. Dessa barn omfattas också av bestämmelserna i 24 kap.8 och 9 §§skollagen (32 kap. 5 § brottsbalken samt 1 och 12 § lagen [1998:603] om verkställighet av sluten ungdomsvård). SiS ansvarar för verkställigheten (3 § lagen om

verkställighet av sluten ungdomsvård). I den del av myndighetens verksamhet som avser verkställighet av sluten ungdomsvård ska enligt Utredningen om 2016 års dataskyddsdirektiv förslaget till brottsdatalag (2018:000) tillämpas eftersom det är fråga om en straffrättslig påföljd (SOU 2017:29, Brottsdatalag, avsnitt 8.4.2).

För barn vars personuppgifter behandlas med anledning av att de får utbildning vid särskilda ungdomshem, och som placerats där med stöd av socialtjänstlagen (2001:453) eller lagen (1990:52) om särskilda bestämmelser om vård av unga, är den föreslagna brottsdatalagens bestämmelser inte tillämpliga (det är inte fråga om verkställighet av en påföljd). Det är således dataskyddsförordningens bestämmelser som ska tillämpas i detta fall på personuppgiftsbehandlingen. Genom bestämmelserna i t.ex. 24 kap. 8 § skollagen är uppgiften av allmänt intresse, dvs. huvudmannen för hemmets (SiS) anordnande av utbildning för skolpliktiga barn som vistas i hemmet om de inte lämpligen kan fullgöra sin skolplikt på annat sätt fastställd. Vidare anges i bestämmelsen att relevanta bestämmelser i skollagen rörande grundskolan eller i förekommande fall grundsärskolan eller specialskolan ska tillämpas med nödvändiga avvikelser. SiS kan grunda nödvändig personuppgiftsbehandling på artikel 6.1 e i dataskyddsförordningen.

Det innebär att SiS kommer att tillämpa olika regelverk för sin personuppgiftsbehandling beroende på med stöd av vilken bestämmelse som barnen har placerats vid det särskilda ungdomshemmet.

Kriminalvården ansvarar för utbildning som motsvarar kommunal vuxenutbildning och särskild utbildning för vuxna för intagna på kriminalvårdsanstalt (24 kap. 10 § skollagen). Kriminalvården får enligt 3 kap.1 och 2 §§fängelselagen (2010:610) bestämma att en intagen ska ha studier som sysselsättning. Någon åldersgräns gäller inte för sådan verksamhet. När studier är anvisad sysselsättning ingår de som ett led i verkställigheten. Enligt Utredningen om 2016 års dataskyddsdirektiv (SOU 2017:29, avsnitt 8.4.1) bör därför den föreslagna brottsdatalagen tillämpas på behandlingen av personuppgifterna med anledning av studierna. Utredningen instämmer i den bedömningen.

Av 24 kap.24 §§skollagen framgår att en elev under vissa förutsättningar får fullgöra sin skolplikt i en internationell skola på grundskolenivå, se avsnitt 4.1.2. De internationella skolorna på grundskolenivå är ålagda att följa vissa föreskrifter i förordningen om

internationella skolor så länge som godkännandet för den enskilde respektive medgivandet för den kommunala huvudmannen gäller (4 §). Av föreskrifterna framgår bl.a. att utbildningen ska vara utformad så att den som helhet betraktad är likvärdig med utbildningen i grundskolan (5 §). Elever som är bosatta i Sverige för en begränsad tid ska ges undervisning i svenska och om Sverige i den omfattning som de behöver. Undervisning i svenska för övriga skolpliktiga elever ska bedrivas enligt läroplanen för grundskolan och kursplanen i svenska (6 §). Av 24 kap.3 och 4 §§skollagen framgår att barn under vissa förutsättningar får fullgöra sin skolplikt i en internationell skola på grundskolenivå. Mot denna bakgrund är den utbildning som de internationella skolorna på grundskolenivå bedriver, enligt utredningens bedömning, en uppgift av allmänt intresse. Denna uppgift är genom bestämmelserna i 24 kap.2, 3 a och 4 a §§skollagen, tillsammans med relevanta bestämmelser i förordningen om internationella skolor och Skolinspektionens beslut om antingen ett godkännande eller förklaring som huvudman för en internationell skola på grundskolenivå, fastställd i svensk rätt. Enligt utredningens bedömning kan en internationell skola på grundskolenivå således tillämpa den rättsliga grunden uppgift av allmänt intresse för nödvändig personuppgiftsbehandling.

Beträffande utredningens bedömning av en internationell skola på gymnasienivås rättsliga grund för behandling av personuppgifter, se exemplet i föregående avsnitt (Ändamålet med behandlingen måste vara nödvändigt).

Om en folkhögskola har getts rätt att sätta betyg, anordna prövning samt utfärda betyg och intyg och förklarat sig ha för avsikt att ta emot den sökande till utbildningen har den som har rätt att delta i kommunal vuxenutbildning i svenska för invandrare rätt att i stället delta i folkhögskolans motsvarande utbildning (24 kap. 11 § skollagen). En folkhögskola som väljer att bedriva sådan utbildning utför genom anordnandet av just den utbildningen en uppgift av allmänt intresse som är fastställd genom 24 kap. 11 § skollagen. Om folkhögskolan bedömer att personuppgiftsbehandlingen är nödvändig för att den ska kunna bedriva utbildningen i svenska för invandrare kan den tillämpa den rättsliga grunden i artikel 6.1 e för att behandla personuppgifter som hör till just den delen av folkhögskolans verksamhet. Folkhögskolan måste dock även bestämma de närmare ändamålen med behandlingen och i övrigt följa bestämmelserna i artikel 5 för att

behandlingen ska vara tillåten. För folkhögskolors personuppgiftsbehandling, se även avsnitt 7.1.

Skollagen innehåller även bestämmelser om utbildning för barn och elever som vårdas på sjukhus eller annan motsvarande institution. Enligt 24 kap. 16 § skollagen ska huvudmannen för institutionen svara för att barn som vårdas på sjukhus eller en institution som är knuten till ett sjukhus, får tillfälle att delta i utbildning som så långt det är möjligt motsvarar den som erbjuds i förskola, förskoleklass eller fritidshem. Enligt utredningens bedömning kan huvudmannen för institutionen grunda nödvändig personuppgiftsbehandling för att utföra uppgiften utbildning motsvarande den som erbjuds i förskola, förskoleklass eller fritidshem på den rättsliga grunden uppgift av allmänt intresse (artikel 6.1 e). Uppgiften av allmänt intresse är fastställd genom bestämmelsen i 24 kap. 16 § skollagen tillsammans med de bestämmelser om den aktuella utbildningen som huvudmannen anordnar. Som tidigare nämnts är rättslig grund inte ensam tillräcklig för att behandling av personuppgifter ska vara tillåten. Övriga bestämmelser i dataskyddsförordningen måste också vara uppfyllda.

Av bestämmelserna i 24 kap.1719 §§skollagen framgår att särskild undervisning under vissa förutsättningar får anordnas på sjukhus eller institution som är knuten till ett sjukhus för en elev i t.ex. grundskolan. Det är kommunen där institutionen är belägen som ska anordna denna. Undervisningen ska så långt möjligt motsvara den undervisning som eleven inte kan delta i. Enligt utredningens bedömning kan kommunen grunda nödvändig personuppgiftsbehandling för att utföra uppgiften särskild undervisning på den rättsliga grunden uppgift av allmänt intresse (artikel 6.1 e). Uppgiften av allmänt intresse är fastställd genom bestämmelserna i 24 kap.1719 §§skollagen tillsammans med bestämmelserna om den aktuella skolformen, t.ex. grundskola.

En kommun kan på motsvarande vis grunda nödvändig personuppgiftsbehandling för att utföra särskild undervisning i hemmet eller annan lämplig plats på den rättsliga grunden uppgift av allmänt intresse (artikel 6.1 e). Uppgiften av allmänt intresse är fastställd genom bestämmelserna i 24 kap.2022 §§skollagen tillsammans med bestämmelserna om den aktuella skolformen, t.ex. grundskola. Som tidigare nämnts är rättslig grund inte ensam tillräcklig för att behandling av personuppgifter ska vara tillåten. Övriga bestämmelser i dataskyddsförordningen måste också vara uppfyllda.

Annan pedagogisk verksamhet och entreprenad

Enligt 25 kap. 2 § skollagen ska kommunen sträva efter att i stället för förskola eller fritidshem erbjuda ett barn pedagogisk omsorg om barnets vårdnadshavare önskar det. Med pedagogisk omsorg avses främst familjedaghem och flerfamiljslösningar. Sådan verksamhet utförs ofta i den privata aktörens egna hem (SOU 2016:62 s. 171). Genom att pedagogisk verksamhet är reglerad i skollagen bör en sådan verksamhet anses vara en uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom bestämmelsen i 25 kap. 2 § skollagen. Kommunen har således stöd för den nödvändiga personuppgiftsbehandling som den behöver göra för att kunna efterleva bestämmelsen.

Om en enskild anordnar pedagogisk omsorg på entreprenad enligt bestämmelserna i 23 kap. skollagen anses denna utföra uppgiften av allmänt intresse, anordna pedagogisk omsorg, på uppdrag av kommunen (jfr SOU 2017:39, avsnitt 8.3.4). Uppgiften av allmänt intresse är fastställd i svensk rätt genom kommunens beslut om att anlita den enskilde för uppdraget. Med stöd av detta beslut bör den enskilde kunna vidta nödvändiga personuppgiftsbehandlingar med stöd av samma rättsliga grund som kommunen, som om den själv utfört uppgiften, dvs. med stöd av artikel 6.1 e i dataskyddsförordningen.

Entreprenad enligt skollagen innebär att en huvudman med bibehållet huvudmannaskap sluter avtal med någon annan om att denne utför uppgifter inom bl.a. utbildning eller pedagogisk omsorg för barn. I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. I artikel 4.8 definieras personuppgiftsbiträde som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Om ett personuppgiftsbiträde anlitas ska hanteringen regleras genom ett avtal enligt artikel 28.3. I de fall två eller flera gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga enligt artikel 26.

Bedömningen av vem som är personuppgiftsansvarig, ensam eller tillsammans med annan, i ett enskilt entreprenadförhållande måste göras utifrån omständigheterna i det enskilda fallet. Det är enligt

utredningens mening parternas ansvar att se till att befintligt regelverk rörande personuppgiftsbehandling följs när det gäller behandlingen av personuppgifter.

En kommun får enligt 25 kap. 3 § skollagen anordna öppen förskola som ett komplement till förskola och pedagogisk omsorg. Den öppna förskolan ska erbjuda barn en pedagogisk verksamhet i samarbete med de till barnen medföljande vuxna samtidigt som de vuxna ges möjlighet till social gemenskap. Barn och föräldrar har ingen formell plats att ta i anspråk och barnen är inte inskrivna i den öppna förskolan. Verksamheten vänder sig till barn och föräldrar som är hemma på dagarna, t.ex. under föräldraledigheten. För dessa är verksamheten en viktig social träffpunkt, där barnen ges tillfälle att tillsammans med en förälder eller annan vuxen delta i en verksamhet i gruppens form, som syftar till att ge pedagogisk stimulans (prop. 2009/10:165 s. 528). Genom bestämmelsen i 25 kap. 3 § skollagen och kommunens beslut att anordna öppen förskola är enligt utredningens bedömning uppgiften av allmänt intresse, att anordna öppen förskola, fastställd. Utredningen anser dock att det är tveksamt om det normalt kan anses nödvändigt att behandla barnens och föräldrarnas eller andra medföljande vuxnas personuppgifter i verksamheten öppen förskola. Detta gäller trots att det uppenbarligen är fråga om en i svensk rätt fastställd uppgift av allmänt intresse. Om en öppen förskola avser att behandla personuppgifter bör den dock enligt utredningens uppfattning kunna använda sig av den rättsliga grunden samtycke genom att inhämta samtycke från de vuxna.

Öppen fritidsverksamhet får enligt 25 kap. 4 § skollagen erbjudas elever i de utbildningsformer där skolplikt kan fullgöras, i stället för fritidshem från och med höstterminen det år eleven fyller 10 år till och med vårterminen det år eleven fyller 13 år. Verksamheten ska genom pedagogisk verksamhet komplettera utbildningen i de olika utbildningsformer i vilka skolplikt kan fullgöras. Den öppna fritidsverksamheten ska erbjuda eleven möjlighet till utveckling och lärande samt en meningsfull fritid och rekreation. Den öppna fritidsverksamheten är en enklare form av verksamhet som inte erbjuder samma grad av omsorg och tillsyn och elevgrupperna kan vara mer flexibla i jämförelse med fritidshemmen. Genom att verksamheten regleras i skollagen är den enligt utredningens bedömning en uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom den

aktuella bestämmelsen. Huvudmännen har härigenom stöd för att behandla för sin verksamhet nödvändiga personuppgifter.

Av 25 kap. 5 § skollagen framgår att kommunen ska sträva efter att erbjuda omsorg för barn under tid då förskola eller fritidshem inte erbjuds i den omfattning det behövs med hänsyn till föräldrars förvärvsarbete och familjens situation i övrigt. Av förarbetena till bestämmelsen framgår att omsorg för barn under s.k. obekväma arbetstider inte ska betraktas som en skolform, till skillnad från förskolan, och inte heller åläggas de krav som ställs på en sådan verksamhet (prop. 2009/10:165 s. 532). Utgångspunkten är att omsorgen ska erbjudas i den omfattning det behövs med hänsyn till föräldrarnas förvärvsarbete eller familjens situation i övrigt, om föräldrarna inte själva kan ordna omsorgen. Att ”sträva efter” innebär att kommunen inte utan vidare kan avstå från att tillhandahålla sådan omsorg. Ambitionen måste vara att tillhandahålla omsorg även under s.k. obekväm arbetstid åt familjer som har behov av det. Om kommunen vid en viss tidpunkt inte har någon efterfrågan måste kommunen ändå planera för att tillhandahålla omsorg, när situationen förändras.

Eftersom kommunerna genom bestämmelsen i skollagen ges ett uppdrag att ordna barnomsorg under s.k. obekväm arbetstid får sådan verksamhet anses vara en uppgift av allmänt intresse som är fastställd genom bestämmelsen. Kommunerna kan således behandla personuppgifter som är nödvändiga för att kunna utföra uppgiften att tillhandahålla barnomsorg på obekväm arbetstid.

En kommun får med bibehållet huvudmannaskap sluta avtal med en enskild fysisk eller juridisk person om att anordna omsorg för barn under tid då förskola eller fritidshem inte erbjuds (entreprenad enligt 23 kap. skollagen). På samma sätt som angetts ovan angående enskild som anordnar pedagogisk omsorg på entreprenad anser utredningen att den enskilde som ordnar sådan barnomsorg på entreprenad utför uppgiften av allmänt intresse på uppdrag av kommunen.

Som betonats ovan är rättslig grund inte ensam tillräcklig för att behandling av personuppgifter ska vara tillåten. Övriga bestämmelser i dataskyddsförordningen måste också vara uppfyllda.

Sammanfattning

Utredningen konstaterar sammanfattningsvis att all den verksamhet som sker med stöd av (1–25 kap.) skollagen och anslutande föreskrifter är exempel på uppgifter av allmänt intresse. Dessa uppgifter och åligganden har i sig legala grunder som har offentliggjorts genom tydliga, precisa och förutsebara regler. Enligt artikel 6.1 e i dataskyddsförordningen kan därmed sådan personuppgiftsbehandling som krävs för att utföra denna verksamhet ske. Inom ramen för denna verksamhet behöver de personuppgiftsansvariga inte inhämta samtycke för nödvändig personuppgiftsbehandling (se dock avsnitt 4.7 om känsliga personuppgifter). En förutsättning är dock att kraven i artikel 5 också är uppfyllda. Det är den personuppgiftsansvarige som ska säkerställa att behandlingen är laglig och den ansvarige ska också kunna visa att så är fallet.

Enligt utredningens bedömning finns det således inget behov av en särskild reglering för att de skollagsreglerade verksamheternas huvudmän, kommunerna såsom hemkommuner och aktörerna enligt 24 och 25 kap. skollagen ska kunna tillämpa den rättsliga grunden i artikel 6.1 e, uppgift av allmänt intresse.

4.6.3. Myndighetsutövning

Bedömning: Både offentliga och enskilda huvudmän vidtar vissa

åtgärder med stöd av skollagen som innefattar myndighetsutövning gentemot en elev, t.ex. betygssättning och beslut om särskilt stöd.

Det är i dessa situationer möjligt för huvudmännen att tillämpa den rättsliga grunden i andra ledet i artikel 6.1 e i dataskyddsförordningen, för sådan behandling som är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Något behov av ytterligare reglering föreligger inte. I dessa fall kan även den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, vara tillämplig.

Enligt andra ledet i artikel 6.1 e i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Av artikel 6.3 första

stycket framgår att rätten att utöva myndighet ska vara fastställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Enligt andra stycket ska syftet med behandlingen vara nödvändigt som ett led i den personuppgiftsansvariges myndighetsutövning. Ändamålet behöver således inte framgå av det sammanhang där den myndighetsutövande befogenheten fastställs. Ändamålet med behandlingen av personuppgifter måste dock vara nödvändigt för att utföra myndighetsutövningen. För tillämpningen av den rättsliga grunden myndighetsutövning gäller således motsvarande krav som för den rättsliga grunden uppgift av allmänt intresse.

Begreppet myndighetsutövning har en unionsrättslig innebörd. Enligt Dataskyddsutredningen bör man till dess annat framkommer kunna utgå från att det som i Sverige brukar anses som myndighetsutövning faller in under begreppet (SOU 2017:39, avsnitt 8.3.3). Myndighetsutövning karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befogenheten till myndighetsutövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de högsta statsorganen. Utanför begreppet myndighetsutövning faller råd, upplysningar och faktiskt handlande som inte innebär tvång mot den enskilde.

Den största delen av skolornas verksamhet, undervisning, utgör vad som brukar omnämnas som faktiskt handlande. Bara en liten del av verksamheten i förskolor och skolor utgör ärendehandläggning som innebär myndighetsutövning mot enskild. Det kan handla om ärenden som rör mottagande av elever (t.ex. 7 kap. 5 § skollagen), särskilt stöd (3 kap. 9 § skollagen), avstängning av elever (t.ex. 5 kap. 14 § skollagen) eller befrielse från sådana inslag i undervisningen som är obligatoriska (7 kap. 19 § skollagen). Betygssättning av eleverna utgör också myndighetsutövning. De allmänna bestämmelserna om betygsättning finns i bl.a. 3 kap. 13 § skollagen, samt i förordningarna för de olika skolformerna såsom t.ex. gymnasieförordningen.

Enligt utredningens bedömning är grunden för behandlingen redan i dag, genom exemplifierade bestämmelser i skollagen, fastställd. Det behövs därför inte någon ytterligare reglering för att skolorna ska kunna tillämpa den rättsliga grunden myndighetsutövning i de fall en sådan rätt föreligger enligt nationell rätt.

Det bör dock åter betonas att en ytterligare förutsättning för att kunna tillämpa myndighetsutövning som rättslig grund för behandlingen är att också syftet med behandlingen är nödvändigt. Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att behandlingen är laglig och att ändamålet är berättigat och nödvändigt (artikel 5.2 i dataskyddsförordningen).

Avslutningsvis är det utredningens bedömning att även första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, är tillämpligt som rättslig grund för ovan nämnda moment, eftersom betygssättning m.m. ingår i uppgiften att anordna utbildning.

4.6.4. Rättslig förpliktelse

Bedömning: För skollagsreglerad verksamhet finns det i svensk

rätt fastställda rättsliga förpliktelser som åvilar verksamhetsutövarna och som gör det nödvändigt att behandla personuppgifter. Den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen kan då tillämpas. Något behov av ytterligare reglering finns inte.

I dessa fall kan även den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, vara tillämplig.

Enligt artikel 6.1 c i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Av artikel 6.3 första stycket framgår att den rättsliga grunden för behandlingen, dvs. i detta fall den rättsliga förpliktelsen, ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Dessutom ska syftet med behandlingen fastställas i den rättsliga grunden.

Dataskyddsutredningen gör bedömningen att förpliktelsen inte nödvändigtvis måste framgå av en författning eller liknande. Rättsliga förpliktelser ska alltid ha sin grund i lag, men förpliktelser kan också anges i domar eller i myndighetsbeslut som meddelats med stöd av lag eller med stöd av föreskrifter som i sin tur meddelats i lag (SOU 2017:39, avsnitt 8.3.2).

Frågan är då om det finns en eller flera rättsliga förpliktelser för huvudmännen som bedriver förskola, skola och vuxenutbildning att tillhandahålla utbildning för barnen och eleverna.

Utredningen om offentlighet och sekretess i skolan ansåg att skolmyndigheter enligt den då lydande skollagen och andra författningar hade en rättslig skyldighet i personuppgiftslagens mening att fullgöra sina åligganden gentemot eleverna i fråga om såväl undervisning som elevvård (SOU 2003:103 s. 199).

Datainspektionen har ansett att den skyldighet för myndigheter som följer av offentlighetsprincipen är en sådan rättslig skyldighet som avses i motsvarande bestämmelse till rättslig förpliktelse i personuppgiftslagen.14

En skillnad mellan personuppgiftslagen och dataskyddsförordningen är att dataskyddsförordningen kräver att den rättsliga förpliktelsen ska vara fastställd i svensk rätt och att syftet med behandlingen ska vara fastställt i den rättsliga grunden. Skollagen innehåller många rättsliga förpliktelser för huvudmännen som bedriver skolverksamhet enligt lagen. Av t.ex. 2 kap. 8 § framgår att huvudmannen ansvarar för att utbildningen genomförs i enlighet med bestämmelserna i skollagen, föreskrifter som har meddelats med stöd av lagen och de bestämmelser för utbildningen som kan finnas i andra författningar. Enligt utredningens bedömning kan emellertid inte något syfte med en eventuell personuppgiftsbehandling utläsas av bestämmelsen. Bestämmelsen kan därför inte ses som en rättslig förpliktelse i dataskyddsförordningens mening.

I skollagen finns även bestämmelser där syftet med behandlingen enligt utredningens bedömning kan utläsas genom bestämmelsen och därigenom vara fastställt i den rättsliga grunden t.ex.

  • att eleven och elevens vårdnadshavare fortlöpande ska informeras om elevens utveckling (3 kap. 4 §),
  • att ett åtgärdsprogram ska utarbetas för en elev som ska ges särskilt stöd (3 kap. 9 §),
  • att i vissa skolformer ska eleven betygsättas (3 kap. 13 §),
  • att grundskolan och gymnasieskolan och motsvarande skolformer ska erbjuda modersmålsundervisning under vissa förutsättningar (10 kap. 7 §, 11 kap. 10 §, 12 kap. 7 §, 13 kap. 7 §, 15 kap. 19 § och 18 kap. 19 §), och

14 Datainspektionens rapport 2005:3 Övervakning i arbetslivet. Kontroll av de anställdas Internet och e-postanvändning m.m, s. 15.

  • att rektorn ska se till att vårdnadshavaren till en elev i vissa skolformer, t.ex. grundskolan, samma dag informeras om eleven utan giltigt skäl uteblir från den obligatoriska verksamheten (7 kap. 17 §).

Det behövs därför inte någon ytterligare reglering för att skolorna ska kunna tillämpa den rättsliga grunden i artikel 6.1 c för sin nödvändiga personuppgiftsbehandling. Enligt utredningens bedömning är även artikel 6.1 e, dvs. uppgift av allmänt intresse, tillämplig som rättslig grund för ovan nämnda moment, eftersom dessa t.ex. betygssättning, ingår i uppgiften att anordna utbildning. Personuppgiftsbehandling inom skollagsreglerad utbildningsverksamhet bör till största delen kunna ske med stöd av den rättsliga grunden utföra uppgift av allmänt intresse. Det torde därför vara i undantagsfall som artikel 6.1 c behöver tillämpas av huvudmännen.

4.6.5. Intresseavvägning

Bedömning: Enskilda huvudmän kan för sin personuppgifts-

behandling använda sig av den rättsliga grunden i artikel 6.1 f i dataskyddsförordningen, dvs. för sådan behandling som är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Nämnda rättsliga grund skulle kunna vara tillämplig när det är tveksamt om den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, är tillämplig. Eftersom det för enskilda huvudmän finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva utbildning är det endast i undantagsfall som den rättsliga grunden i artikel 6.1 f behöver tillämpas.

Enligt artikel 6.1 f i dataskyddsförordningen är behandling laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre

och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (intresseavvägning).

Av 6.1 f andra stycket framgår att denna grund inte gäller för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom skolor med staten, en kommun eller ett landsting som huvudman är myndigheter som fullgör sina uppgifter när de tillhandahåller utbildning enligt skollagen, är det endast de skolor som drivs av enskilda huvudmän som kan tillämpa denna grund till stöd för sin personuppgiftsbehandling.

Dataskyddsutredningen gör bedömningen att den här aktuella grunden ofta är möjlig att tillämpa i de fall det är tveksamt om den verksamhet som en privaträttslig aktör bedriver är av allmänt intresse i unionsrättslig mening (SOU 2017:39, avsnitt 8.3.4).

Ovan bedömer utredningen att anordnande av utbildning enligt skollagen och anslutande föreskrifter är en i svensk rätt fastställd uppgift av allmänt intresse, oavsett om det är staten, en kommun eller en enskild som är huvudman. Huvudmannen kan således grunda nödvändig personuppgiftsbehandling på artikel 6.1 e. Enligt Dataskyddsutredningen spelar det i en sådan situation inte någon roll om verksamheten utförs på direkt uppdrag av en myndighet eller på eget initiativ (SOU 2017:39, avsnitt 8.3.4). Som tidigare nämnts bör således den skollagsreglerade utbildningsverksamheten till största delen kunna behandla personuppgifter med stöd av den rättsliga grunden i artikel 6.1 e, dvs. utföra en uppgift av allmänt intresse. Den rättsliga grunden i artikel 6.1 f bör enligt utredningens uppfattning därmed ytterst sällan eller aldrig bli aktuell att tillämpa av enskilda skolhuvudmän i skollagsreglerad verksamhet. Den enskilda huvudman som avser att tillämpa den rättsliga grunden intresseavvägning har vid intresseavvägningen särskilt att beakta barns rätt till integritetsskydd.

4.6.6. Samtycke

Bedömning: Enskilda huvudmän och offentliga huvudmän, dvs.

kommuner, landsting eller staten, kan i viss utsträckning använda sig av samtycke som rättslig grund för sin personuppgiftsbehandling.

Enligt artikel 6.1 a i dataskyddsförordningen är behandling laglig om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Med samtycke avses, enligt artikel 4.11, varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (se skäl 32 till dataskyddsförordningen).

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör enligt skäl 42 tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

Enligt skäl 43 till dataskyddsförordningen bör samtycke inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.

Någon sådan skrivning finns inte i skälen till dataskyddsdirektivet, men mot bakgrund av att definitionen av samtycke i princip är densamma och de uttalanden som gjorts av bl.a. Artikel 29-gruppen15får detta anses gälla enligt befintligt regelverk. Artikel 29-gruppen har yttrat att samtycke i undantagsfall kan vara en giltig grund för

15 Yttrande 15/2011 om definitionen av begreppet samtycke artikel 29-gruppen s. 13–14 och 16–17.

stater när de behandlar personuppgifter. Det bör göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig förpliktelse eller utförandet av en arbetsuppgift av allmänt intresse snarare än samtycke.16

Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. Det bör betonas att samtycke normalt inte bör tillämpas om behandlingen i stället kan grundas på artikel 6.1 c och e i dataskyddsförordningen. Om behandlingen grundar sig på samtycke ska den personuppgiftsansvarige, enligt artikel 7.1, kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.

Artikel 29-gruppen har även uttalat sig om uppgifter om barn och specialfallet skolor i ett yttrande. I det yttrandet anförs beträffande behandling av barns personuppgifter i skolan bl.a. att samtycke till behandling av alla uppgifter som kan ge upphov till diskriminering måste vara otvetydigt och att överföring till tredje part i marknadsföringssyfte är beroende av om vårdnadshavarna på förhand har underrättats och gett sitt samtycke.17 Artikel 29-gruppen synes således vara av uppfattningen att samtycke kan användas som rättslig grund för, i vart fall vid viss, personuppgiftsbehandling inom skolor.

Enligt utredningens bedömning är det möjligt att för viss personuppgiftsbehandling använda sig av samtycke även i förhållandet mellan ett barns vårdnadshavare och en förskola samt en elevs vårdnadshavare eller eleven själv beroende på ålder och en skola. Ett exempel på när samtycke skulle kunna vara lämplig grund för personuppgiftsbehandling är inför fotografering av eleverna i syfte att skapa elektroniska skolkataloger eller fotografering för att dokumentera verksamheten i förskola och skola, inte minst i syfte att kunna redogöra för den för barnens vårdnadshavare. I sammanhanget kan även nämnas att artikel 29-gruppen är av uppfattningen att samtycke från vårdnadshavarna ska inhämtas om en skola har för avsikt att t.ex. lägga ut individuella foton av eleverna med uppgift om deras identitet

16 Yttrande 15/2011 om definitionen av begreppet samtycke artikel 29-gruppen s. 13–14 och 16–17. 17 Yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor) s. 12 f.

på internet.18 Genom att samtycke inhämtas har berörda parter möjlighet att säga nej till att eleverna tas med på fotona.

4.6.7. Sammanfattning

Artikel 5 i dataskyddsförordningen innehåller bestämmelser om principerna för behandling av personuppgifter. Enligt 5.1 a ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I artikel 6.1 anges att behandling av personuppgifter är laglig endast om och i den mån som åtminstone ett av de i bestämmelsen angivna villkoren är uppfyllt.

Utredningen har i de tidigare avsnitten kommit fram till att de skollagsreglerade utbildningsverksamheterna kan tillämpa flera olika rättsliga grunder (villkor) i artikel 6.1 till stöd för sin personuppgiftsbehandling. I vissa situationer kan dessutom flera rättsliga grunder vara tillämpliga samtidigt var för sig.

De rättsliga grunder som kan vara tillämpliga är samtycke (a), fullgöra en rättslig förpliktelse (c) eller utföra en uppgift av allmänt intresse eller myndighetsutövning (e).

De verksamheter som inte fullgörs av myndigheter kan även tilllämpa den rättsliga grunden intresseavvägning (f) när de fullgör sina uppgifter enligt skollagen och anslutande föreskrifter.

De rättsliga grunderna fullgöra en rättslig förpliktelse (c) och utföra en uppgift av allmänt intresse eller myndighetsutövning (e) är fastställda genom bestämmelser i skollagen med anslutande föreskrifter.

När dataskyddsförordningen ska börja tillämpas kan en ändamålsenlig och nödvändig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, ske inom skollagsreglerad utbildningsverksamhet med stöd av bestämmelserna i dataskyddsförordningen. Något ytterligare regleringsbehov aktualiseras följaktligen inte för att skollagsreglerad verksamhet ska kunna tillämpa ovan nämnda rättsliga grunder.

18 Yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor) s. 18.

4.7. Känsliga personuppgifter

4.7.1. Utredningens uppdrag i denna del

Enligt kommittédirektiven ska utredningen analysera om det, utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå, finns ett behov av kompletterande regleringar för behandling av känsliga personuppgifter inom utbildningsområdet och lämna de författningsförslag som behövs.

I direktiven konstateras att det inom utbildningsområdet är nödvändigt att i vissa fall behandla s.k. känsliga personuppgifter. Inom skolväsendet kan det exempelvis handla om sådana uppgifter i samband med modersmålsundervisning eller om elever i sameskolan som anses avslöja etniskt ursprung eller uppgifter som rör hälsa, t.ex. inom elevhälsan eller i de utredningar som ska göras inför antagning till specialskolan och grundsärskolan och i vissa fall till gymnasiesärskolan. Eftersom behandling av känsliga personuppgifter förekommer hos flera olika myndigheter och enskilda behöver det i detta sammanhang också övervägas om en sådan reglering i så fall behöver finnas i en eller flera olika registerförfattningar.

4.7.2. Behov av att behandla känsliga personuppgifter

Det har framkommit att det för att förskolorna, skolorna och vuxenutbildningen ska kunna utföra sina uppdrag är nödvändigt att de i vissa sammanhang kan behandla vissa känsliga personuppgifter, främst uppgifter om hälsa, men ibland även om etnicitet.

Elevhälsan ska omfatta medicinska, psykologiska, psykosociala och specialpedagogiska insatser (2 kap. 26 § skollagen). Elevhälsan ska främst vara förebyggande och hälsofrämjande. Elevernas utveckling mot utbildningens mål ska stödjas. Den del av elevhälsan som tillhandahåller medicinska insatser erbjuder eleverna förebyggande hälso- och sjukvård men även enklare sjukvårdsinsatser. Att tillhandahålla hälso- och sjukvård är, liksom utbildning, en uppgift av allmänt intresse. Varje elev i grundskolan, grundsärskolan, specialskolan och sameskolan ska erbjudas ett minsta antal hälsobesök. Den personuppgiftsbehandling som sker inom elevhälsans medicinska verksamhet omfattas i dagsläget av och kommer även fortsättningsvis att omfattas av patientdatalagens bestämmelser. Socialdataskydds-

utredningen har i uppdrag att se över patientdatalagen (S 2016:05, dir. 2016:52) och den behandlas därför inte i detta betänkande.

Den personuppgiftsbehandling som sker inom elevhälsans psykosociala och specialpedagogiska verksamheter omfattas däremot inte av patientdatalagens bestämmelser. Den psykosociala insatsen består av kurator som kan föra stöd-, motivations- och krissamtal liksom utredande och rådgivande samtal med enskilda elever och deras familjer relaterade till skolsituationen. Inom den specialpedagogiska insatsen finns specialpedagoger och speciallärare som t.ex. kan delta i kartläggning av elevers behov av särskilt stöd, genomföra pedagogiska utredningar samt utforma och genomföra åtgärdsprogram. Det kan även inom denna del av elevhälsan finnas ett behov av att kunna behandla uppgifter om hälsa.

Det förekommer även utanför elevhälsan att uppgifter om hälsa behöver behandlas. Ett exempel är skolmatsalspersonalen som behöver kunna behandla uppgifter om specialkost p.g.a. allergier eller religiös övertygelse. För att kunna möjliggöra en ändamålsenlig undervisningssituation kan även uppgifter om funktionsnedsättning behöva behandlas utanför elevhälsan. Vidare kan åtgärdsprogram innehålla uppgifter om ett barns eller en elevs hälsa. Ett åtgärdsprogram är en samlad dokumentation av elevens behov av särskilt stöd och en skriftlig bekräftelse av de särskilda stödåtgärder som ska sättas in.

En mobbningssituation (kränkande behandling) skulle kunna röra en enskild elevs hälsa eller sexuella läggning. En lärare, förskollärare, annan personal, förskolechef eller rektor som får kännedom om en sådan händelse är skyldig att anmäla detta (6 kap. 10 §) och har därigenom i förekommande fall behov av att i sin dokumentation kunna behandla känsliga personuppgifter.

Även uppgifter om vilka barn och elever som begärt modersmålsundervisning måste kunna behandlas. Datainspektionen har i sin rapport 2002:2 ansett att en uppgift om en persons modersmål i vissa fall kan vara en uppgift som indirekt avslöjar etniskt ursprung.19 I sammanhanget kan nämnas att regeringen bedömt att en isolerad uppgift om medborgarskap eller uppgifter om nationalitet eller ursprungsland inte avslöjar vare sig ras eller etniskt ursprung (prop. 2001/02:144 s. 41 och prop. 2009/10:85 s. 325). Enligt utredningens bedömning synes en uppgift om modersmål i sig inte vara en känslig personupp-

19 Datainspektionens rapport 2002:2, Behandling av elevers personuppgifter i grundskolan, s. 8.

gift men uppgiften kan, beroende på i vilket sammanhang den förekommer, bedömas vara en uppgift om etniskt ursprung vilket är en känslig personuppgift. En bedömning måste således göras i det enskilda fallet.

En förutsättning för att ett barn ska få gå i grundsärskolan är att barnet bedöms inte kunna nå upp till grundskolans kunskapskrav därför att barnet har en utvecklingsstörning (7 kap. 5 § skollagen). För att en elev ska få gå i en specialskola krävs att han eller hon på grund av sin funktionsnedsättning eller andra särskilda skäl inte kan gå i grundskolan eller grundsärskolan och eleven är döv, hörselskadad, dövblind eller annars är synskadad och har ytterligare funktionsnedsättning, eller har en grav språkstörning (7 kap. 6 § skollagen). Gymnasiesärskolan är öppen för ungdomar vars skolplikt upphör och som inte bedöms ha förutsättningar att nå upp till gymnasieskolans kunskapskrav därför att de har en utvecklingsstörning (18 kap. 4 § skollagen).

Målet med den särskilda utbildningen för vuxna är att vuxna med utvecklingsstörning ska stödjas och stimuleras i sitt lärande (21 kap. 2 § skollagen). Det är endast vuxna med utvecklingsstörning som har rätt att under vissa förutsättningar delta i särskild utbildning för vuxna på grundläggande nivå eller som kan vara behörig att delta i särskild utbildning för vuxna på gymnasial nivå (21 kap. 11 § och 16 §skollagen). Genom att alla elever som går i grundsärskolan, specialskolan, gymnasiesärskolan eller särskild utbildning för vuxna har en funktionsnedsättning blir uppgiften om att en elev går i en specialskola, grund- eller gymnasieskola som enbart anordnar särskoleverksamhet eller i särskild utbildning för vuxna en känslig personuppgift om hälsa eftersom man av skolans namn kan utläsa att eleven har en funktionsnedsättning.

Barn till samer får fullgöra sin skolplikt i sameskolan i stället för i årskurs 1–6 i grundskolan (7 kap. 7 § skollagen). Även andra barn får fullgöra den delen av sin skolplikt i sameskolan, om det finns särskilda skäl. Sameskolans syfte är att ge en utbildning med samisk inriktning som i övrigt motsvarar utbildningen i årskurserna 1–6 i grundskolan (13 kap. 2 § skollagen). Med hänsyn till sameskolans inriktning och att den främst är öppen för barn till samer blir uppgiften om att en elev går i sameskolan en känslig personuppgift eftersom man genom skolans namn kan utläsa elevens etniska ursprung.

Endast uppgiften att en elev går på en skola med konfessionell inriktning är däremot inte en känslig personuppgift. Fristående skolor med konfessionell inriktning ska vara öppna för alla elever som har rätt till utbildning i grundskolan respektive gymnasieskolan (1 kap. 7 §, 10 kap. 35 § och 15 kap. 33 §skollagen). Undervisningen vid fristående skolor, fristående förskolor och fristående fritidshem ska vara icke-konfessionell. Utbildningen i övrigt vid fristående skolor, fristående förskolor och fristående fritidshem får ha en konfessionell inriktning. Deltagandet i konfessionella inslag ska vara frivilligt (1 kap. 7 § skollagen). Datainspektionen har i ett svar20 till Skolverket ansett att enbart en uppgift om att en fysisk person går på en skola som har konfessionell inriktning inte ensamt torde avslöja den fysiska personens religiösa eller filosofiska övertygelse. Däremot skulle den uppgiften tillsammans med andra uppgifter om den fysiska personen kunna avslöja dennes religiösa eller filosofiska övertygelse och därmed utgöra känsliga personuppgifter.

Elever i t.ex. grundskolan har under vissa förutsättningar rätt till kostnadsfri skolskjuts (10 kap. 32 § skollagen). En anledning till att en elev har behov av skolskjuts kan vara att eleven har en funktionsnedsättning. Det är elevens hemkommun som ska ombesörja att skolskjuts anordnas. För prövningen av en elevs rätt till skolskjuts kan kommunen komma att få in handlingar som innehåller uppgifter om elevens hälsa. Kommunen kan även i sitt beslut behöva skriva in uppgifter som rör elevens hälsa. Det är inte ovanligt att kommuner upphandlar själva skolskjutsen. I dessa fall kan det finnas behov av att överföra vissa uppgifter om elever, t.ex. att en elev har rullstol, till taxibolaget som utför skolskjutsen för att möjliggöra en ändamålsenlig skolskjuts. En sådan uppgift är en indirekt uppgift om elevens hälsa.

För att kommunerna ska kunna uppfylla sina åligganden i egenskap av hemkommun enligt skollagen har de även ett behov av att kunna behandla känsliga personuppgifter i samband med att de för en förteckning över var skolpliktiga barn fullgör sin skolplikt (7 kap. 21 § skollagen) samt i ärenden rörande mottagande av ett barn i grundsärskolan (7 kap. 5 § skollagen) och om en sökande tillhör målgruppen för gymnasiesärskolan (18 kap. 5 § skollagen). Även i ärenden om tilläggsbelopp till t.ex. en fristående skola för en elev som har

20 Datainspektionen, 2016-12-06, dnr 316-2016.

ett omfattande behov av särskilt stöd har hemkommunen ett behov av att kunna behandla känsliga personuppgifter i form av uppgifter om den enskilde elevens hälsa.

4.7.3. Gällande bestämmelser

I fråga om statliga, landstings och kommunala huvudmäns skyldigheter enligt offentlighetsprincipen kan konstateras att enligt 8 § första stycket PUL tillämpas inte bestämmelserna i personuppgiftslagen i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen, att lämna ut personuppgifter.

De förskolor, skolor och vuxenutbildningsenheter vars huvudman är staten, en kommun eller ett landsting kan med stöd av 8 § PUF behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Oavsett om huvudmannen är offentlig eller enskild får känsliga personuppgifter skrivas i s.k. ostrukturerat material (löpande text) och därigenom behandlas, förutsatt att behandlingen inte innebär en kränkning av den registrerades personliga integritet (5 a § PUL). Om dessa bestämmelser inte är tillämpliga på behandlingen av känsliga personuppgifter måste samtycke inhämtas från den registrerade enligt 15 § PUL för att känsliga personuppgifter ska få behandlas.

4.7.4. Dataskyddsförordningen och dataskyddslagen

Med särskilda kategorier av personuppgifter (känsliga personuppgifter) avses enligt artikel 9.1 i dataskyddsförordningen personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Enligt artikel 9.1 är huvudregeln att det är förbjudet att behandla känsliga personuppgifter. Vidare framgår det av artikel 9.2 att känsliga personuppgifter får behandlas om vissa förutsättningar är uppfyllda. De undantag som aktualiseras i detta sammanhang är artikel 9.2 a och g. Av 9.2 a framgår att känsliga personuppgifter får

behandlas om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål. I artikel 9.2 g anges att känsliga personuppgifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Utifrån denna möjlighet för medlemsstaterna att skapa förutsättningar för att möjliggöra behandling av känsliga personuppgifter har Dataskyddsutredningen i dataskyddslagen föreslagit tre generella undantag från förbudet att behandla känsliga personuppgifter för myndigheter (SOU 2017:39, avsnitt 10.6.2). Bestämmelserna har sin grund i artikel 9.2 g, dvs. om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse.

Det första undantaget gäller behandling av uppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende (3 kap. 3 § 1 dataskyddslagen). Enligt Dataskyddsutredningen bör begränsningen till löpande text inte utesluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande.

Det andra undantaget gäller uppgifter som har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 3 § 2 dataskyddslagen). Bestämmelsen möjliggör behandling av känsliga personuppgifter som är oundviklig i myndigheternas verksamhet som en direkt följd av t.ex. tryckfrihetsförordningens, offentlighets- och sekretesslagens och förvaltningslagens bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot e-post.

Dataskyddslagen föreslås även innehålla en bestämmelse som innebär att vissa bestämmelser i lagen ska gälla för andra organ än myndigheter (1 kap. 5 § dataskyddslagen). Det gäller organ i vilkas verksamhet offentlighetsprincipen och sekretesslagstiftningen gäller. De bestämmelser som kan tillämpas på även dessa organ är 3 kap. 3 § 2 och 4 § samt 4 kap. 1 § andra stycket dataskyddslagen.

Utöver detta föreslås myndigheter få behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades integritet (3 kap. 3 § 3 dataskyddslagen).

Syftet med paragrafen är att möjliggöra behandling av känsliga personuppgifter i enstaka fall även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte direkt krävs enligt annan lag. Så kan det vara i t.ex. faktisk verksamhet såsom i kommunikation mellan skola och föräldrar. Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Vid bedömningen av om behandlingen utgör ett otillbörligt intrång ska vikt läggas vid t.ex. uppgifternas känslighet och den inställning de registrerade kan antas ha till att uppgiften behandlas.

Som skyddsåtgärd, för att säkerställa den registrerades grundläggande rättigheter och intressen, uppställs ett förbud för myndigheter att söka på känsliga personuppgifter då sådana uppgifter behandlas enbart med stöd av 3 § dataskyddslagen (3 kap. 4 § dataskyddslagen).

Det bör även nämnas att artikel 9.2 i dataskyddsförordningen innehåller flera bestämmelser förutom samtycke som är direkt tilllämpliga. Vidare har Dataskyddsutredningen genom förslag till bestämmelser i 3 kap. dataskyddslagen möjliggjort behandling av känsliga personuppgifter rörande bl.a. hälso- och sjukvård, arkiv och statistik.

4.7.5. Behov av särskild reglering

Förslag: Särskilda undantag från förbudet i artikel 9.1 i data-

skyddsförordningen mot behandling av känsliga personuppgifter ska regleras i ett nytt kapitel i skollagen som gäller för en huvudman inom skolväsendet, en hemkommun eller en aktör enligt 24 och 25 kap. skollagen.

Det ska införas en bestämmelse som möjliggör för dessa organ att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.

Vidare ska det införas en bestämmelse som anger att de organ som omfattas av offentlighetsprincipen får behandla känsliga personuppgifter om dessa har lämnats till organet och behandlingen krävs enligt lag.

För grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna införs ytterligare bestämmelser som möjliggör nödvändig och regelmässig behandling av personuppgifter om hälsa. På samma sätt möjliggörs behandling av uppgift om hälsa i gymnasieskolan med Rh-anpassad utbildning, utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning samt fristående skolor som begränsats till att avse elever som är i behov av särskilt stöd för sin utveckling.

För sameskolan införs ytterligare bestämmelser som möjliggör nödvändig och regelmässig behandling av personuppgifter om etniskt ursprung.

För hemkommunen införs ytterligare bestämmelser som möjliggör nödvändig behandling av uppgifter om hälsa och etniskt ursprung i vissa fall.

Dessutom ska organen i enstaka fall få behandla känsliga personuppgifter om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Ett förbud att använda sökbegrepp som avslöjar känsliga personuppgifter ska införas, i fall då behandlingen sker med stöd av de nämnda undantagen. I grundsärskola, specialskola, gymnasiesärskola, särskild utbildning för vuxna, gymnasieskolan med Rh-anpassad utbildning, utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning och fristående skolor som begränsats till att avse elever som är i behov av särskilt stöd för sin utveckling ska det vara tillåtet att söka på begrepp som avslöjar hälsa. På motsvarande sätt ska det i sameskolan vara tillåtet att söka på begrepp som avslöjar etniskt ursprung. För en hemkommun ska det i vissa fall vara möjligt att söka på begrepp som avslöjar hälsa och etniskt ursprung. Regeringen ska få meddela föreskrifter om närmare sökbegränsningar för dessa utbildningsformer och en hemkommun.

Regeringen ska få meddela föreskrifter om ytterligare undantag från förbudet mot behandling av känsliga personuppgifter om det behövs med hänsyn till det allmänna intresset att anordna utbildning enligt skollagen eller föreskrifter som har meddelats med stöd av den lagen.

Slutligen ska det införas upplysningsbestämmelser som anger att nämnda bestämmelser kompletterar dataskyddsförordningen samt att bestämmelser om personuppgiftsbehandling också finns i dataskyddslagen. Kapitlet ska inte tillämpas på elevhälsans medicinska verksamhets personuppgiftsbehandling eller Kriminalvårdens verksamhet enligt 24 kap. 10 § skollagen.

I föregående avsnitt ges exempel på situationer där känsliga personuppgifter behöver behandlas i den skollagsreglerade utbildningsverksamheten. Enligt utredningens bedömning utesluter inte dataskyddsförordningen att samtycke kan användas som rättslig grund för behandling av personuppgifter, även känsliga sådana, av både myndigheter och enskilda, men att en bedömning måste göras av vilken slags behandling som samtycket avser för att avgöra om det är lämpligt (se avsnitt 4.6.6). För den behandling av känsliga personuppgifter som behövs för att huvudmännen ska kunna fullgöra uppdraget som ankommer på dem enligt skollagen bör dock huvudmännen inte vara beroende av om den registrerade eller dennes vårdnadshavare lämnar samtycke till behandlingen av känsliga personuppgifter eller inte. Detsamma gäller för en kommuns behandling av personuppgifter som behövs för att den ska kunna fullgöra sina åligganden i egenskap av hemkommun enligt skollagen.

Skälet till att utredningen gör den bedömningen är att det kan ifrågasättas om den registrerade faktiskt, i många fall, har något val i frågan om behandlingen ska ske eller inte och därmed en reell möjlighet att motsätta sig behandlingen. Det är också tveksamt ur synvinkeln att lagstiftaren ålägger huvudmännen och hemkommunerna skyldigheter och att fullgörandet av dessa skyldigheter ska göras beroende av den enskildes samtycke. Utredningen konstaterar vidare att offentliga huvudmän och hemkommuner i och med förslaget till bestämmelser i dataskyddslagen om myndigheters behandling i vissa fall kommer att få uttryckligt lagstöd för sådan behandling. Enligt utredningens bedömning bör det för den behandling av känsliga personuppgifter som är nödvändig inom främst skolväsendet för de enskilda huvudmännen finnas ett annat rättsligt stöd för behandlingen än samtycke.

Behandling i löpande text

Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 1 dataskyddslagen får myndigheter behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för behandlingen av det. Det innebär enligt utredningens bedömning att förskolor, skolor och vuxenutbildningsenheter som drivs av kommuner, landsting eller staten även fortsättningsvis kommer att kunna behandla nödvändiga känsliga personuppgifter i löpande text i ärenden. För dessa huvudmän skulle således ingen ytterligare reglering för att kunna behandla känsliga personuppgifter i detta avseende krävas. Detsamma gäller för en hemkommuns möjlighet att behandla nödvändiga känsliga personuppgifter i löpande text i ärenden.

Enskilda huvudmän för förskolor och skolor omfattas beträffande utförandet av den aktuella utbildningen av samma bestämmelser i skollagen som de offentliga huvudmännen. Vidare anges i skollagen att vissa beslut som fattas av en enskild huvudman eller rektor i en fristående skola får överklagas hos allmän förvaltningsdomstol (28 kap.6 och 9 §§skollagen). Andra typer av beslut som fattas av en enskild huvudman eller rektor i en fristående skola får överklagas hos Skolväsendets överklagandenämnd (28 kap.13 och 16 §§skollagen). Vidare framgår av 29 kap.10 och 11 §§skollagen att i ärenden som avser myndighetsutövning mot någon enskild enligt skollagen hos en kommun, ett landsting, eller en enskild huvudman ska vissa uppräknade bestämmelser i förvaltningslagen (1986:223) tillämpas.

De enskilda huvudmännen har således samma behov av, i de fall det är relevant och nödvändigt, att kunna behandla känsliga personuppgifter i sina ärenden som de offentliga huvudmännen. Vidare kan en fristående förskola eller fristående skola i en ansökan om tilläggsbelopp för elever som har ett omfattande behov av särskilt stöd behöva behandla uppgifter om elevens hälsa för att kunna styrka behovet av särskilt stöd (t.ex. 9 kap. 21 § och 10 kap. 39 §skollagen). I dagsläget kan sådan behandling av känsliga personuppgifter ske med stöd av 5 a § PUL, men den bestämmelsen kommer som ovan nämnts att upphävas när dataskyddsförordningen ska börja tillämpas.

Enligt utredningens bedömning är även de enskilda huvudmännen i förhållande till eleverna bundna av legalitetsprincipen. Det krävs således även för dessa att det finns någon form av förankring i skollagen med tillhörande föreskrifter för deras verksamhet. Utred-

ningens bedömning är därför att det finns behov av att införa en bestämmelse som möjliggör för de enskilda huvudmännen att behandla känsliga personuppgifter i ärenden på motsvarande sätt som för myndigheter.

Med stöd av den föreslagna bestämmelsen bör känsliga personuppgifter, i det fall det är nödvändigt, kunna behandlas i löpande text i t.ex. utredningar om särskilt stöd och åtgärdsprogram (7 kap.8 och 9 §§skollagen) och anmälningar och utredningar om kränkande behandlingar (6 kap. 10 § skollagen). Även fristående skolors ansökan om tilläggsbelopp hos hemkommunen (10 kap. 39 § skollagen) bör enligt utredningens bedömning betraktas som ett ärende.

Eftersom de aktuella huvudmännen har möjlighet att utföra dessa behandlingar av känsliga personuppgifter redan i dagsläget med stöd av 5 a § PUL bedömer utredningen att integritetsintrånget för den enskilde varken blir större eller mindre genom att en sådan bestämmelse införs. Med hänsyn till huvudmännens behov av att kunna behandla känsliga personuppgifter i vissa ärenden för att uppfylla de skyldigheter som åligger dem enligt skollagen anser utredningen att bestämmelsen står i proportion till det eftersträvande syftet, dvs. att möjliggöra behandling av känsliga personuppgifter i vissa ärenden.

Av enhetlighetsskäl föreslås en bestämmelse som möjliggör för samtliga skolhuvudmän, kommunerna när de utför sina åligganden såsom hemkommuner enligt skollagen och aktörer enligt 24 och 25 kap. skollagen att behandla känsliga personuppgifter i löpande text, se nedan angående att ett nytt 28 a kap. ska införas i skollagen. Beträffande skyddsåtgärder, se nedan angående sökbegränsningar.

Behandling som krävs på grund av lag

Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 2 dataskyddslagen får myndigheter behandla känsliga personuppgifter om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag. Dataskyddsutredningen föreslår även att bestämmelsen ska gälla för andra organ än myndigheter om offentlighetsprincipen och sekretesslagstiftningen gäller i organets verksamhet. Enligt 1 kap. 5 § dataskyddslagen ska vid tillämpningen av 3 kap. 3 § 2 och 4 § samt 4 kap. 1 § andra stycket andra organ än myndigheter jämställas med myndigheter, i den mån bestämmelserna om allmänna hand-

lingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i organets verksamhet.

Förslagen innebär, enligt utredningens bedömning, att förskolor, skolor och vuxenutbildningsenheter som drivs av kommuner, landsting eller staten även fortsättningsvis kommer att kunna uppfylla de åligganden enligt bl.a. offentlighetsprincipen som ankommer på dem, t.ex. att diarieföra handlingar som innehåller känsliga personuppgifter. Detsamma gäller kommunerna när de utför sina övriga åligganden enligt skollagen.

Beträffande de fristående skolorna har Utredningen om offentlighetsprincipen i fristående skolor i betänkandet Ökad insyn i fristående skolor (SOU 2015:82) föreslagit att offentlighetsprincipen ska införas hos huvudmän för fristående skolor (betänkandet omfattar således inte fristående förskolor, jfr definitionerna i 1 kap. 3 § skollagen). En ny bestämmelse föreslås införas i offentlighets- och sekretesslagen av innebörden att vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar ska gälla också handlingar hos huvudmän för fristående skolor. Samtliga huvudmän för fristående skolor ska omfattas. Huvudmännen ska enligt förslaget vid tillämpningen av offentlighets- och sekretesslagen jämställas med myndigheter. Det innebär bl.a. att de fristående skolorna blir skyldiga att registrera sina allmänna handlingar enligt samma principer som gäller för myndigheter (SOU 2015:82 s. 93 ff.). Bestämmelserna föreslås träda i kraft den 1 juli 2017. Betänkandet bereds inom Regeringskansliet.

Utredningen om ökad insyn i välfärden har i betänkandet Ökad insyn i välfärden (SOU 2016:62) på motsvarande sätt föreslagit att offentlighetsprincipen bör gälla för juridiska personer som i egenskap av enskilda huvudmän driver förskola eller fritidshem, för privata aktörer som enligt avtal med kommun, enskild huvudman eller landsting utför uppgifter enligt 23 kap. skollagen (entreprenad) med undantag av verksamhet som regleras i 25 kap. skollagen, samt för privat folkhögskola som anordnar utbildning som motsvarar kommunal vuxenutbildning i svenska för invandrare (enligt 24 kap.1115 §§skollagen). Bestämmelserna föreslås träda i kraft den 1 januari 2019. Betänkandet bereds inom Regeringskansliet.

Dataskyddsutredningens förslag till bestämmelser i 1 kap. 5 § och 3 kap. 3 § 2 dataskyddslagen innebär att en skolhuvudman för vilken offentlighetsprincipen och sekretesslagstiftningen enligt författning

gäller i huvudmannens verksamhet, oavsett om denne är en offentlig eller privat aktör, kan tillämpa bl.a. 3 kap. 3 § 2 dataskyddslagen för behandling av känsliga personuppgifter som är oundviklig i den del av huvudmannens verksamhet som en direkt följd av bl.a. tryckfrihetsförordningens och offentlighets- och sekretesslagens bestämmelser om allmänna handlingar och diarieföring. Skolhuvudmännens behov av att kunna behandla känsliga personuppgifter med anledning av att de omfattas av eller föreslås omfattas av offentlighetsprincipen är tillgodosett av nämnda föreslagna bestämmelser i dataskyddslagen. Då det finns behov av att införa en särskild reglering för de enskilda huvudmännens behandling av känsliga personuppgifter i ärenden är dock utredningens bedömning att det är lämpligare att även bestämmelserna om när skolhuvudmännen får behandla känsliga personuppgifter till följd av bl.a. offentlighetsprincipen tas in i samma författning. Förslaget omfattar också kommunerna när de utför sina åligganden såsom hemkommuner enligt skollagen och de aktörer enligt 24 och 25 kap. skollagen för vilka offentlighetsprincipen och sekretesslagstiftningen enligt författning gäller i verksamheten.

Som en skyddsåtgärd föreslås, i likhet med dataskyddslagen, sökbegränsningar, se nedan.

Eftersom dessa bestämmelser inte tillför något ytterligare eller mindre jämfört med dataskyddslagen bedömer utredningen att det inte behöver göras någon särskild proportionalitetsprövning i detta sammanhang. Det kan dock nämnas att en bestämmelse som möjliggör behandling av känsliga personuppgifter som är oundviklig i organets verksamhet som en direkt följd av tryckfrihetsförordningens och offentlighets- och sekretesslagens bestämmelser om allmänna handlingar och diarieföring är en förutsättning för att– organet ska kunna uppfylla sina skyldigheter enligt offentlighetsprincipen. Det allmänna intresset av att organen som har att tillämpa offentlighetsprincipen kan uppfylla sina skyldigheter väger enligt utredningens bedömning tyngre än den enskildes intresse av att uppgiften inte ska behandlas i detta avseende. Bestämmelsen bedöms stå i proportion till det eftersträvade syftet. Det bör därför, om föreslagna ändringar i offentlighets- och sekretesslagen införs, införas en bestämmelse som motsvarar 3 kap. 3 § 2 dataskyddslagen.

Det kan även nämnas att 1 kap. 5 § dataskyddslagen innehåller en hänvisning till 4 kap. 1 § andra stycket samma lag (arkiverade personuppgifter). Eftersom utredningens förslag är att dataskyddslagen

ska gälla om inte något annat följer av det föreslagna nya kapitlet i skollagen och kapitlet inte innehåller några bestämmelser om arkiv så ska dataskyddslagens bestämmelser i den delen tillämpas av huvudmännen, oavsett om de är myndigheter eller enskilda rättssubjekt, och kommunerna.

Absolut nödvändig behandling i andra fall

Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 3 dataskyddslagen får en myndighet i enstaka fall behandla känsliga personuppgifter om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Som exempel på när bestämmelsen kan vara tillämplig anges faktisk verksamhet såsom i kommunikation mellan skola och föräldrar (SOU 2017:39, avsnitt 10.6.2).

Enligt utredningens bedömning kan bestämmelsen tillämpas i kommunikation mellan skola och föräldrar både i de fall det finns ett övergående behov av att behandla en uppgift om t.ex. barnets hälsa och i de fall det till följd av att ett barn har en kronisk sjukdom, t.ex. diabetes, finns ett mer regelbundet behov av att behandla uppgiften.

Ett annat exempel på när paragrafen kan vara tillämplig är på ett dokument med uppgifter om vilka elever som har behov av specialkost på grund av allergi eller religiös övertygelse som skapas i syfte att skolmåltidspersonalen ska få kännedom om det. Om skolmåltidspersonalen inte vet vilka elever som har behov av särskild kost kan den inte tillgodose det. Behandlingen av uppgiften om t.ex. allergi är därför absolut nödvändig och utgör enligt utredningens bedömning inte ett otillbörligt intrång i den registrerades integritet. Även inom t.ex. elevhälsans psykosociala och specialpedagogiska insatser kan det förekomma situationer när bestämmelsen är tillämplig, dvs. det är inte fråga om ett ärende men det är absolut nödvändigt att behandla känsliga personuppgifter och behandlingen bedöms inte vara ett otillbörligt intrång i den registrerades personliga integritet.

Bestämmelsen i dataskyddslagen är direkt tillämplig på kommunal verksamhet och verksamhet vars huvudman är staten, ett landsting eller en kommun. De enskilda huvudmännen och privata aktörerna som bedriver utbildningsverksamhet enligt skollagen har, som ovan angetts beträffande ärenden, samma behov av att kunna behand-

la känsliga personuppgifter som de offentliga huvudmännen. Utredningens bedömning är att en bestämmelse som möjliggör för även dessa huvudmän att behandla känsliga personuppgifter i enstaka fall i t.ex. faktiskt verksamhet, vilket undervisning är, står i proportion till det eftersträvade syftet. En bestämmelse med sådana starkt begränsande rekvisit tillgodoser, enligt utredningens bedömning, dataskyddsförordningens krav på proportionalitet och skyddsåtgärder. Utredningen anser därför att en sådan möjlighet ska införas. Såsom tidigare anförts bedömer utredningen att det är lämpligt att det införs en bestämmelse som ska tillämpas av kommunerna på den verksamhet som tillhandahålls såsom hemkommun enligt skollagen, huvudmännen för skolväsendet och aktörer enligt 24 och 25 kap. skollagen. Beträffande skyddsåtgärder, se avsnittet nedan med samma namn.

Särskilda bestämmelser för grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna

Som tidigare nämnts är behandling av alla personuppgifter om en elev i grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna en behandling av känsliga personuppgifter. Anledningen till detta är att det endast är elever med funktionsnedsättning som tillhör målgruppen för dessa skolformer och enbart uppgiften om att eleven går i den skolan innebär därmed att man får reda på en uppgift om elevens hälsa.

Det innebär att huvudmännen måste tillämpa de särskilda bestämmelserna som gäller för behandling av känsliga personuppgifter på all personuppgiftsbehandling, dvs. även för elevadministration som t.ex. kontaktuppgifter, elevregister, närvarorapportering, klasslistor och ämnesval. Det är uppgifter som – bortsett från att eleven går i en viss skolform – vanligen är harmlösa uppgifter. Även behandling av personuppgifter i samband med t.ex. dokumentation inför och skrivandet av utvecklingsplaner omfattas av de särskilda bestämmelser som rör behandling av känsliga personuppgifter.

I dagsläget är det rättsliga stödet för att behandla känsliga personuppgifter i detta sammanhang främst samtycke. Utredningen erfar att Specialpedagogiska skolmyndigheten vid hanteringen av klagomål enligt 6 kap. skollagen har tillämpat 16 c § PUL, dvs. att behand-

lingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, för viss behandling.

Av artikel 9.2 f i dataskyddsförordningen framgår att behandling av känsliga personuppgifter får ske om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk. I skäl 52 till dataskyddsförordningen anges att genom undantag bör man även tillåta behandling av sådana personuppgifter där så krävs för fastställande, utövande eller försvar av rättsliga anspråk, oavsett om detta sker inom ett domstolsförfarande eller inom ett administrativt eller ett utomrättsligt förfarande. Bestämmelsen i artikel 9.2 f är inte begränsad till myndigheter. Om en huvudman gör bedömningen att behandlingen av känsliga personuppgifter är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk kan den tillämpa artikel 9.2 f till stöd för sådan behandling.

Utredningen bedömer, som även tidigare nämnts, att samtycke inte är ett lämpligt rättsligt stöd för behandlingen av känsliga personuppgifter i dessa skolformer, eftersom lagstiftaren ålägger huvudmännen skyldigheter gentemot eleven och för att kunna uppfylla dessa åligganden måste huvudmannen kunna behandla relevanta personuppgifter om eleven.

De av Dataskyddsutredningen föreslagna bestämmelserna som möjliggör nödvändig behandling av känsliga personuppgifter i löpande text i ärenden och behandling som krävs på grund av lag kommer inte kunna tillämpas på den behandling av elevernas personuppgifter som sker i bl.a. den elevadministrativa verksamheten. Inte heller bestämmelsen som möjliggör behandling av känsliga personuppgifter i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades integritet kommer bli tillämplig, eftersom bestämmelsen inte är avsedd att tillämpas på upprepad, omfattande, strukturell eller storskalig behandling. Personuppgiftsbehandlingen inom elevadministrationen sker inte i enstaka fall och är upprepad och strukturell.

Utredningens bedömning är att personuppgiftsbehandling för att föra t.ex. elevregister, kontrollera närvaro och upprätta utvecklingsplaner är nödvändig för att huvudmännen för särskolor, specialskolor och särskild utbildning för vuxna ska kunna bedriva sin verksamhet. De personuppgifter som i det sammanhanget behöver behandlas är t.ex. namn, personnummer, adress, vårdnadshavare och kontakt-

uppgifter till dessa. Enligt utredningens bedömning är dessa uppgifter normalt sett harmlösa och anledningen till att de bedöms som känsliga är att de förekommer i verksamheten. Utredningens bedömning är att huvudmännen för dessa skolformer är i behov av att kunna behandla elevernas personuppgifter i dessa sammanhang på samma sätt som andra huvudmän, men huvudmännen har fortfarande att behandla dessa uppgifter som känsliga personuppgifter ur dataskydds- och datasäkerhetssynpunkt (artikel 25 och 32 i dataskyddsförordningen). Det behöver därför finnas en särskild bestämmelse som möjliggör för dessa huvudmän att behandla känsliga personuppgifter i denna situation.

När det gäller det integritetsintrång som utredningens förslag medför görs följande bedömning. I dagsläget behandlas elevernas personuppgifter inom de berörda skolformerna med stöd av samtycke från eleven eller vårdnadshavarna. Det kan dock diskuteras hur frivilligt ett sådant samtycke kan anses vara och om det i praktiken går att vägra en behandling av personuppgifterna på automatisk väg (jfr skäl 43 till dataskyddsförordningen). Med hänsyn till den digitalisering som skett inom offentlig verksamhet är det i dagsläget nödvändigt att kunna behandla elevernas personuppgifter automatiserat, t.ex. i ett elevregister, och i löpande text inom den faktiska verksamheten, dvs. undervisningen. Utredningens bedömning är att samtycke inte är ett lämpligt rättsligt stöd när verksamhetsbehovet av att kunna behandla de känsliga personuppgifterna är så stort och väger tungt. Utredningen anser för övrigt att det också ligger i elevens intresse att uppgifterna i detta sammanhang kan behandlas automatiskt.

Utredningen föreslår att huvudmännen för särskolor, specialskolor och särskild utbildning för vuxna ska kunna behandla uppgifter om hälsa om det är nödvändigt för ändamålet med behandlingen. Dessutom krävs att behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Anledningen till att det senare kravet föreslås är för att vikt ska läggas vid aspekter som uppgifternas känslighet, den inställning de registrerade kan ha till att uppgiften behandlas och den spridning uppgiften skulle komma att få vid bedömningen om uppgiften bör behandlas eller inte.

Eftersom elevernas personuppgifter redan i dagsläget behandlas automatiserat i särskolor, specialskolor och särskild utbildning för vuxna i t.ex. elevregister och de föreslagna bestämmelserna inte avser att medföra ett stöd för att ytterligare uppgifter ska kunna behandlas

än de som kan behandlas i dagsläget med stöd av samtycke, bedömer utredningen att bestämmelserna innebär att integritetsintrånget för den enskilde varken blir större eller mindre än i dagsläget. Utredningen bedömer att bestämmelsen står i proportion till det eftersträvade syftet.

Det kan även förtydligas att beträffande behandling av andra känsliga personuppgifter än uppgift om hälsa gäller de övriga föreslagna bestämmelserna även för särskolorna och specialskolorna. När det gäller dataskydd, se avsnittet nedan om skyddsåtgärder.

Särskilda bestämmelser för vissa fristående skolor och vissa kommunala gymnasieskolor

Huvudregeln är att fristående skolor ska vara öppna för alla elever. En huvudman för fristående förskoleklass, grundskola, grundsärskola och gymnasieskola får dock begränsa sitt mottagande till att avse elever som är i behov av särskilt stöd (9 kap. 17 §, 10 kap. 35 § 2, 11 kap. 34 § 2 och 15 kap. 33 § 1 skollagen). Skolorna med begränsat mottagande riktar sig ofta till elever med neuropsykiatriska funktionsnedsättningar som ADHD och AST. Många skolor skriver samtidigt att de även riktar sig till elever med annan problematik, bl.a. elever med social problematik eller elever med tidigare skolmisslyckanden (Skolverket, Rapport nr 409, 2014, Fristående skolor för elever i behov av särskilt stöd – en kartläggning, s. 8).

Utredningens bedömning är att en uppgift om att en elev går i en fristående skola som begränsat sitt mottagande till elever som är i behov av särskilt stöd vanligen är en känslig personuppgift på samma sätt som en uppgift om att en elev går i t.ex. en grundsärskola. Anledningen till detta är att skolorna endast mottar elever som är i behov av det slag av särskilt stöd som huvudmannen bestämt och enbart uppgiften om att eleven går vid den skolan innebär därför att man får reda på en uppgift om elevens hälsa.

Enligt utredningens bedömning gör sig samma motiv till att införa en bestämmelse som möjliggör behandling av uppgift om hälsa gällande i dessa verksamheter som för t.ex. grundsärskolan. Utredningen föreslår därför att uppgifter om hälsa ska få behandlas om det är nödvändigt för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Beträffande integritetsintrånget gör utredningen samma bedömning som

den gjort för t.ex. grundsärskolan. Angående skyddsåtgärder, se nedan om sökbegränsningar. En grundsärskola som begränsat sitt mottagande till elever som är i behov av särskilt stöd kan tillämpa bestämmelsen som gäller för grundsärskolan.

Rh-anpassad gymnasieutbildning anordnas för ungdomar med svårt rörelsehinder (15 kap. 9 § första stycket skollagen). Enligt 11 kap. 1 § gymnasieförordningen ska den Rh-anpassade utbildningen så långt det är möjligt integreras med motsvarande utbildning i gymnasieskolan. Enligt 1 § förordningen (1986:578) om utbildning för döva och gravt hörselskadade i Örebro kommuns gymnasieskola får Örebro kommun i sin gymnasieskola anordna utbildning för döva och gravt hörselskadade från hela landet. Utbildningen ska vända sig även till dem som på grund av språkstörning behöver insatser av samma slag som döva och gravt hörselskadade.

I de klasser som kommunala gymnasieskolor som anordnar Rhanpassad gymnasieutbildning eller utbildning för döva och gravt hörselskadade där endast elever som har funktionsnedsättningar går blir uppgiften om att eleven går en sådan utbildning även en uppgift om elevens hälsa. Detta eftersom det i dessa klasser endast går elever med funktionsnedsättningar.

Utredningen gör bedömningen att samma motiv gör sig gällande till att införa en bestämmelse som möjliggör behandling av uppgift om hälsa i dessa verksamheter som för t.ex. gymnasiesärskolan och fristående gymnasieskola som begränsats till att avse elever som är i behov av särskilt stöd. Utredningen föreslår därför att uppgifter om hälsa ska få behandlas i denna verksamhet om det är nödvändigt för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Beträffande integritetsintrånget gör utredningen samma bedömning som den gjort för t.ex. gymnasiesärskolan. Angående skyddsåtgärder, se nedan om sökbegränsningar.

Särskilda bestämmelser för sameskolan

Som tidigare nämnts är behandling av alla personuppgifter om en elev i sameskolan en behandling av känsliga personuppgifter. Genom att sameskolan vänder sig till barn till samer och främst är öppen för barn till samer blir uppgiften om att en elev går i sameskolan en

känslig personuppgift, eftersom man genom skolformens namn typiskt sett kan utläsa elevernas etniska ursprung.

Det innebär att Sameskolstyrelsen, som är huvudman för samtliga sameskolor, måste tillämpa de särskilda bestämmelserna som gäller för behandling av känsliga personuppgifter på all personuppgiftsbehandling, dvs. även för elevadministration såsom kontaktuppgifter, elevregister, närvarorapportering, klasslistor och ämnesval. Det är uppgifter som vanligen är harmlösa uppgifter. Även behandling av personuppgifter i samband med t.ex. dokumentation inför och skrivandet av utvecklingsplaner omfattas av de särskilda bestämmelser som rör behandling av känsliga personuppgifter.

I dagsläget är det rättsliga stödet för att behandla känsliga personuppgifter i detta sammanhang samtycke. Utredningen gör, som även tidigare nämnts, bedömningen att samtycke inte är ett lämpligt rättsligt stöd för behandlingen av känsliga personuppgifter i detta hänseende eftersom lagstiftaren ålägger huvudmännen skyldigheter gentemot eleven och att det för att kunna uppfylla dessa åligganden finns ett berättigat behov av att kunna behandla relevanta personuppgifter om eleven.

De föreslagna bestämmelserna som möjliggör nödvändig behandling av känsliga personuppgifter i löpande text i ärenden och behandling som krävs på grund av lag kommer inte att kunna tillämpas på den behandling av elevernas personuppgifter som sker i bl.a. den elevadministrativa verksamheten. Inte heller är den föreslagna bestämmelsen som möjliggör behandling av känsliga personuppgifter i enstaka fall om det är absolut nödvändig för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades integritet tillämplig, eftersom bestämmelsen inte är avsedd att tillämpas på upprepad, omfattande, strukturell eller storskalig behandling. Personuppgiftsbehandlingen inom elevadministrationen sker inte i enstaka fall och är upprepad och strukturell.

Utredningen bedömer att personuppgiftsbehandling för att föra t.ex. elevregister, kontrollera närvaro och upprätta utvecklingsplaner är nödvändig för att sameskolan ska kunna bedriva sin verksamhet. De personuppgifter som i det sammanhanget behöver behandlas är t.ex. namn, personnummer, adress, vårdnadshavare och kontaktuppgifter till dessa. Enligt utredningens bedömning är dessa uppgifter normalt sett harmlösa och anledningen till att de bedöms som känsliga är att de förekommer i verksamheten. Utredningen bedömer att

det i sameskolan finns ett behov av att kunna behandla elevernas personuppgifter i dessa sammanhang på samma sätt som i andra skolformer, men huvudmannen har fortfarande att behandla dessa uppgifter som känsliga personuppgifter ur dataskydds- och datasäkerhetssynpunkt (artikel 25 och 32 i dataskyddsförordningen). Utredningens uppfattning är att det behövs en särskild bestämmelse som ger rättsligt stöd för Sameskolstyrelsen att behandla känsliga personuppgifter i denna situation.

Utredningen föreslår att uppgifter om etniskt ursprung ska få behandlas i sameskolan om det är nödvändigt för ändamålet med behandlingen. Dessutom krävs att behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Anledningen till att det senare kravet föreslås är att vikt ska läggas vid aspekter som uppgifternas känslighet, den inställning de registrerade kan ha till att uppgiften behandlas och den spridning uppgiften skulle komma att få vid bedömningen om uppgiften bör behandlas eller inte.

Eftersom sameskolan redan i dagsläget behandlar elevernas personuppgifter automatiserat i t.ex. elevregister, och då de föreslagna bestämmelserna inte avser att medföra ett stöd för att ytterligare uppgifter ska kunna behandlas än de som kan behandlas i dagsläget, bedömer utredningen att bestämmelserna innebär att integritetsintrånget för den enskilde varken blir större eller mindre än i dagsläget. Utredningen bedömer vidare att bestämmelsen står i proportion till det eftersträvade syftet.

Det kan även förtydligas att för behandling av andra känsliga personuppgifter än uppgift om etniskt ursprung gäller de övriga föreslagna bestämmelserna även för sameskolorna. När det gäller skyddsåtgärder, se avsnittet nedan.

Hemkommunens ansvar och skyldigheter enligt skollagen

Skollagen ålägger kommunerna särskilda uppgifter såsom hemkommuner, t.ex. att pröva mottagande i grundsärskola (7 kap. 5 § skollagen), att se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning (7 kap. 21 § skollagen) och att ombesörja skolskjuts (t.ex. 10 kap. 32 § skollagen). I dessa sammanhang kan det finnas ett behov för hemkommunen att behandla känsliga personuppgifter.

Beträffande exemplet skolskjuts är utredningens bedömning följande. I detta fall är uppgiften av allmänt intresse – att ombesörja skolskjuts för elever i grundskola som uppfyller vissa förutsättningar – fastställd genom bestämmelsen i 10 kap. 32 § skollagen. Hemkommunen kan således tillämpa artikel 6.1 e i dataskyddsförordningen som stöd för nödvändig personuppgiftsbehandling för att utföra denna uppgift av allmänt intresse.

En anledning till att en elev har behov av skolskjuts kan vara att eleven har en funktionsnedsättning. För prövningen av en elevs rätt till skolskjuts kan kommunen komma att få in handlingar som innehåller uppgifter om elevens hälsa. Kommunen kan även i sitt beslut behöva nedteckna uppgifter som rör elevens hälsa. Uppgifter om hälsa är känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. Utredningen föreslår en bestämmelse som – motsvarande 3 kap. 3 § 1 och 2 dataskyddslagen – möjliggör behandling av känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende samt om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag.

Hemkommunens ansvar för att skolplikten fullgörs

Enligt 7 kap. 21 § skollagen ska hemkommunen se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning.

Vad utredningen erfar kan det krävas att kommuner med anledning av detta åliggande för ett fullständigt elevregister med uppgifter om personnummer, namn, adress och vårdnadshavare samt vid vilken skola eleven är inskriven i för att kommunen ska kunna fullgöra sitt ansvar. Registret bör omfatta samtliga elever som bor inom den egna kommunen och skolor oavsett huvudman, dvs. även t.ex. grundsärskolor och specialskolor.

Att en elev går i en skola som är t.ex. en grundsärskola eller specialskola är en uppgift om hälsa, dvs. en känslig personuppgift. På samma sätt är uppgiften att en elev går i en sameskola en uppgift om etniskt ursprung och således en känslig personuppgift.

I dagsläget behandlas personuppgifterna i sådana elevregister med stöd av bestämmelserna i personuppgiftslagen.

För att en hemkommun ska kunna fullgöra sitt ansvar och se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning måste personuppgifter samlas in och bearbetas. För att behandlingen ska vara tillåten när dataskyddsförordningen ska börja tillämpas måste kommunen kunna stödja den på en rättslig grund enligt artikel 6.1 i dataskyddsförordningen.

Utredningen bedömer att en kommuns uppdrag och åligganden enligt skollagen med anslutande föreskrifter är uppgifter av allmänt intresse. Dessa uppdrag och åligganden är fastställda i svensk rätt genom just dessa föreskrifter. De åtgärder som kommunerna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen (jfr Dataskyddsutredningen SOU 2017:39, avsnitt 8.3.4).

Kommunernas ansvar enligt 7 kap. 21 § skollagen är enligt utredningens bedömning att betrakta som en uppgift av allmänt intresse i dataskyddsförordningens mening. Uppgiften av allmänt intresse är genom 7 kap. 21 § skollagen också fastställd i svensk rätt. Bestämmelsen är tydlig, precis och förutsägbar (jfr skäl 41 till dataskyddsförordningen). En hemkommun kan enligt utredningens bedömning stödja nödvändig behandling på den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen.

Rättslig grund är dock inte ensam tillräcklig för att personuppgiftsbehandlingen ska vara tillåten. Dessutom måste övriga bestämmelser i dataskyddsförordningen vara uppfyllda, t.ex. bestämmelserna om principer för behandling av personuppgifter enligt artikel 5. För att få behandla känsliga personuppgifter krävs dessutom att något av kriterierna i artikel 9.2 i dataskyddsförordningen är uppfyllt. Av artikel 9.2 g framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Dataskyddsutredningen har beträffande myndigheters behandling utgått från att det utgör ett viktigt allmänt intresse att svenska

myndigheter kan bedriva den verksamhet som tydligt faller inom ramen för deras uppdrag på ett korrekt, rättssäkert och effektivt sätt (SOU 2017:39, avsnitt 10.6.2). Enligt utredningens bedömning är det ett viktigt allmänt intresse att hemkommunen fullgör sitt ansvar enligt 7 kap. 21 § skollagen.

Dataskyddsutredningen anser att kravet på stöd i nationell rätt i 9.2 g innebär att undantaget i sig bör föreskrivas i nationell rätt, antingen i generell eller i sektorsspecifik reglering (SOU 2017:39, avsnitt 10.3). De bestämmelser som föreslås möjliggöra behandling av känsliga personuppgifter kommer inte att bli tillämpliga på ett sådant register. Detta eftersom dessa register inte är ärenden och inte heller förs som en direkt följd av tryckfrihetsförordningens, offentlighets- och sekretesslagens och förvaltningslagens bestämmelser om hur inkomna handlingar ska hanteras. Behandlingen av känsliga personuppgifter sker inte i enstaka fall då uppgifter om elever i t.ex. grundsärskolor behandlas regelmässigt.

Enligt utredningens bedömning är det nödvändigt att hemkommunerna kan behandla uppgifter om att en viss elev går i t.ex. grundsärskola för att kommunerna ska kunna fullgöra åliggandet att se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning. Om hemkommunen inte kan föra in dessa uppgifter i sådana register kommer de i praktiken inte kunna uppfylla sitt ansvar enligt 7 kap. 21 § skollagen.

Utredningen föreslår därför en bestämmelse som möjliggör för kommunerna i egenskap av hemkommuner att behandla känsliga personuppgifter som är nödvändiga för att fullgöra sina skyldigheter enligt 7 kap. 21 § skollagen.

För att minska risken för integritetsintrång bör de känsliga personuppgifter som får behandlas begränsas till personnummer, namn, adress och vårdnadshavare, dvs. uppgifter som i normalfallet är harmlösa uppgifter, men som tillsammans med en uppgift om t.ex. särskola blir en känslig personuppgift. Enligt utredningens bedömning är detta en lämplig åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen. Hemkommunen har även att beakta t.ex. artikel 32 i dataskyddsförordningen om säkerhet för personuppgifter vid behandlingen av personuppgifterna.

Eftersom kommunerna redan i dagsläget behandlar dessa uppgifter i sina elevregister bedömer utredningen att den föreslagna bestämmelsen varken medför ett ökat eller minskat integritetsintrång.

Mottagande i särskola

Enligt 7 kap. 5 § andra stycket skollagen ska barnets hemkommun pröva frågan om mottagande i grundsärskolan. Ett beslut om mottagande i grundsärskolan ska föregås av en utredning som omfattar en pedagogisk, psykologisk, medicinsk och social bedömning.

Av 18 kap. 5 § skollagen framgår att hemkommunen prövar frågan om en sökande tillhör målgruppen för gymnasiesärskolan. Utredningens bedömning är att hemkommunerna när de handlägger dessa ärenden utför en uppgift av allmänt intresse och att uppgiften av allmänt intresse är fastställd genom ovan nämnda bestämmelser i skollagen. Bestämmelserna är tydliga, precisa och förutsägbara. Artikel 6.1 e i dataskyddsförordningen är således tillämplig som rättslig grund för nödvändig personuppgiftsbehandling.

Vid handläggningen av dessa ärenden kommer hemkommunerna att behöva behandla uppgifter om elevernas hälsa, dvs. känsliga personuppgifter. Som ovan nämnts föreslås bestämmelser som möjliggör för kommunen såsom hemkommun att behandla känsliga personuppgifter i bl.a. löpande text om uppgifterna är nödvändiga för handläggningen av ett ärende. Enligt vad utredningen erfar kan det krävas att uppgifter om ärenden om bl.a. mottagande i grundsärskolan läggs in i kommunernas ärendehanteringssystem. I ärendet läggs även uppgiften om vilken elev det rör in. Uppgiften om att en elev är föremål för frågan om mottagande i grundsärskolan eller tillhör målgruppen för gymnasiesärskolan är en uppgift om elevens hälsa. Enligt utredningens bedömning kan den förslagna bestämmelsen om behandling av känsliga personuppgifter i enstaka fall inte bli tillämplig på dessa behandlingar eftersom det inte rör sig om enstaka fall.

Enligt utredningens bedömning är det nödvändigt med hänsyn till ett viktigt allmänt intresse på grundval av nämnda bestämmelser i skollagen att kommunerna kan göra dessa personuppgiftsbehandlingar. Dessa behandlingar är även i elevernas intresse då de är en förutsättning för att kommunerna ska kunna fatta beslut i frågan och sedan ha möjlighet att återfinna sina beslut i ärendehanteringssystemen.

Utredningen föreslår därför en bestämmelse som möjliggör för en hemkommun att med stöd av artikel 9.2 g i dataskyddsförordningen behandla uppgifter om hälsa om det är absolut nödvändigt

för handläggningen av ett ärende om mottagande i grundsärskolan enligt 7 kap. 5 § andra stycket skollagen, eller ett ärende om en sökande tillhör målgruppen för gymnasiesärskolan enligt 18 kap. 5 § skollagen. För att behandlingen ska vara tillåten krävs dessutom att den inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Kommunerna ska noga överväga vilka uppgifter om hälsa som läggs in i både löpande text och eventuellt direkt i ärendehanteringssystemet och pröva det mot ändamålet med behandlingen. Vidare ställer bestämmelsen upp ett krav på att ytterligare avvägning ska göras i det enskilda fallet. Vid bedömningen av om en behandling utgör ett otillbörligt intrång ska vikt läggas vid sådana aspekter som uppgifternas känslighet, den inställning de registrerade kan antas ha till att uppgiften behandlas, den spridning uppgiften skulle komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet.

För att begränsa risken för integritetsintrång föreslås i förordning att endast vissa sökbegrepp får användas. De sökbegrepp som tillåts är sådana som i andra sammanhang betraktas som harmlösa, t.ex. namn, personnummer, adress, skolenhet och diarienummer. Sökbegränsningen bedöms vara en sådan lämplig och särskild åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen som krävs enligt artikel 9.2 g i dataskyddsförordningen. Enligt utredningens bedömning står bestämmelsen i proportion till det eftersträvade syftet.

Tilläggsbelopp till enskilda huvudmän

Till en hemkommuns åliggande hör även att handlägga och besluta om fristående skolors ansökan om tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd enligt t.ex. 10 kap. 39 § skollagen. I detta fall är uppgiften av allmänt intresse – att ge bidrag till den enskilde huvudmannen för anordnande av omfattande särskilt stöd till en elev – fastställd genom bestämmelserna i bl.a. 10 kap.3739 §§skollagen. Hemkommunen kan således tillämpa artikel 6.1 e i dataskyddsförordningen som stöd för nödvändig personuppgiftsbehandling för att utföra denna uppgift av allmänt intresse. Kommu-

nen kan även vara i behov av att kunna behandla uppgifter om en enskild elevs hälsa för handläggningen av ärendet.

Enligt vad utredningen erfar kan det på samma sätt som i ärenden om mottagande i grundsärskolan krävas att uppgifter om vilken elev som en ansökan om tilläggsbelopp avser läggs in i kommunens ärendehanteringssystem. En sådan uppgift är en känslig personuppgift. Utredningen bedömer att samma skäl gör sig gällande för att en kommun ska få vidta nödvändig personuppgiftsbehandling i dessa fall som avseende ärenden om mottagande i grundsärskolan.

Utredningen föreslår därför en bestämmelse som på samma sätt möjliggör för en hemkommun att med stöd av artikel 9.2 g i dataskyddsförordningen behandla uppgifter om hälsa om det är absolut nödvändigt för handläggningen av ett ärende om tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd. För att behandlingen ska vara tillåten krävs dessutom att den inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Samma slags sökbegränsningar föreslås också.

Skyddsåtgärder – sökförbud

Förslagen till bestämmelser i dataskyddslagen som Dataskyddsutredningen lämnar för att möjliggöra för myndigheter att i vissa fall behandla känsliga personuppgifter har sin grund i artikel 9.2 g i dataskyddsförordningen. För att i den delen leva upp till förordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen, föreslår Dataskyddsutredningen även en skyddsåtgärd i form av en sökbegränsning i 3 kap. 4 § dataskyddslagen. Vid behandling som sker enbart med stöd av 3 § dataskyddslagen får en myndighet inte använda sökbegrepp som avslöjar känsliga personuppgifter.

Dataskyddsutredningen menar att sökningar som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som i sig innebär en integritetskränkning. Enligt Dataskyddsutredningen ligger företeelsen nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Dataskyddsutredningen anser att med ett sökförbud uppnås

ett relativt effektivt skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna (SOU 2017:39, avsnitt 10.6.2).

Dataskyddsutredningen konstaterar vidare att ett sådant sökförbud i svensk rätt innebär att offentlighetsprincipen inskränks enligt den så kallade begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. En begäran att få tillgång till en sammanställning av uppgifter som är resultatet av en sådan förbjuden sökning ska alltså avslås på den grunden att sammanställningen inte anses förvarad hos myndigheten.

Dataskyddsutredningen anser att den omständigheten att sammanställningar av känsliga personuppgifter inte kommer att lämnas ut är en inte obetydlig integritetsvinst för de registrerade. Dataskyddsutredningen understryker dock att den s.k. begränsningsregeln inte hindrar att sökningar görs i färdiga elektroniska handlingar vid en begäran om tillgång till allmänna handlingar, dvs. sökning får på begäran ske i upptagningar där myndigheten eller den som lämnat in handlingen till myndigheten har gett upptagningen ett bestämt, fixerat, innehåll som går att återskapa gång på gång.

Dataskyddsutredningens förslag till sökförbud i 3 kap. 4 § dataskyddslagen gäller för myndigheter och enligt 1 kap. 5 § även för de organ som jämställs med myndigheter vid tillämpningen av 3 kap. 3 § 2 och 4 §.

Utredningen föreslår att även enskilda huvudmän ska kunna tilllämpa bestämmelser motsvarande 3 kap. 3 § 1 och 3 dataskyddslagen. De skäl som finns för att sökbegränsningar ska gälla för myndigheter – dvs. för offentliga huvudmäns del – gör sig enligt utredningens bedömning även gällande för enskilda huvudmän. En motsvarande bestämmelse som begränsar enskilda huvudmäns anställdas möjligheter till behandling av känsliga personuppgifter bör därför också införas.

Dessa generella sökbegränsningar omfattar även huvudmän för särskolor, specialskolor, sameskolor, särskild utbildning för vuxna, fristående skolor som begränsats till elever som är i behov av särskilt stöd för sin utveckling och gymnasieskolan med Rh-anpassad utbildning och utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning.

Utredningens bedömning är att det inte heller inom dessa utbildningsformers verksamhet bör kunna sökas på uppgifter om t.ex. en medicinsk diagnos eller en viss funktionsnedsättning. Den föreslagna

bestämmelsen medför dock att personal i särskolor, specialskolor, sameskolor, särskild utbildning för vuxna och fristående skolor som begränsats till elever som är i behov av särskilt stöd för sin utveckling inte kan söka på någon personuppgift alls eftersom alla uppgifter är känsliga personuppgifter, även t.ex. uppgift om namn och personnummer som i andra sammanhang skulle anses som en harmlös uppgift. För att dessa skolformers administration ska fungera behöver i vart fall viss personal kunna söka på vissa personuppgifter, t.ex. namn, personnummer och elevens hemkommun. Om man i den administrativa verksamheten inte kan göra några sökningar kan personalen inte heller få fram i systemen inmatade uppgifter om eleverna, vilket skulle vara helt orimligt. Att administrationen fungerar gagnar även eleverna eftersom syftet normalt är att administrera deras skolgång.

Utredningen föreslår därför en bestämmelse som möjliggör för särskolor, specialskolor, särskild utbildning för vuxna och fristående skolor som begränsats till elever som är i behov av särskilt stöd för sin utveckling att göra sökning på uppgift om hälsa. Samma möjlighet föreslås även för huvudmän för gymnasieskolan med Rh-anpassad utbildning och utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning eftersom personal som arbetar med dessa utbildningar har samma behov att kunna behandla uppgifter om eleverna som personal som arbetar med de övriga eleverna i gymnasieskolan. För sameskolor föreslås en motsvarande bestämmelse för uppgift om etniskt ursprung. Detta för att personal inom dessa utbildningsformer ska kunna använda normalt sett harmlösa uppgifter såsom t.ex. namn, personnummer och elevens hemkommun som sökbegrepp. Utredningens förslag avser inte att ge dessa utbildningsformers personal en utökad möjlighet till användning av sökbegreppen hälsa respektive etniskt ursprung jämfört med övriga skolformers utan endast att möjliggöra sökning på samma sätt. Eftersom det rör sig om känsliga personuppgifter bör det vid bestämmande av sökbegrepp särskilt övervägas om det aktuella sökbegreppet är nödvändigt och uppfyller ett specifikt behov i verksamheten. Uppgifter om t.ex. namn och personnummer är i andra sammanhang harmlösa uppgifter och är nödvändiga för att uppgifter om en viss elev ska kunna tas fram och borde därför kunna användas som sökbegrepp även inom dessa skolformer.

Då det endast är den känsliga uppgiften hälsa som möjliggörs att sökas på inom särskolor, specialskolor, särskild utbildning för vuxna, fristående skolor som begränsats till elever som är i behov av särskilt stöd för sin utveckling, gymnasieskolan med Rh-anpassad utbildning och utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning respektive uppgiften om etniskt ursprung som möjliggörs att söka på inom sameskolorna och sökmöjligheter i it-systemen på t.ex. en elevs namn, personnummer eller hemkommun, är nödvändiga för att få en fungerande verksamhet bedömer utredningen att dessa begränsande sökmöjligheter tillgodoser dataskyddsförordningens krav på proportionalitet och skyddsåtgärder.

Undantagen bör dock av integritetsskyddsskäl kunna avgränsas så specifikt som möjligt. Dessa avgränsningar bör dessutom kunna anpassas kontinuerligt, om det med hänsyn till utvecklingen av verksamheten uppstår behov av andra sökbegrepp. Det är därför lämpligt att det i förordning preciseras vilka möjligheter till sökning som ska finnas. Mot denna bakgrund bör det tas in en upplysning om att regeringen kan meddela föreskrifter om begränsningar av möjligheten att använda de aktuella sökbegreppen. I förordningsbestämmelserna kan det t.ex. specificeras vilka sökbegrepp som får användas. Bestämmelserna i förordning som begränsar möjligheterna att använda de aktuella sökbegreppen bör utformas som ovillkorliga bestämmelser så att de får genomslag när allmänheten begär att en sökning ska utföras med stöd av offentlighetsprincipen.

Utredningen föreslår samma slags sökbegränsningar för kommunerna för de situationer som de såsom hemkommuner föreslås särskilt få behandla känsliga personuppgifter.

Bemyndigande som möjliggör ytterligare undantag

I dataskyddslagen införs ett bemyndigande för regeringen att föreskriva om undantag från förbudet i artikel 9.1 i dataskyddsförordningen att behandla känsliga personuppgifter (3 kap. 8 § dataskyddslagen). Eftersom utredningen föreslår en särreglering beträffande behandling av känsliga personuppgifter behöver en motsvarande bestämmelse införas för att möjliggöra för regeringen att meddela ytterligare undantag från förbudet i artikel 9.1 beträffande det viktiga

allmänna intresset att anordna utbildning enligt skollagen eller föreskrifter som har meddelats med stöd av den lagen.

En förutsättning när nya undantag övervägs med stöd av bemyndigandet är att en noggrann bedömning görs för att säkerställa att dataskyddsförordningens krav i övrigt, bl.a. skyddsåtgärder, är uppfyllda.

Ett nytt 28 a kap. ska införas i skollagen

En ytterligare fråga är vad som är författningstekniskt mest lämpligt att föra in dessa särbestämmelser som ger möjlighet att i vissa situationer behandla känsliga personuppgifter. I 3 kap. 8 § dataskyddslagen ges ett bemyndigande för regeringen att meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter. Det skulle således vara möjligt att reglera enskilda huvudmäns möjligheter att behandla känsliga personuppgifter i en förordning.

Utredningen bedömer dock att det förenklar om samtliga huvudmän som har att tillämpa skollagen i sin utbildningsverksamhet kan tillämpa samma bestämmelser för sin behandling av känsliga personuppgifter och att det därför ska införas enhetliga bestämmelser. Det framstår även som angeläget ur enskildas perspektiv att samma dataskyddsbestämmelser är tillämpliga i skolformer som tillämpar samma verksamhetsreglering. För kommunernas del förenklar det om de för samtliga åligganden enligt skollagen, dvs. både som huvudman respektive hemkommun, har att tillämpa samma bestämmelser.

De bestämmelser som myndigheter har att tillämpa enligt dataskyddslagen är i lagform. Om det inte införs särreglering för deras del ska de tillämpa dataskyddslagen. Utredningens bedömning är därför att det är lämpligt att bestämmelserna som ger huvudmännen enligt skollagen stöd för att behandla känsliga personuppgifter förs in på samma normhierarkiska nivå, i ett nytt 28 a kap. i skollagen. Även kommunerna såsom hemkommuner enligt skollagen och aktörer enligt 24 och 25 kap. ska tillämpa det föreslagna kapitlet vid behandling av känsliga personuppgifter som utförs med stöd av skollagen och anslutande föreskrifter. Kapitlet inleds med en upplysningsbestämmelse som anger de organ enligt skollagen som kan tilllämpa bestämmelserna i det.

Därefter följer en upplysningsbestämmelse som anger att kapitlet utgör en komplettering till dataskyddsförordningen och dess förhållande till dataskyddslagen. Även en bestämmelse som anger att kapitlet inte ska tillämpas på den personuppgiftsbehandling som utförs av dels den verksamhet inom elevhälsan som ska tillämpa patientdatalagens bestämmelser, dels Kriminalvårdens verksamhet enligt 24 kap. 10 § föreslås.

4.8. Personuppgifter som rör lagöverträdelser

4.8.1. Utredningens uppdrag i denna del

Utredningen har inte getts ett uttryckligt uppdrag att analysera om det finns behov av att möjliggöra ändamålsenlig behandling av personuppgifter som rör lagöverträdelser. Eftersom utredningen ska föreslå kompletterande regleringar som ska möjliggöra en ändamålsenlig behandling som samtidigt skyddar den enskildes fri- och rättigheter, ingår det dock i uppdraget att också analysera behovet av reglering i denna del.

4.8.2. Gällande bestämmelser

Enligt 21 § första stycket PUL är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar bl.a. brott och domar i brottmål. Förbudet gäller således inte för förskolor, skolor och vuxenutbildningsenheter vars huvudmän är staten, en kommun eller ett landsting, utan endast för enskilda huvudmän. Med stöd av 5 a § PUL kan dock även enskilda huvudmän behandla sådana uppgifter i ostrukturerat material.

Vidare får, enligt 21 § tredje stycket PUL, regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om undantag från förbudet i 21 § första stycket. I 9 § PUF har Datainspektionen bemyndigats att meddela föreskrifter om sådana undantag. Datainspektionen har meddelat sådana föreskrifter genom DIFS 1998:3 (Datainspektionens föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m.), som ändrats genom DIFS 2010:1. Enligt 1 § b i föreskrifterna får, utan hinder av förbudet i 21 § PUL, sådana

personuppgifter behandlas om behandlingen avser uppgift i anteckningar som förs i fristående skolors elevvårdande verksamhet. Även genom Datainspektionens föreskrifter finns således en möjlighet för enskilda huvudmän för fristående skolor att i sin elevvårdande verksamhet behandla personuppgifter som rör fällande domar i brottmål.

Med fristående skolor avses i 1 kap. 3 § skollagen en skolenhet vid vilken en enskild bedriver utbildning inom skolväsendet i form av förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola eller sådant fritidshem.

4.8.3. Dataskyddsförordningen och dataskyddslagen

Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.

Dataskyddsutredningen har lämnat förslag till bestämmelser om behandling av personuppgifter som rör lagöverträdelser i 3 kap. 9, 10 och 12 §§ dataskyddslagen.

I 9 § anges att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får enligt artikel 10 i dataskyddsförordningen behandlas av myndigheter.

Enligt Dataskyddsutredningen är det av stor vikt att regleringen i artikel 10 i dataskyddsförordningen, även vad avser myndigheters behandling, tydliggörs så långt möjligt i nationell rätt. Dataskyddsutredningen anser att ett sådant införlivande behövs när det gäller myndigheters behandling av uppgifter om lagöverträdelser, bl.a. för att tydliggöra att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter om lagöverträdelser (SOU 2017:39, avsnitt 11.4).

Enligt 10 § får den myndighet som regeringen bestämmer i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §. Enligt 12 § bemyndigas regeringen eller den myndighet som regeringen bestämmer att få meddela föreskrifter om

i vilka fall andra än myndigheter får behandla sådana uppgifter som avses i 9 §.

I 4 och 5 §§ förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning föreslår Dataskyddsutredningen kompletterande bestämmelser avseende behandling av uppgifter som rör lagöverträdelser.

Enligt 4 § får personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel behandlas av andra än myndigheter om

1. behandlingen är nödvändig för att rättsliga anspråk ska kunna fast-

ställas, göras gällande eller försvaras i ett enskilt fall,

2. behandlingen avser enstaka uppgifter och är nödvändig för att till

polisen anmäla misstanke om brott, eller

3. behandlingen avser enstaka uppgifter och är nödvändig för att en

rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.

Enligt Dataskyddsutredningens förslag till 5 § får Datainspektionen meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel.

4.8.4. Behov av särskild reglering

Förslag: I 28 a kap. skollagen ska det införas en bestämmelse som

möjliggör för elevhälsan i fristående skolor att i löpande text behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel, om det är absolut nödvändigt för ändamålet med behandlingen. Vidare möjliggörs för huvudmännen för fristående skolor samt rektorer och lärare i fristående skolor att i skriftlig dokumentation som åligger dem enligt 5 kap. 24 § skollagen behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel, om det är absolut nödvändigt för ändamålet med behandlingen.

Bedömning: Förskolor, skolor och vuxenutbildningsenheter vars

huvudmän är staten, en kommun eller ett landsting kan med stöd av artikel 10 i dataskyddsförordningen behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. Dataskyddslagen föreslås innehålla en upplysningsbestämmelse om att myndigheter får behandla sådana uppgifter. Det finns inget behov av att införa någon ytterligare reglering för dessa huvudmäns eller övriga huvudmäns behandling av personuppgifter som rör lagöverträdelser.

Förbudet i artikel 10 mot behandling av personuppgifter som rör lagöverträdelser och liknande gäller inte för myndigheter. En upplysningsbestämmelse om nämnda förhållande föreslår Dataskyddsutredningen ska finnas i 3 kap. 9 § dataskyddslagen. Även när dataskyddsförordningen ska börja tillämpas kommer således förskolor, skolor och vuxenutbildningsenheter vars huvudmän är staten, en kommun eller ett landsting att kunna behandla personuppgifter som rör lagöverträdelser och liknande i de enskilda fall sådan behandling bedöms nödvändig. Någon ytterligare reglering i denna del krävs därmed inte för dessa huvudmäns behandlingar.

Datainspektionen har genom föreskrifter från 1998 möjliggjort för den elevvårdande verksamheten i fristående skolor att i anteckningar behandla uppgifter om bl.a. lagöverträdelser. Med fristående skolor avses i skollagen en skolenhet vid vilken en enskild bedriver utbildning inom skolväsendet i form av förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola eller sådant fritidshem. I dessa skolformer har det således sedan 1998 bedömts finnas ett behov av att i den elevvårdande verksamheten kunna behandla uppgifter om bl.a. lagöverträdelser i anteckningar, dvs. löpande text, eftersom sådan behandling möjliggjorts. I sammanhanget kan även nämnas att sådan behandling sedan 5 a § PUL trädde i kraft även varit möjlig genom att tillämpa den bestämmelsen.

Begreppet elevvårdande verksamhet används inte i skollagen. I stället används begreppet elevhälsa som ska omfatta medicinska, psykologiska, psykosociala och specialpedagogiska insatser.

I 5 kap. skollagen finns bestämmelser om disciplinära och andra särskilda åtgärder. Med sådana åtgärder avses utvisning, kvarsittning, tillfällig omplacering, tillfällig placering vid annan skolenhet, avstängning och omhändertagande av föremål. Rektor eller en lärare

får vidta de omedelbara och tillfälliga åtgärder som är befogade för att tillförsäkra eleverna trygghet och studiero eller för att komma till rätta med en elevs ordningsstörande uppträdande. Huvudmannen får under vissa förutsättningar besluta att helt eller delvis stänga av en elev från gymnasieskolan, gymnasiesärskolan, kommunal vuxenutbildning och särskild utbildning för vuxna (t.ex. 5 kap. 17 § skollagen).

Av 5 kap. 24 § skollagen framgår att om vissa åtgärder vidtagits enligt kapitlet, såsom t.ex. utvisning ur undervisningslokalen, tillfällig omplacering till en annan undervisningsgrupp än den eleven annars hör till, tillfällig placering till en annan skolenhet, avstängning från vissa obligatoriska skolformer och avstängning från de frivilliga skolformerna, ska åtgärden dokumenteras skriftligt av den som genomfört den.

Utredningen erfar att det i vissa fall i samband med att disciplinära eller andra särskilda åtgärder, t.ex. avstängning, behöver vidtas är nödvändigt att behandla en uppgift om bl.a. lagöverträdelser. Ett exempel kan vara i ett ärende rörande avstängning av en narkotikapåverkad elev som dyker upp i skolan och är farlig för sig själv eller andra. I detta sammanhang skulle det om eleven tidigare har dömts för t.ex. ringa narkotikabrott kunna bli aktuellt att även anteckna den uppgiften. Också inom elevhälsan skulle det kunna uppstå situationer där det finns ett berättigat behov av att i löpande text behandla en uppgift om t.ex. lagöverträdelse.

Dessa behov av att behandla uppgifter om lagöverträdelser och liknande gör sig lika gällande hos en skolhuvudman som är en kommun, staten, eller ett landsting som hos en enskild skolhuvudman. I dagsläget finns det möjlighet att i fristående skolor behandla denna uppgift i fristående text med stöd av bestämmelsen i 5 a § PUL, men även nämnda föreskrift av Datainspektionen. När dataskyddsförordningen ska börja tillämpas kommer dock personuppgiftslagen att upphävas.

Enligt utredningens bedömning är det inte möjligt för huvudmän för samt rektorer och lärare i fristående skolor att behandla personuppgifter om lagöverträdelser i anteckningar med anledning av t.ex. en disciplinåtgärd med stöd av Dataskyddsutredningens förslag i nyss nämnda delar. Samma bedömning görs för elevhälsan inom fristående skolors möjlighet att i löpande text behandla uppgifter om t.ex. lagöverträdelser.

Enligt Dataskyddsutredningens förslag till 5 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning bemyndigas Datainspektionen att meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör bl.a. fällande domar i brottmål. I vilken mån Datainspektionen kommer att använda sig av bemyndigandet och i så fall på vilket sätt är i dagsläget oklart.

Dataskyddsförordningen tillåter således inte att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel behandlas i löpande text i fristående skolor och det saknas förslag till undantag som möjliggör sådan behandling. Frågan är då om utredningen bör föreslå en sådan bestämmelse.

Bestämmelser om bl.a. tillfällig omplacering och avstängning i 5 kap. skollagen tar sikte på bl.a. övriga elevernas trygghet och studiero. Det måste därmed, enligt utredningens bedömning, anses vara lika angeläget att det i fristående skolor är möjligt att behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel i dessa sammanhang som i skolor vars huvudmän är staten, en kommun eller ett landsting. En sådan bestämmelse bör således införas.

En bestämmelse som möjliggör för att i fristående skolor behandla personuppgifter som rör bl.a. fällande domar i brottmål måste, enligt artikel 10 i dataskyddsförordningen, omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. En sådan bestämmelse bör därför bestå av rekvisit som starkt betonar att det är fråga om en restriktiv tillämpning där en noggrann avvägning behöver göras mellan behovet av behandling och intrånget i den enskildes integritet. Enligt utredningens uppfattning kan utformningen av Dataskyddsutredningens förslag till 3 kap. 3 § 3 dataskyddslagen tjäna som riktmärke.

Behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel skulle då kunna tillåtas om det är absolut nödvändigt, vilket innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling.

En ytterligare lämplig skyddsåtgärd kan, enligt utredningens uppfattning, vara att avgränsa tillämpningsområdet för bestämmelsen till att gälla enbart i löpande text.

Genom dessa begränsningar skapas en möjlighet för dels elevhälsan, dels huvudman, rektor respektive lärare när dessa har en skyldighet enligt 5 kap. 24 § skollagen att dokumentera åtgärder som vidtagits enligt det kapitlet att behandla absolut nödvändiga uppgifter om t.ex. fällande domar i brottmål samtidigt som den enskilda elevens integritet skyddas genom att bestämmelsen ska tillämpas restriktivt och behandlingen endast får ske i löpande text.

Utredningens bedömning är att en bestämmelse, med sådana begränsande rekvisit, uppfyller kraven i artikel 10 i dataskyddsförordningen.

Eftersom det redan i dagsläget är tillåtet i fristående skolor att behandla uppgifter om bl.a. fällande domar i brottmål i löpande text med stöd av 5 a § PUL gör utredningen bedömningen att den föreslagna bestämmelsens intrång i de enskildas integritet varken blir större eller mindre än med gällande bestämmelser.

Såvitt utredningen erfar finns det inte behov av att behandla uppgifter om lagöverträdelser i fristående förskolors verksamhet och därför föreslås inte någon sådan bestämmelse. Om ett sådant behov skulle uppkomma finns det genom de föreslagna bestämmelserna i dataskyddslagen möjlighet för regeringen eller Datainspektionen att meddela föreskrifter som möjliggör sådan behandling.

4.9. Behov av ytterligare reglering

Bedömning: Dataskyddsförordningen, dataskyddslagen och ut-

redningens förslag till författningsreglering av huvudmännens och hemkommunernas behandling av känsliga personuppgifter och fristående skolors behandling av lagöverträdelser utgör en ändamålsenlig reglering för de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling och ett välavvägt skydd för barnens respektive elevernas personliga integritet.

Den personuppgiftsbehandling som de skollagsreglerade utbildningsverksamheterna utför och som inte omfattas av utredningens förslag till lagreglering är inte sådan att det krävs ytterligare lagreglering enligt 2 kap. 6 § regeringsformen. Någon ytterligare reglering, utöver förslagen till reglering av huvudmännens behandling av känsliga personuppgifter och fristående skolors behandling av lagöverträdelser och liknande, behövs därmed inte.

När personuppgiftslagen upphävs kommer den personuppgiftsbehandling som utförs av de skollagsreglerade utbildningsverksamheterna att i huvudsak omfattas av dataskyddsförordningens och den föreslagna dataskyddslagens bestämmelser samt de bestämmelser utredningen föreslår för huvudmännens och hemkommunernas behandling av känsliga personuppgifter och fristående skolors behandling av lagöverträdelser och liknande.

Några områden kommer dock inte omfattas av dessa bestämmelser. Den personuppgiftsbehandling som sker inom elevhälsans medicinska insatser kommer även fortsättningsvis omfattas av patientdatalagen med tillhörande föreskrifter. Den personuppgiftsbehandling som SiS vidtar med anledning av utbildningen som genomförs genom dess försorg för ungdomar som dömts till sluten ungdomsvård och placerats vid särskilt ungdomshem kommer att omfattas av den föreslagna brottsdatalagens bestämmelser (SOU 2017:29). Detsamma gäller den personuppgiftsbehandling som Kriminalvården utför med anledning av utbildningen som motsvarar kommunal vuxenutbildning och särskild utbildning för vuxna för intagna i kriminalvårdsanstalt.

Frågan är således om det, utöver nämnda regleringar och förslag, krävs och behövs en ytterligare författning i form av en särskild lag för att ytterligare reglera de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling i andra fall än då det gäller behandling av känsliga personuppgifter och fristående skolors behandling av lagöverträdelser och liknande.

Dataskyddsförordningen möjliggör genom artikel 6.2 och 6.3 andra stycket för medlemsstaterna att införa särskilda registerförfattningar men varken dessa bestämmelser eller förordningen i sig innebär något krav på att det införs sådana författningar.

Enligt utredningens bedömning kan de skollagsreglerade utbildningsverksamheterna som rättslig grund för sin nödvändiga behandling av personuppgifter tillämpa artikel 6.1 a, c eller e i dataskyddsförordningen (se avsnitt 4.6). För enskilda huvudmän är det inte uteslutet att tillämpa artikel 6.1 f som rättslig grund för nödvändig behandling. Som framgår ovan är det utredningens bedömning att det inte behövs någon särskild reglering för att de skollagsreglerade utbildningsverksamheternas huvudmän eller kommunen såsom hemkommun ska kunna tillämpa dessa rättsliga grunder. Enligt ovan är det

även utredningens bedömning att nämnda rättsliga grunder i dataskyddsförordningen är tillräckliga för sådan behandling som är nödvändig för att huvudmännen respektive kommunen såsom hemkommun ska kunna uppfylla de uppgifter och åligganden som framgår av skollagen med tillhörande föreskrifter och beslut grundade i dessa.

För nödvändig och absolut nödvändig behandling av känsliga personuppgifter kan huvudmännen respektive kommunen såsom hemkommun tillämpa de bestämmelser som utredningen föreslår ska införas i ett nytt 28 a kap. i skollagen. Dessa bestämmelser har sin grund i artikel 9.2 g i dataskyddsförordningen och är utformade med dataskyddslagens motsvarande bestämmelser som förebild. Som framgår ovan är det utredningens bedömning att dessa bestämmelser, i förening med möjligheten att i viss utsträckning använda sig av samtycke, är tillräckliga för sådan behandling av känsliga personuppgifter som är nödvändig eller absolut nödvändig i huvudmännens verksamhet enligt bl.a. skollagen.

Det kommer således att finnas rättslig grund som medför att de skollagsreglerade utbildningsverksamheterna även när dataskyddsförordningen ska börja tillämpas den 25 maj 2018 kan utföra nödvändiga behandlingar av personuppgifter. Ur den synvinkeln saknas det anledning att införa en särskild reglering av de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandlingar.

Regeringsformens krav

Frågan är då om skyddet mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen innebär att det enligt 2 kap. 20 § regeringsformen krävs en särskild lag för de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling.

Bestämmelsen i 2 kap. 6 § andra stycket regeringsformen trädde i kraft den 1 januari 2011. Genom en särskild övergångsbestämmelse har äldre regleringar, som inte har lagform, dock varit gällande t.o.m. utgången av 2015. Någon särskild lag om skolornas personuppgiftsbehandling har inte införts med anledning av grundlagsändringen.

Utredningen om offentlighet och sekretess i skolan har i betänkandet Sekretess i elevernas intresse – Dokumentation, samverkan och integritet i skolan (SOU 2003:103) utrett bl.a. om det med

anledning av personuppgiftslagen behövs särskilda regler för användningen av datorer i skolan. Utredningen kom fram till att det inte behövdes en särskild författningsreglering om behandling av personuppgifter i skolan.

Någon utredning har inte tillsatts med uppgiften att analysera behovet av en särskild författningsreglering inom den skollagsreglerade utbildningsverksamhetens område med anledning av grundlagsändringen.

Det förefaller därmed som att regeringen och lagstiftaren bedömt att den skollagsreglerade utbildningsverksamhetens behandling av personuppgifter inte är sådan att den kräver särskilt lagstöd enligt 2 kap. 20 § regeringsformen, utan att de möjligheter till behandling av personuppgifter som finns enligt personuppgiftslagen är både tillräckliga och inte för långtgående för integritetsskyddet.

Vidare har det inte framkommit att de skollagsreglerade verksamheternas personuppgiftsbehandlingar sedan den 1 januari 2016 har ändrats eller avses ändras på ett sätt som medför att behovet av att införa en särskild lagreglering har förändrats. Det är inte några ofullkomligheter i lagstiftningen eller ifrågasatta integritetskränkningar som har föranlett utredningsuppdraget, utan enbart den kommande nya EU-regleringen av behandling av personuppgifter, vilken medför att personuppgiftslagen kommer att upphävas.

De skollagsreglerade utbildningsverksamheternas behandling av personuppgifter består huvudsakligen av uppgifter i form av elevens namn, adress och personnummer samt vårdnadshavares namn och kontaktuppgifter. Vidare dokumenteras elevernas tider på förskolorna och fritidshemmen samt deras närvaro på förskolorna respektive fritidshemmen och i skolorna. De personuppgifter som förekommer i dessa sammanhang är normalt harmlösa.

Inom undervisningsverksamheten förekommer det oundvikligen behandling av vissa av elevernas personuppgifter eftersom det ingår i läroplanerna för t.ex. grundskolan att eleverna ska t.ex. lära sig skriva dokument med hjälp av ordbehandlare. Regeringen beslutade så nyligen som den 9 mars 2017 om förtydliganden och förstärkningar i styrdokument – bl.a. i läroplaner för grundskolan och gymnasieskolan – för att tydliggöra skolans uppdrag att stärka elevernas digitala kompetens. I skolans uppdrag kommer att ingå att bidra till att

eleverna utvecklar förståelse för hur digitaliseringen påverkar individen och samhällets utveckling.21 Alla elever ska ges möjlighet att utveckla sin förmåga att använda digital teknik. De ska också ges möjlighet att utveckla ett kritiskt och ansvarsfullt förhållningssätt till digital teknik, för att kunna se möjligheter och förstå risker och för att kunna värdera information. Ändringarna syftar bl.a. till att eleverna ska kunna använda och förstå digitala system och tjänster. Ändringarna ska tillämpas senast från och med den 1 juli 2018, men huvudmännen kommer att kunna välja om de ska börja tillämpa dem tidigare med början från och med den 1 juli 2017.

Även i de fall skoluppgifter görs i skolans datorer till vilka eleven har egen inloggning eller redovisningar lämnas in till en lärare per epost eller via en lärplattform behandlas elevens personuppgifter. I vart fall elevernas namn behandlas i utvecklingsplaner och elevernas namn och personnummer i betygsdokumenten. I utvecklingsplaner sker en bedömning av elevens kunskaper jämfört med uppsatta mål. Att en individs förmåga och prestation dokumenteras är integritetskänsligt, men att göra dessa bedömningar ingår som en del av skolornas uppdrag. För att kunna utföra det uppdraget måste dokumentation av elevens resultat och lärarens bedömning av elevens kunskaper ske. Dokumentationen kan föras manuellt på papper eller automatiserat. Om dokumentationen sker manuellt i pappersform ankommer det på läraren att se till att dokumenten inte sprids till obehöriga eftersom en sådan spridning sannolikt skulle uppfattas av den drabbade som en integritetskränkning.

I dagsläget har dock teknikutvecklingen gått så långt och kravet på effektivitet är sådant att dokumentationen av elevens kunskaper främst sker automatiserat. Om dokumentationen av elevernas utveckling mot uppsatta mål sker med ett dataskydd i enlighet med dataskyddsförordningens krav, med t.ex. behörighetsbegränsningar till dokumenten och ett dataskydd som säkerställer att uppgifterna skyddas mot att obehöriga får del av dem, blir inte den automatiserade behandlingen mer integritetskänslig än den manuella.

Utredningen anser vidare att sedvanlig och återkommande uppföljning och bedömning av elevers resultat inte heller typiskt sett kan anses särskilt integritetsskadlig. I den mån sådana åtgärder inbegriper

21 www.regeringen.se/pressmeddelanden/2017/03/starkt-digital-kompetens-i-laroplaner-och-kursplaner/ och ändringsföreskrifterna SKOLFS 2017:10–18.

en bedömning av elevens hälsotillstånd eller liknande bör dock normalt integritetsintrånget bli större. För sådana fall har dock utredningen föreslagit bestämmelser i lag som tillsammans med dataskyddsförordningen uttömmande reglerar möjligheten att behandla sådana uppgifter.

Enligt utredningens uppfattning är det alltså inte behandlingen av personuppgifter i nu aktuella fall, dvs. behandling som inte innefattar känsliga personuppgifter, som orsakar integritetsintrånget utan verksamheten som sådan i form av bedömningar och omdömen som gör det. Den verksamheten är noggrant reglerad i skollagen och anslutande författningar och lagstiftaren har därigenom gjort en avvägning mellan intresset av elevernas integritetsskydd och behovet av att dokumentera elevernas kunskaper för att kunna bedriva adekvat utbildning.

I den skollagsreglerade utbildningsverksamheten kan behandling av känsliga personuppgifter förekomma i t.ex. åtgärdsplaner. Såvitt framkommit förekommer behandlingarna av känsliga personuppgifter i löpande text och inte strukturerat i register. Dessa behandlingar har i dagsläget stöd i personuppgiftslagen och personuppgiftsförordningen och kommer, när dataskyddsförordningen ska börja tillämpas, att ha stöd i den reglering som utredningen föreslår. Denna reglering omfattas av skyddsåtgärder som ska säkerställa den registrerades rättigheter. Regleringen, om förslaget införs, kommer i så fall dessutom att vara i lagform.

Inom elevhälsans medicinska insatser förekommer behandlingar av känsliga personuppgifter men dessa behandlas och kommer att behandlas med stöd av bestämmelserna i patientdatalagen och anslutande föreskrifter.

Det kan vidare konstateras att de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling omfattar personuppgiftssamlingar som är begränsade till de barn och elever som mottagits eller placerats i den personuppgiftsansvariges verksamhet. Sannolikt omfattar de största uppgiftssamlingarna personuppgifter rörande barn eller elever i större kommuner då det är den kommunala nämnden som har personuppgiftsansvaret för den personuppgiftsbehandling som sker vid dess skolor. Personuppgiftssamlingarna blir därför inte så omfattande som t.ex. vissa statliga förvaltningsmyndigheters nationella personuppgiftssamlingar är.

Den personuppgiftsansvarige ska dessutom enligt artikel 5 i dataskyddsförordningen se till att personuppgifterna är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). Vidare får personuppgifterna inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (lagringsminimering). Dessa bestämmelser begränsar den personuppgiftsansvariges möjligheter att behandla fler personuppgifter än nödvändigt för längre tid än nödvändigt.

Sammantaget bedömer utredningen att de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling, i de delar som inte omfattas av någon särskild författning eller förslag till reglering, inte är sådan att den utgör ett betydande intrång i regeringsformens mening. Utredningen fäster särskilt avseende vid att det inte är fråga om omfattande sammanställningar av personuppgifter eller att det rör särskilt integritetskänsliga uppgifter.

Finns det andra skäl att införa en särskild lag?

I bedömningen av behovet, av andra skäl än kraven i regeringsformen, av särskild lagreglering av den skollagsreglerade utbildningsverksamhetens personuppgiftsbehandlingar bör följande beaktas.

Av skäl 38 till dataskyddsförordningen framgår att barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt skydd bör i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte eller för att skapa personlighets- eller användarprofiler samt insamling av personuppgifter med avseende på barn när tjänster som erbjuds direkt till barn utnyttjas. Samtycke från den person som har föräldraansvar över ett barn bör inte krävas för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.

På flera ställen i dataskyddsförordningen betonas att barns personuppgifter anses särskilt skyddsvärda, både i artiklar och i skälen till förordningen. I artikel 8 i dataskyddsförordningen anges särskilda villkor som gäller barns samtycke avseende informationssamhällets

tjänster. Bestämmelsen gäller erbjudande av informationssamhällets tjänster direkt till ett barn.

Dataskyddsförordningen innehåller inte några särskilda bestämmelser rörande säkerhetsåtgärder för behandlingar av barns personuppgifter utan de allmänna bestämmelserna har ansetts ge även barns personuppgifter ett tillräckligt starkt integritetsskydd. Artikel 29gruppen har ansett att bestämmelserna i dataskyddsdirektivet i de flesta fall på ett ändamålsenligt vis säkerställer skyddet för uppgifter om barn.22 Det kan anmärkas att dataskyddsdirektivet inte innehåller några särskilda bestämmelser för barns personuppgifter utan samma skydd gäller för dem som för vuxnas. Dataskyddsförordningen föreskriver inte heller att det ska införas en särskild nationell lagstiftning för att behandlingen av barns personuppgifter ska vara tillåten.

Enligt artikel 5.2 är det den personuppgiftsansvarige som ansvarar för och ska kunna visa att artikel 5.1 efterlevs. I 5.1 a anges att uppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

Vad som är en laglig behandling regleras i artikel 6. Om inte samtycke tillämpas, krävs att behandlingen är nödvändig för de grunder i artikel 6.1 b–f som kan tillämpas på den avsedda behandlingen. Genom nödvändighetsrekvisitet tvingas den personuppgiftsansvarige därmed till ett ställningstagande till om den avsedda behandlingen verkligen behövs för att t.ex. utföra en uppgift av allmänt intresse.

För de rättsliga grunderna rättslig förpliktelse (6.1 c), uppgift av allmänt intresse och myndighetsutövning (6.1 e) finns ytterligare förutsättningar som enligt artikel 6.3 måste vara uppfyllda för att de ska kunna tillämpas. Dessa grunder ska vara fastställda i unionsrätten eller i den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Vidare ska syftet med behandlingen, i fråga om rättslig förpliktelse, fastställas i den rättsliga grunden eller, i fråga om uppgift av allmänt intresse eller myndighetsutövning, vara nödvändigt. Nämnda bestämmelser, i förening med ansvaret enligt artikel 5.2, innebär därmed att det åligger den personuppgiftsansvarige att göra en mycket noggrann prövning av om den avsedda behandlingen verkligen är nödvändig och om det finns en i svensk rätt fastställd rättslig grund som kan tillämpas på behandlingen.

22 Yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor), s. 19.

Ytterligare skydd för den enskildes integritet och rättigheter finns i bl.a. artikel 9 där behandling av känsliga personuppgifter regleras. Enligt bestämmelserna måste behandlingen i de flesta fall vara nödvändig för att ett undantag från förbudet i artikel 9.1 att behandla känsliga personuppgifter ska vara tillämpligt. För att en del undantag från förbudet ska vara tillämpliga krävs dessutom nationell lagstiftning, vars reglering ska omfatta lämpliga skyddsåtgärder med hänsyn till den enskildes rättigheter och friheter. I de fall sådana möjligheter till undantag från förbudet ska införas eller behållas måste regleringen således omfatta sådana skyddsåtgärder.

Känsliga personuppgifter har därmed, enligt utredningens bedömning, ett starkt skydd genom dataskyddsförordningens bestämmelser, eftersom inte enbart den personuppgiftsansvarige utan, i förekommande fall, även regeringen eller lagstiftaren tvingas till noggranna bedömningar i vilka situationer och för vilka ändamål känsliga personuppgifter ska få behandlas. I utredningens förslag till reglering avseende den skollagsreglerade utbildningsverksamhetens behandling av känsliga personuppgifter finns också förslag till lämpliga skyddsåtgärder.

I artikel 5 i dataskyddsförordningen finns ytterligare ett flertal bestämmelser som innebär ett starkt skydd för den enskildes integritet och rättigheter. Enligt artikel 5.1 b ska uppgifterna samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. I artikel 5.1 c ges uttryck för en princip om uppgiftsminimering. Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Enligt artikel 5.1 d ska uppgifterna vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt artikel 5.1 e får uppgifterna inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Slutligen ska uppgifterna enligt artikel 5.1 f behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna, vilket inbegriper skydd mot bl.a. obehörig eller otillåten behandling.

Som nämnts ovan är det den personuppgiftsansvarige som enligt artikel 5.2 ansvarar för och ska kunna visa att samtliga förutsätt-

ningar för att en behandling ska vara tillåten är uppfyllda. Denne har således en långtgående skyldighet att se till att inga uppgifter behandlas i onödan eller på ett felaktigt eller olagligt sätt. I sammanhanget kan artikel 30 nämnas. Enligt dessa bestämmelser ska varje personuppgiftsansvarig föra ett register över behandling som utförs under dennes ansvar. Registret ska innehålla uppgifter om bl.a. namn och kontaktuppgifter för den personuppgiftsansvarige, ändamålen med behandlingen, en beskrivning av kategorierna av registrerade och kategorierna av personuppgifter, de kategorier av mottagare till vilka uppgifterna lämnas ut, förutsedda tidsfrister för radering samt en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.

I artikel 32 regleras vidare vilka tekniska och organisatoriska säkerhetsåtgärder som den personuppgiftsansvarige ska vidta för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna för fysiska personers rättigheter och friheter. Bl.a. kan artikel 32.2 nämnas, enligt vilken särskild hänsyn ska tas till de risker som behandling medför, i synnerhet till bl.a. obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Enligt artikel 32.4 ska den personuppgiftsansvarige och personuppgiftsbiträdet vidare vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under deras överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige. De uppgifter och åligganden som åvilar den personuppgiftsansvarige i dessa delar syftar därmed också till att skydda den enskildes integritet.

I kapitel 3 i dataskyddsförordningen finns vidare ett flertal bestämmelser om den registrerades rättigheter. I detta kapitel regleras bl.a. rätten till information, vilken information som ska tillhandahållas, rätten till rättelse, radering och begränsning av behandling samt rätten att göra invändningar. Genom dessa bestämmelser ges således den registrerade insyn i vilka behandlingar som sker samt möjlighet att påverka dessa.

Enligt artikel 23 i dataskyddsförordningen är det möjligt att i nationell rätt införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de rättigheter och skyldigheter som föreskrivs i artiklarna 12–22 (kapitel 3) och 34 under förutsättning att vissa åtgärder vidtas. Av 12 § PUL framgår att en registrerad endast kan motsätta sig behandling om det rättsliga stödet för behandlingen var

den registrerades samtycke och han eller hon återkallat samtycket. Dataskyddsutredningen föreslår inte någon motsvarande bestämmelse i dataskyddslagen som begränsar rätten att göra invändningar. Utredningen har inte heller föreslagit någon sådan bestämmelse i det nya kapitlet i skollagen. Rätten att göra invändningar enligt artikel 21 är en viktig rätt för den enskilde som inte bör begränsas. Dessutom åligger det i alla fall den personuppgiftsansvarige att ansvara för och kunna visa att behandlingen av personuppgifter följer principerna i artikel 5. Rättigheten för den enskilde att göra invändningar bör därför enligt utredningens bedömning sällan skapa några nämnvärda administrativa bördor för den personuppgiftsansvarige när denne ska påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.

Sammanfattningsvis är det utredningens uppfattning att bestämmelserna i dataskyddsförordningen ger ett mycket starkt skydd för den enskildes integritet och rättigheter. En särskild författning som reglerar den skollagsreglerade utbildningsverksamhetens personuppgiftsbehandling skulle enligt utredningens bedömning inte innebära att skyddet för enskildas integritet och rättigheter blev starkare. En sådan reglering skulle dessutom kunna vara kontraproduktiv på så sätt att den skulle kunna komma att begränsa huvudmännens möjligheter att behandla personuppgifter på ett sätt som bidrar till ett effektivt och tidsenligt sätt att bedriva utbildning med utnyttjande av tillgängliga tekniska hjälpmedel med ett gott resultat. Sådan indirekt styrning av undervisningen och hur den ska bedrivas bör enligt utredningens uppfattning inte ske genom reglering av personuppgiftshanteringen inom den skollagsreglerade utbildningsverksamheten.

Sammanfattningsvis är utredningen således av uppfattningen att den skollagsreglerade utbildningsverksamhetens personuppgiftsbehandling, som saknar särskild författning eller förslag till sådan reglering, inte är sådan att den utgör ett betydande intrång i den enskildes personliga integritet. Vidare ger dataskyddsförordningen den enskilde ett starkt skydd i detta avseende. Det saknas därmed skäl att föreslå ytterligare reglering för den skollagsreglerade verksamhetens behandling av personuppgifter.

4.10. Uppförandekod för skolväsendet

Förslag: Regeringen ska ge lämplig myndighet i uppdrag att vid-

ta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet.

Avsnitt 5 i dataskyddsförordningen innehåller bestämmelser om uppförandekod och certifiering. I artikel 40.1 anges att bl.a. medlemsstaterna ska uppmuntra utarbetandet av uppförandekoder avsedda att bidra till att dataskyddsförordningen genomförs korrekt, med hänsyn till särdragen hos de olika sektorer där behandling sker, och de särskilda behoven hos mikroföretag samt små och medelstora företag.

Av artikel 40.2 framgår att sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga får utarbeta uppförandekoder eller ändra eller utöka sådana koder i syfte att specificera tillämpningen av denna förordning. Som exempel på områden anges bl.a. rättvis och öppen behandling, personuppgiftsansvarigas berättigade intressen i särskilda sammanhang, insamling av personuppgifter, information till allmänheten och de registrerade, utövande av registrerades rättigheter och åtgärder och förfaranden som avses i artiklarna 24 och 25 samt åtgärder för att säkerställa säkerhet vid behandling i enlighet med artikel 32.

I artikel 24 regleras den personuppgiftsansvariges ansvar och i artikel 25 finns bestämmelser om inbyggt dataskydd och dataskydd som standard. I artikel 32 finns bestämmelser om säkerhet i samband med behandlingen.

Utredningen har, som framgår av föregående avsnitt, kommit fram till att dataskyddsförordningen, dataskyddslagen och utredningens förslag till reglering av huvudmännens behandling av känsliga personuppgifter och fristående skolors behandling av lagöverträdelser utgör en ändamålsenlig reglering för de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling och ett välavvägt skydd för barnens respektive elevernas personliga integritet. Vidare anser utredningen att den personuppgiftsbehandling som de skollagsreglerade utbildningsverksamheterna utför och som inte omfattas av utredningens förslag till reglering inte är sådan att det krävs en särskild lagreglering enligt 2 kap. 6 § regeringsformen. Någon ytterligare reglering, utöver förslagen till reglering av huvud-

männens behandling av känsliga personuppgifter och fristående skolors behandling av lagöverträdelser, behövs därmed inte.

Enligt vad utredningen erfar anser många huvudmän att nuvarande regelverk om personuppgiftsbehandling är svårt och det efterfrågas därför någon form av handbok eller handledning i personuppgiftsbehandling inom skolväsendet.

Utredningen anser därför att goda skäl talar för att det ska tas fram en uppförandekod för skolväsendets personuppgiftsbehandling. En uppförandekod skulle på ett pedagogiskt sätt kunna anpassas till skolornas befattningshavare, dvs. till dem som i praktiken har att göra bedömningar och val av vilka digitala hjälpmedel som faktiskt används i skolan. En uppförandekod skulle även kunna innehålla goda exempel. Det är de personuppgiftsansvariga, dvs. skolhuvudmännen, som tillsammans ska utarbeta koden (artikel 40.2). De kan därigenom påverka innehållet i uppförandekoden och på det sättet göra den ännu mer relevant för verksamheterna.

En uppförandekod skulle lämpligen innehålla bl.a. – en rekommendation om hur huvudmännen ska förfara vid be-

dömning och bestämmande av vilka digitala tjänster som ska användas i undervisningen eller i annan kommunikation med elever och vårdnadshavare med angivande av goda exempel, – en rekommendation för inbyggt dataskydd och dataskydd som

standard (se artikel 25 i dataskyddsförordningen) med angivande av goda exempel, – en rekommendation om i vilka situationer som behandlingen

kan bygga på samtycke från elev eller vårdnadshavare, och – en rekommendation om hur och när uppgifter bör gallras.

Utredningen är av uppfattningen att regeringen bör verka för att en uppförandekod för skolväsendet kommer till stånd. Utredningens förslag är att regeringen ger lämplig myndighet i uppdrag att initiera och stödja utarbetandet av en uppförandekod för skolväsendet.

5. Universitets- och högskolesektorn

5.1. Allmänt

Enligt 1 kap. 2 § andra stycket regeringsformen ska det allmänna trygga rätten till bl.a. utbildning och enligt 2 kap. 18 § första stycket ska det allmänna svara för att högre utbildning finns. Av 1 kap. 2 § högskolelagen (1992:1434) följer att staten som huvudman ska anordna universitet och högskolor för utbildning som vilar på vetenskaplig eller konstnärlig grund samt på beprövad erfarenhet. Statliga universitet och högskolor ska också bedriva forskning och konstnärlig forskning. Skillnaden mellan universitet och högskolor är att det endast är universitet som har generellt tillstånd att utfärda examina på forskarnivå medan högskolor måste ansöka om tillstånd för specifika områden. Med högskolor avses i fortsättningen dock både universitet och högskolor.

Av 1 kap. 2 § högskolelagen framgår vidare att det i de statliga högskolornas uppgifter också ingår att samverka med det omgivande samhället och informera om sin verksamhet samt verka för att forskningsresultat tillkomna vid högskolan kommer till nytta.

I högskolelagen finns även bestämmelser om bl.a. de statliga högskolornas organisation, professorer och andra lärare samt studenterna. Högskolelagen kompletteras av bl.a. högskoleförordningen (1993:100) som innehåller bestämmelser om bl.a. anställning av lärare och doktorander, tillträde till utbildningarna, betyg och disciplinära åtgärder. Högskoleförordningen gäller i vissa delar även för Sveriges lantbruksuniversitet och Försvarshögskolan som annars har att tillämpa förordningen (1993:221) för Sveriges lantbruksuniversitet och förordningen (2007:1164) för Försvarshögskolan. En annan viktig författning inom området är förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor. Då stat-

liga högskolor är myndigheter styrs verksamheterna även av regeringens årliga regleringsbrev.

Utöver de statliga universiteten och högskolorna, som enligt bilaga 1 till högskoleförordningen är 14 respektive 17 till antalet, finns det enligt Universitetskanslersämbetet (UKÄ) 17 enskilda utbildningsanordnare med examenstillstånd.1 Dessa drivs av t.ex. stiftelser eller föreningar som av regeringen getts tillstånd att utfärda högskoleexamina enligt den svenska examensordningen. Chalmers tekniska högskola och Handelshögskolan i Stockholm är exempel på sådana enskilda utbildningsanordnare.

Enskilda utbildningsanordnares verksamhet regleras i lagen (1993:792) om tillstånd att utfärda vissa examina. I nämnda lag anges bl.a. att utbildningen ska vila på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet samt bedrivas så att den i övrigt uppfyller de krav som uppställs på utbildning i 1 kap. högskolelagen. För enskilda utbildningsanordnare kan det dessutom finnas avtal med regeringen där ytterligare krav anges.

UKÄ, som inrättades den 1 januari 2013 och då tog över verksamhet som Högskoleverket tidigare ansvarade för, ska enligt förordningen (2012:810) med instruktion för Universitetskanslersämbetet utöva tillsyn över verksamheterna vid de statliga högskolorna samt de som bedrivs av enskilda utbildningsanordnare.

Genom utvärdering av utbildningar och prövning av frågor om examenstillstånd enligt högskolelagen och lagen om tillstånd att utfärda vissa examina ansvarar UKÄ även för kvalitetssäkring av högskoleutbildningar. UKÄ ska också ansvara för granskning av hur effektivt verksamheterna bedrivs och uppföljning, omvärldsbevakning och analys av frågor inom myndighetens ansvarsområde samt officiell statistik enligt förordningen (2001:100) om den officiella statistiken.

En annan viktig myndighet inom universitets- och högskolesektorn är Universitets- och högskolerådet (UHR), som inrättades den 1 januari 2013 med ansvar för den verksamhet som Högskoleverket, Verket för högskoleservice och Internationella programkontoret tidigare ansvarade för.

1 www.uka.se/fakta-om-hogskolan/universitet-och-hogskolor/var-finns-universiteten-ochhogskolorna-.html

UHR:s verksamhet styrs av förordningen (2012:811) med instruktion för Universitets- och högskolerådet. Av denna framgår att UHR har till uppgift att, på uppdrag av högskolor som omfattas av högskolelagen eller av enskilda utbildningsanordnare som har tillstånd att utfärda examina enligt lagen om tillstånd att utfärda vissa examina, biträda vid antagning av studenter och ansvara för ett samordnat antagningsförfarande samt ge service och råd i fråga om studieadministrativ verksamhet. UHR ansvarar även för bedömning av utländska utbildningar på gymnasial och eftergymnasial nivå. UHR är vidare bl.a. det svenska programkontoret för de EU-program och andra internationella program inom utbildningsområdet som regeringen beslutar i ett enskilt fall. Enligt 7 kap. 20 § högskoleförordningen ansvarar UHR även för högskoleprovet.

5.2. Högskolornas personuppgiftsbehandling

Inom universitets- och högskolesektorn sker en mycket stor mängd personuppgiftsbehandlingar av olika slag. Att här ange samtliga behandlingar som lärosätena ägnar sig åt låter sig inte göras. Utifrån utredningens uppdrag, att det när dataskyddsförordningen ska börja tillämpas ska finnas en reglering som möjliggör en ändamålsenlig behandling inom utbildningsområdet, ges nedan därför en översiktlig beskrivning endast av lärosätenas huvudsakliga behandlingar. Högskolornas behandlingar av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål redogörs för i avsnitt 5.4.2.

Anmälan om studier

Utbildning på högskolor ska ges på grundnivå, avancerad nivå och forskarnivå (1 kap. 7 § högskolelagen). Förutom för de få lärosäten som själva sköter antagningsförfarandet gäller att anmälan till studier ska göras på webbplatsen antagning.se som UHR ansvarar för.

För att kunna anmäla sig krävs att sökanden skapar ett konto där personuppgifter i form av namn, personnummer och kontaktuppgifter behandlas. Personer som inte är medborgare i en stat som omfattas av avtalet om Europeiska ekonomiska samarbetsområdet (EES) eller i Schweiz är dessutom, med vissa undantag, skyldiga att betala en anmälningsavgift om 900 kronor (se 2 § förordningen

[2010:543] om anmälningsavgift och studieavgift vid universitet och högskolor).

För handläggningen vid antagningsförfarandet använder sig UHR av ett system som heter NyA. Även om det är UHR som är ansvarig för NyA används systemet lika mycket av de olika lärosätena, som har direktåtkomst till uppgifterna. Bestämmelser om personuppgiftsbehandlingen i Nya finns i 4 kap. förordningen om redovisning av studier m.m. vid universitet och högskolor.

Från den nationella betygsdatabasen BEDA (se avsnitt 9) hämtar NyA uppgifter om slutbetyg och examensbevis från gymnasieskolan och den kommunala vuxenutbildningen på gymnasial nivå. Vidare hämtar NyA uppgifter om bl.a. akademiska meriter från de olika högskolornas databaser, Ladok (se nedan). Från HP-registret, där resultaten från högskoleprovet finns samlade, förs nämnda resultat över till NyA.

Antagningshandläggare på UHR och lärosätena granskar, registrerar och bedömer de sökandes meriter. I NyA görs också maskinella bedömningar av behörighet. Det är även möjligt att räkna fram ett meritvärde utifrån behörighetsmodeller och meritvärderingsmodeller i systemet.

När samtliga sökande blivit bedömda, antas eller reservplaceras behöriga sökande och obehöriga sökande blir strukna. Antagning, reservplacering och strykning sker i två maskinella urval. Uppgifter om de som antagits och reservplacerats skickas därefter till Ladoksystemen (se nedan) vid aktuella lärosäten. En högskolas beslut om att en sökande inte uppfyller kraven på behörighet för att bli antagen till utbildning är, enligt 12 kap. 2 § 2 högskoleförordningen, överklagbart.

Högskoleprovet

Ett sätt att öka sina chanser att antas till utbildning på grundnivå och avancerad nivå är att skriva högskoleprovet. För genomförandet av högskoleprovet finns det två webbplatser, dels hogskoleprov.nu där provdeltagare anmäler sig och då anger namn, personnummer, adress och telefonnummer, dels hpadmin.uhr.se, som är ett system där handläggare på lärosätena administrerar lokaler, personal och provdeltagare samt skickar placeringsbesked till personalen och kallelser

till provdeltagare. UHR äger och förvaltar webbplatserna men det är lärosätena som är personuppgiftsansvariga. UHR är dock personuppgiftsansvarig för det register där resultaten från högskoleprovet finns samlade, HP-registret.

Studieadministration

För sin studieadministration använder samtliga statliga lärosäten och några av de enskilda utbildningsanordnarna sig bl.a. av det nationella systemet Ladok. Ladok är det enskilt största systemet inom universitets- och högskolesektorn. Systemet ägs av 38 lärosäten och Centrala studiestödsnämnden (CSN) tillsammans genom ett konsortium.2Systemutvecklingen sker gemensamt för alla lärosäten men varje lärosäte som använder systemet ansvarar för sitt eget Ladokregister.

Behandlingen av personuppgifter i studieadministrativt syfte regleras i 2 kap. förordningen om redovisning av studier m.m. vid universitet och högskolor. Enligt 2 kap. 3 och 5 §§ omfattar behandlingen personuppgifter i form namn, personnummer, behörighet, urvalsgrund, skyldighet att betala och betalning av anmälningsavgift och studieavgift, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet, examen och sådana uppgifter som krävs för att uppgifter ska kunna lämnas till Statistiska centralbyrån (SCB) och UHR. Registret får också innehålla de uppgifter om studenter som behövs för resultatredovisning. Av 2 kap. 5 a § framgår att en högskola även får behandla sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204, PUL) i antagningsärenden, om den enskilde har lämnat samtycke till detta. Av 2 kap. 8 § framgår att uppgift om medborgarskap som lärosätena behöver för beslut om skyldighet att betala anmälningsavgift eller studieavgift också får behandlas men att sådan uppgift ska gallras så snart studieregistret har uppdaterats med uppgift om studenten tillhör den personkrets som ska betala anmälningsavgift eller studieavgift.

Ladok används också för utbyte av information mellan högskolor och andra myndigheter. Till CSN rapporteras uppgifter som behövs för beviljande av studiemedel. Som framgått ovan lämnas de

2 www.ladok.se/ladok/om-ladok_och_konsortiet/medlemmar/

uppgifter till UHR som behövs för behörighets- och meritvärdering i samband med ansökan och antagning till högskoleutbildning. SCB får uppgifter som sammanställs till statistik om högskolan på uppdrag av UKÄ. Eftersom Ladok omfattas av offentlighetsprincipen lämnas också uppgifter på begäran flitigt ut till bl.a. media, rekryteringsföretag, föreningar eller andra som vill rikta erbjudanden till nuvarande eller tidigare studenter.

En stor del av de administrativa tjänsterna i form av bl.a. registrering till kurser, anmälan till tentamen, begäran om studieintyg, kursbevis och examensbevis har samlats i webbaserade s.k. studentportaler. Dessa portaler hämtar uppgifterna från Ladok. Även studenterna använder sig därför av Ladok.

En ny version av Ladok håller på att utvecklas, Ladok3, som ska vara klar 2018. Enligt planeringen ska nuvarande Ladok stängas ner under 2018. I Ladok3 kommer en tjänst som delas med antagningssystemet NyA att drivas. Genom tjänsten hämtas uppgifter från Skatteverket och gemensamma data för alla studenter i Sverige är namn, personnummer, adress, kön och uppgift om personen är avliden. Det betyder inte att alla lärosäten har tillgång till alla uppgifter utan endast det som är centralt för alla parter delas.

För administration vid tentamen kan lärosätena använda sig av ett system som heter TentaAdmin, vilket tillhandahålls av UHR. Systemet hämtar sin information från de system som anslutet lärosäte använder för lokaler och tentander. Det kan också användas helt eller delvis manuellt beroende på lärosätets förutsättningar. Systemet används till att boka, placera och informera vakter samt för att placera och informera tentander.

Utbildningen

All utbildning på grundnivå och avancerad nivå ska bedrivas i form av kurser som får sammanföras till utbildningsprogram (6 kap. 13 § högskoleförordningen). Som hjälpmedel i undervisningen används s.k. lärplattformar. Plattformarna är webbaserade och i dessa har samlats sådana specifika moment som krävs för genomförandet av en kurs, t.ex. hämtning av kursmaterial och inlämnande av uppgifter. Genom plattformarna underlättas dessutom kommunikationen mel-

lan lärare och studenter och information kan spridas på ett snabbt och enkelt sätt.

I plattformarna behandlas personuppgifter och liksom studentportalerna hämtas uppgifterna in från det aktuella lärosätets Ladoksystem.

Tillgodoräknande av tidigare utbildning och verksamhet

En student kan under vissa förutsättningar få tillgodoräkna sig tidigare utbildning eller verksamhet (se 6 kap.68 §§högskoleförordningen). En högskolas beslut om tillgodoräknande av utbildning eller yrkesverksamhet kan överklagas enligt 12 kap. 2 § 3 högskoleförordningen.

De lärosäten som erbjuder kurser inom Lärarlyftet II kan för validering av tidigare meriter använda sig av ett digitalt ansöknings- och administrationssystem som tillhandahålls av UHR. Efter att UHR anslutit en administratör på ett lärosäte till systemet, Valda, kan denne skapa kurser, lägga till antagna inom en antagningsomgång, ta emot ansökningar om validering och öppna ärenden för handläggning.

När en person ansöker om validering för tillgodoräknande av kurser och lärandemål ska denne ange namn, personnummer och aktuella kontaktuppgifter. Sökanden ska även lämna en utförlig beskrivning av hur denne uppfyller lärandemålen och bifoga de filer som styrker ansökan. Valda stöder sedan den fortsatta hanteringen av ärendet genom hela processen av kartläggning, bedömning och beslutsfattande. Alla avslutade ärenden sparas i ett nationellt arkiv där alla anslutna lärosäten kan få en uppfattning om hur tidigare bedömningar sett ut, vilket bl.a. ska förhindra att samma meriter bedöms på olika sätt.

Bibliotek

Enligt 12 § bibliotekslagen (2013:801) ska det finnas tillgång till högskolebibliotek vid alla universitet och högskolor som omfattas av högskolelagen. Dessa bibliotek ska svara för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid högskolan. Ett högskolebibliotek ska avgiftsfritt ställa litteratur ur de egna samlingarna till andra högskolebiblioteks förfogande (2 kap.

16 § högskoleförordningen). För statliga högskolors del finns det således en skyldighet att ha ett bibliotek. I denna verksamhet behandlas också personuppgifter i syfte att hålla reda på utlånade böcker. På högskolorna finns ofta ett särskilt kort som har flera funktioner som är nödvändiga för att bedriva studier på lärosätet. Att fungera som lånekort kan vara en sådan funktion.

Alumner

Hos lärosätena finns databaser där tidigare studenter, s.k. alumner, kan registrera sig. Genom registreringen kan alumner t.ex. komma i kontakt med andra alumner eller högskolan. Genom alumnverksamheten kan även kontakterna med näringslivet öka och förbättras.

Vid registreringen förs personuppgifter i form av namn, personnummer och utbildning över från Ladok. Därutöver kan alumnen lägga till uppgifter om sitt nuvarande arbete m.m. Alumnen kan själv välja i vilken omfattning vissa uppgifter ska synas.

Att registrera sig i en alumndatabas vid ett lärosäte är helt frivilligt och vid registreringen godkänner alumnen att dennes personuppgifter behandlas.

5.3. Rättslig grund för personuppgiftsbehandling

5.3.1. Utredningens uppdrag i denna del

Kommittédirektiven

För att personuppgifter ska få behandlas helt eller delvis automatiskt eller annan behandling ska få ske av personuppgifter som ingår i eller kommer att ingå i ett register krävs att en rättslig grund i artikel 6.1 i dataskyddsförordningen är tillämplig. Enligt artikel 6.3 första stycket ska grunden för den behandling av personuppgifter som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den nationella rätten som den personuppgiftsansvarige omfattas av. Enligt kommittédirektiven behöver det analyseras vad dataskyddsförordningens krav i denna del innebär i fråga om nationell författningsreglering. Dataskyddsutredningen ska analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndighe-

ters och andra organs behandling och lämna behövliga och lämpliga författningsförslag.

När det gäller behandling av personuppgifter som utförs av bl.a. myndigheter och enskilda inom utbildningsområdet, förutom forskningsverksamhet, uppdras det åt utredningen att analysera om en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, för att säkerställa att nödvändig behandling av personuppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.

Utredningen ska därför undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom universitets- och högskolesektorn som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå samt lämna de författningsförslag som behövs.

Utredningens närmare utgångspunkter

Inom universitets- och högskolesektorn finns det en författning som särskilt tar sikte på behandling av personuppgifter, förordningen om redovisning av studier m.m. vid universitet och högskolor (se avsnitt 5.6). Med undantag för den medicinska verksamheten inom studenthälsan, som omfattas av patientdatalagen (2008:355), gäller i övrigt bestämmelserna i personuppgiftslagen. Den 25 maj 2018 kommer personuppgiftslagen att upphävas och dataskyddsförordningen och den av Dataskyddsutredningen föreslagna lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) ska börja tillämpas.

För en personuppgiftsansvarig som bedriver högskoleutbildning innebär detta att denne måste ha stöd för sin behandling i en rättslig grund enligt artikel 6.1 i dataskyddsförordningen, om behandlingen helt eller delvis företas på automatisk väg eller om behandlingen avser personuppgifter som ingår i eller kommer att ingå i ett register. För lärosätena kommer möjliga grunder för behandling av personuppgifter huvudsakligen att vara att den registrerade har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål (6.1 a), att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personupp-

giftsansvarige (6.1 c) eller att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (6.1 e).

För enskilda utbildningsanordnare finns möjligheten att använda sig av ytterligare en grund i dataskyddsförordningen, nämligen för sådan behandling som är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (6.1 f).

Beträffande de rättsliga grunderna i artikel 6.1 c och e i dataskyddsförordningen krävs, enligt artikel 6.3 första stycket, att de är fastställda i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av för att de ska vara tillämpliga. Detta är nytt i jämförelse med personuppgiftslagen. Såsom redogjorts för i avsnitt 3.4.1 är Dataskyddsutredningens uppfattning att det med grunden för behandlingen i artikel 6.3 första stycket avses den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen. Enligt Dataskyddsutredningens bedömning innebär kravet på att grunden för behandlingen ska fastställas inte att det krävs en särskild reglering med anledning av att dataskyddsförordningen ska börja tillämpas. Förekomsten av reglering avgör dock i vilken utsträckning personuppgiftsansvariga kan åberopa de rättsliga grunder som avses i artikel 6.1 c och e (SOU 2017:39, avsnitt 8.3.1).

Av artikel 6.3 andra stycket framgår att syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Vidare anges att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

De första frågor som utredningen har att ta ställning till är om det finns en eller flera rättsliga grunder som är tillämpliga för statliga högskolors och enskilda utbildningsanordnares behandling av personuppgifter. Om utredningen kommer fram till att lärosätena fullgör en rättslig förpliktelse eller utför en uppgift av allmänt intresse eller att det i deras verksamhet finns inslag av myndighetsutövning,

måste det även undersökas vilket rättsligt stöd det finns för verksamheterna att utföra dessa uppgifter, dvs. om grunderna är fastställda i svensk rätt. Eftersom utredningen bedömer att uppgift av allmänt intresse är den rättsliga grund som lärosätena oftast kan tillämpa vid behandling av personuppgifter, är det lärosätenas möjligheter att tillämpa den grunden som först kommer att analyseras.

5.3.2. Uppgift av allmänt intresse

Bedömning: Genom bestämmelser i högskolelagen med anslu-

tande föreskrifter och lagen om tillstånd att utfärda vissa examina samt beslut fattade med stöd av dessa bestämmelser är det i svensk rätt fastställt att anordnande och bedrivande av högskoleutbildning är en uppgift av allmänt intresse.

Artikel 6.1 e i dataskyddsförordningen kan därmed utgöra rättslig grund för nödvändig personuppgiftsbehandling för att utöva verksamhet som har sin grund i nämnda föreskrifter när personuppgiftslagen upphävs. Det finns således inget behov av en särskild reglering för att lärosätena ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse.

Är anordnande och bedrivande av högskoleutbildning en fastställd uppgift av allmänt intresse?

Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Av första ledet i artikel 6.1 e framgår att en behandling är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse. Artikel 6.1 e är inte begränsad till offentliga aktörer, utan även privaträttsliga organ kan utföra en uppgift av allmänt intresse.

För att nämnda grund ska kunna tillämpas vid personuppgiftsbehandling krävs dock att uppgiften av allmänt intresse är fastställd i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3 första stycket). Dataskyddsutredningen föreslår en bestämmelse i 2 kap. 4 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvän-

dig bl.a. för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av bl.a. lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning. Det är således inte tillräckligt att konstatera att det generellt föreligger en uppgift av allmänt intresse för att den aktuella grunden ska kunna tillämpas som stöd för behandling av personuppgifter. Av skäl 41 framgår vidare att den rättsliga grunden bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den.

Vad utredningen har att analysera är följaktligen om det för statliga högskolor och enskilda utbildningsanordnare finns en i svensk rätt fastställd uppgift av allmänt intresse. Utredningen ska i så fall även analysera om den reglering där uppgiften fastställs är tydlig och precis och om dess tillämpning är förutsägbar för de personer som omfattas av den.

Statliga högskolor

Begreppet allmänt intresse är ett unionsrättsligt begrepp som ännu inte har definierats. I artikel 14.1 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02) anges att var och en har rätt till utbildning och till tillträde till yrkesutbildning och fortbildning. Att utbildning och fortbildning är en grundläggande rättighet talar för att i vart fall anordnande och bedrivande av högskoleutbildning, på EU-nivå, bedöms vara en uppgift av allmänt intresse.

Vidare bedömer Dataskyddsutredningen att det med hänsyn till svensk förvaltningstradition är rimligt att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse (SOU 2017:39, avsnitt 8.3.4).

Enligt 1 kap. 2 § andra stycket regeringsformen ska det allmänna trygga rätten till utbildning. Av 2 kap. 18 § första stycket framgår att det allmänna ska svara för att högre utbildning finns. Redan av detta kan det utläsas att anordnande och bedrivande av högskoleutbildning enligt svensk rätt är en uppgift av allmänt intresse.

Därtill finns högskolelagen med anslutande författningar som innehåller närmare bestämmelser om högskoleutbildning. I förarbetena till högskolelagen uttalas bl.a. följande (prop. 1992/93:1 s. 9 f.).

Genom högre utbildning och forskning kan de kulturella och humanistiska värden som är en del av det goda samhället förstärkas. Det är också bara genom en avancerad utbildning och forskning som Sverige kan hävda sig i en hårdnande internationell konkurrens. Att både öka antalet högskoleutbildade och att höja kvaliteten inom utbildningen och forskningen blir i detta perspektiv avgörande för Sveriges framtida utveckling.

[…] I ökande utsträckning kommer vi att leva i en internationell miljö där kunskapsmässig kompetens är avgörande för vårt lands välstånd.

Utredningens bedömning är således att anordnande och bedrivande av högskoleutbildning är en uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. Frågan härefter blir om denna uppgift är fastställd i svensk rätt.

Vad anordnande och bedrivande av högskoleutbildning innebär för statliga högskolor preciseras i högskolelagen och högskoleförordningen. För Sveriges lantbruksuniversitet och Försvarshögskolan finns ytterligare bestämmelser i deras respektive förordning. Enligt 1 kap. 2 § högskolelagen ska staten som huvudman anordna högskolor för utbildning och forskning. Av lagrummet framgår att det i högskolornas uppgift även ingår att samverka med det omgivande samhället och informera om sin verksamhet samt verka för att forskningsresultat tillkomna vid högskolan kommer till nytta.

Att anordnande och bedrivande av högskoleutbildning är en uppgift av allmänt intresse framgår uttryckligen av högskolelagen. I 1 kap. 10 a § anges att examina ska avläggas på grundnivå, avancerad nivå eller forskarnivå. Enligt 1 kap. 13 § får ett tillstånd att utfärda examina lämnas bara om bl.a. det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas. I de fall tillstånd att utfärda examina har lämnats, har det därmed ansetts finnas ett allmänt intresse av sådan utbildning.

I 1 kap. högskolelagen preciseras ytterligare vad uppgiften att anordna och bedriva högskoleutbildning innebär. Av bestämmelserna där framgår bl.a. följande. Utbildningen ska ges på grundnivå, avancerad nivå och forskarnivå. Utbildning på t.ex. grundnivå ska

väsentligen bygga på de kunskaper som eleverna får på nationella program i gymnasieskolan eller motsvarande kunskaper. Utbildningen ska utveckla studenternas förmåga att göra självständiga och kritiska bedömningar samt deras förmåga att självständigt urskilja, formulera och lösa problem. Utbildningen ska även utveckla studenternas beredskap att möta förändringar i arbetslivet. Inom det område som utbildningen avser ska studenterna, utöver kunskaper och färdigheter, utveckla förmåga att söka och värdera kunskap på vetenskaplig nivå, följa kunskapsutvecklingen och utbyta kunskaper även med personer utan specialkunskaper inom området.

Ytterligare precisering av vad uppgiften att anordna och bedriva högskoleutbildning innebär framgår av 6 kap. högskoleförordningen. All utbildning på grundnivå och avancerad nivå ska bedrivas i form av kurser. För en kurs ska det finnas en kursplan. I kursplanen ska anges kursens nivå, antal högskolepoäng, mål, krav på särskild behörighet, formerna för bedömning av studenternas prestationer och de övriga föreskrifter som behövs (6 kap. 13–15 §§). I kursplanerna finns således den mest konkreta preciseringen av vad en specifik utbildning innebär i form av bl.a. former för undervisning och bedömning. Vidare får kurser sammanföras till utbildningsprogram. För utbildningsprogrammen ska det finnas en utbildningsplan. I utbildningsplanen ska anges de kurser som programmet omfattar, kraven på särskild behörighet och de övriga föreskrifter som behövs (6 kap. 13, 16 och 17 §§). De angivna bestämmelserna i högskoleförordningen gäller även för Sveriges lantbruksuniversitet och Försvarshögskolan (se 5 kap. 2 § förordningen för Sveriges lantbruksuniversitet och 4 kap. 2 § förordningen för Försvarshögskolan).

Enligt 6 kap. 4 § högskoleförordningen får det inom utbildningen vidare bara avläggas de examina som anges i bilaga 2 till högskoleförordningen (examensordningen). I examensordningen anges det på vilken nivå en viss examen ska avläggas och vilka krav som ska uppfyllas för en viss examen (6 kap. 5 §). I 5 kap. 1 § förordningen för Sveriges lantbruksuniversitet och 4 kap. 1 § förordningen för Försvarshögskolan finns motsvarande bestämmelser.

I examensordningen i bilagan till högskoleförordningen finns således en förteckning över vilka examina som får avläggas på grundnivå, avancerad nivå och forskarnivå. För respektive examen finns också en beskrivning av vilka krav som ska uppfyllas i fråga om t.ex. antal högskolepoäng, kunskaper och färdigheter samt självständiga

arbeten. I examensbeskrivningarna anges vidare att också de preciserade krav som varje högskola själv bestämmer inom ramen för kraven i examensbeskrivningen ska gälla. Motsvarande bestämmelser finns i bilagorna till förordningen för Sveriges lantbruksuniversitet och förordningen för Försvarshögskolan.

På en genomgången kurs ska det vidare sättas ett betyg och en student som har fått en kurs godkänd ska på begäran få ett kursbevis av högskolan. En student som uppfyller fordringarna för en examen ska på begäran få ett examensbevis av högskolan (6 kap.9, 18 och 20 §§högskoleförordningen). Även dessa bestämmelser gäller för Sveriges lantbruksuniversitet och Försvarshögskolan enligt 5 kap. 2 § respektive 4 kap. 2 § i de förordningar som särskilt reglerar deras verksamhet.

Genom högskolelagen, högskoleförordningen och förordningarna för Sveriges lantbruksuniversitet och Försvarshögskolan finns således tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva högskoleutbildning innebär för statliga högskolor. Utredningens bedömning är därför att det för statliga högskolor finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva högskoleutbildning. Detta innebär att samtliga åtgärder som högskolorna företar i syfte att bedriva utbildningsverksamhet och som har sin grund i nu nämnda föreskrifter är att anse som utförande av en uppgift av allmänt intresse enligt dataskyddsförordningen. Någon ytterligare reglering behöver följaktligen inte införas för att högskolorna ska kunna tillämpa artikel 6.1 e i dataskyddsförordningen för sådan personuppgiftsbehandling som är nödvändig för att utföra uppgifter eller uppfylla åligganden enligt högskolelagen med anslutande föreskrifter.

Förutom högskolelagen med anslutande föreskrifter kan uppgifter och åligganden för de statliga högskolorna även framgå av andra författningar, t.ex. förordningen om redovisning av studier m.m. vid universitet och högskolor. Enligt Dataskyddsutredningen måste uppgiften av allmänt intresse dock inte vara uttryckt i lag eller förordning, utan kan även framgå av beslut, förutsatt att dessa har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.4). Som angetts ovan föreslår Dataskyddsutredningen en bestämmelse som förtydligar detta förhållande.

Uppgifter och åligganden kan således även framgå av regleringsbrev till de statliga högskolorna. Som nämnts ovan ska det för en

kurs och ett utbildningsprogram vidare finnas en kursplan respektive en utbildningsplan (6 kap.14 och 16 §§högskoleförordningen). Beslut om fastställande av sådana planer ska fattas av personer med vetenskaplig eller konstnärlig kompetens (2 kap. 5 § högskolelagen och prop. 2009/10:149 s. 35 f.).

Stöd för nödvändig behandling för att utföra uppgiften att anordna och bedriva högskoleutbildning är således inte begränsad till högskolelagen med anslutande föreskrifter, utan kan även finnas i andra författningar och beslut som meddelats i konstitutionell ordning.

Av artikel 5.2 i dataskyddsförordningen följer att det är den personuppgiftsansvarige, dvs. högskolan, som ska ansvara för och kunna visa att behandlingen är laglig, dvs. att det finns en rättslig grund som kan tillämpas på behandlingen. Det ankommer således på högskolan att bedöma om behandlingen är nödvändig för att utföra en uppgift som har sin grund i relevanta beslut och författningar, t.ex. för att utfärda kurs- eller examensbevis eller för att genomföra högskoleprovet (6 kap.9 och 20 §§ samt 7 kap. 20 §högskoleförordningen). Om behandlingen saknar koppling till uppgifter, åligganden och verksamhet som har sin grund i för högskolorna relevanta författningar och beslut, kan den inte anses nödvändig för att utföra uppgiften att anordna och bedriva högskoleutbildning. Högskolorna måste då i egenskap av personuppgiftsansvariga avgöra om artikel 6.1 e av annat skäl kan vara tillämplig, eller om någon annan av de rättsliga grunderna i artikel 6.1 kan tillämpas på den avsedda behandlingen.

När det gäller statliga högskolor konstaterar dock utredningen, i likhet med Dataskyddsutredningen, att myndigheters verksamhet i allt väsentligt är av allmänt intresse. Den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen kan därför vanligen tillämpas. Högskolors uppdrag och åligganden framgår av författningar och regeringsbeslut antagna i enlighet med grundlagens bestämmelser om normgivningskompetens. De åtgärder som högskolorna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund som har offentliggjorts genom tydliga, precisa och förutsägbara regler. Detta innebär att när högskolorna fullgör sina författningsreglerade uppgifter är frågan vid bedömning av om artikel 6.1 e i dataskyddsförordningen är tillämplig och som den personuppgiftsansvarige måste ta ställning till normalt endast om personuppgiftsbehandlingen är nödvändig för att utföra det

aktuella uppdraget eller åliggandet. Det bör alltså i en sådan situation endast undantagsvis bli aktuellt att ifrågasätta om högskolan utför en lagligen fastställd uppgift av allmänt intresse.

Enskilda utbildningsanordnare

Ovan gör utredningen bedömningen att det genom bestämmelserna i högskolelagen med anslutande föreskrifter finns en för statliga högskolor fastställd uppgift av allmänt intresse i form av att anordna och bedriva högskoleutbildning. Den nämnda regleringen bedöms vara tydlig och precis och dess tillämpning är förutsägbar för de personer som omfattas av den. Frågan är om det för enskilda utbildningsanordnare finns en motsvarande reglering som gör att även de kan tillämpa den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen, dvs. uppgift av allmänt intresse, för nödvändig personuppgiftsbehandling.

I förarbetena till högskolelagen uttalar regeringen att statligt huvudmannaskap i myndighetsform bara är en av många möjliga verksamhetsformer för universitet och högskolor. Det behövs också alternativ till den statliga verksamheten om mångfald och konstruktiv konkurrens ska befordras (prop. 1992/93:1 s. 24).

Av 1 § lagen om tillstånd att utfärda vissa examina framgår att enskilda utbildningsanordnare kan få tillstånd att utfärda sådana examina som regeringen, enligt vad som anges i högskolelagen, meddelat föreskrifter om. Tillstånd lämnas enligt 6 § av regeringen men endast om utbildningen uppfyller de krav som uppställs i 2 §.

Enligt 2 § första stycket ska utbildningen vila på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet samt bedrivas så att den i övrigt uppfyller de krav som uppställs på utbildning i 1 kap. högskolelagen. För varje examen som tillståndet avser ska utbildningen också svara mot de särskilda krav som enligt förordningsbestämmelser gäller för denna examen vid de universitet och högskolor som omfattas av högskolelagen.

Även för enskilda utbildningsanordnare finns det således bestämmelser i högskolelagen och högskoleförordningen som preciserar vad anordnande och bedrivande av högskoleutbildning innebär.

Enligt 1 kap. 13 § högskolelagen får ett tillstånd att utfärda examina lämnas bara om utbildningen uppfyller de krav som i detta

kapitel ställs på utbildningen och de särskilda krav som finns i förordning. En ytterligare förutsättning är att det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas.

För att en enskild utbildningsanordnare ska beviljas tillstånd att utfärda examina krävs således att kraven på utbildningen som anges i 1 kap. högskolelagen är uppfyllda samt att det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas. I de fall tillstånd att utfärda examina har lämnats till en enskild utbildningsanordnare har det därmed ansetts finnas ett allmänt intresse av sådan utbildning.

I 1 kap. högskolelagen, som i tillämpliga delar gäller för enskilda utbildningsanordnare, preciseras ytterligare vad uppgiften att anordna och bedriva högskoleutbildning innebär. Av bestämmelserna där framgår bl.a. följande. Utbildning på t.ex. grundnivå ska väsentligen bygga på de kunskaper som eleverna får på nationella program i gymnasieskolan eller motsvarande kunskaper. Utbildningen ska utveckla studenternas förmåga att göra självständiga och kritiska bedömningar samt deras förmåga att självständigt urskilja, formulera och lösa problem. Utbildningen ska även utveckla studenternas beredskap att möta förändringar i arbetslivet. Inom det område som utbildningen avser ska studenterna, utöver kunskaper och färdigheter, utveckla förmåga att söka och värdera kunskap på vetenskaplig nivå, följa kunskapsutvecklingen och utbyta kunskaper även med personer utan specialkunskaper inom området.

Som angetts ovan finns det i 2 § andra stycket lagen om tillstånd att utfärda vissa examina ytterligare ett krav på utbildningen för att tillstånd att utfärda examina ska beviljas. Utbildningen ska svara mot de särskilda krav som enligt förordningsbestämmelser gäller för denna examen vid de universitet och högskolor som omfattas av högskolelagen. De krav som utbildningen ska uppfylla finns i bilaga 2 till högskoleförordningen, examensordningen, där alla statligt reglerade examina beskrivs. En enskild utbildningsanordnare måste därmed utforma sina utbildningar på sådant sätt att studenterna, genom att fullgöra utbildningarna, kan uppfylla de krav som examensordningen föreskriver för att uppnå aktuella examina. I examensordningen anges för de olika examina att också de preciserade krav som varje högskola själv bestämmer inom ramen för kraven i denna examensbeskrivning ska gälla. Genom sistnämnda bestämmelse överlämnas därmed rätten till såväl statliga högskolor som enskilda utbildnings-

anordnare att närmare precisera hur kraven i examensordningen ska uppfyllas.3

I den del som gäller utbildning som bedrivs inom ramen för lämnat tillstånd att utfärda examina har enskilda utbildningsanordnare därmed samma reglering att förhålla sig till som statliga högskolor, dvs. att utbildningen ska vila på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet, att den ska bedrivas så att den uppfyller de krav som uppställs på utbildning i 1 kap. högskolelagen samt att den ska svara mot de särskilda krav som gäller enligt examensordningen. Därtill överlämnar examensordningen till såväl statliga högskolor som enskilda utbildningsanordnare att närmare precisera kraven på hur undervisningen ska utformas.

Genom lagen om tillstånd att utfärda vissa examina, med dess hänvisningar till bestämmelser i högskolelagen och högskoleförordningen, är det enligt utredningens bedömning följaktligen fastställt att även enskilda utbildningsanordnare utför en uppgift av allmänt intresse när de anordnar och bedriver utbildning inom ramen för det tillstånd som lämnats. Mot bakgrund av att regleringen i aktuella delar är i stort sett densamma som för statliga högskolor, saknas det skäl till annan bedömning än att regleringen är tydlig och precis samt förutsägbar för de personer som omfattas av den. Enskilda utbildningsanordnare kan därmed, inom ramen för det tillstånd som lämnats, tillämpa första ledet i artikel 6.1 e i dataskyddsförordningen för sådan behandling som är nödvändig för att utföra uppgiften att anordna och bedriva högskoleutbildning.

Som angetts i föregående avsnitt anser Dataskyddsutredningen att uppgiften av allmänt intresse inte behöver vara uttryckt i lag eller förordning, utan att den även kan framgå av beslut förutsatt att dessa har medelats med stöd av lag eller annan författning. Detta innebär att även de preciserade krav de enskilda utbildningsanordnarna beslutar fastställer den rättsliga grunden uppgift av allmänt intresse. Utredningen vill dock understryka att detta blir ytterligare preciseringar av grunden men att sådana normalt inte är nödvändiga för att uppgiften av allmänt intresse ska anses vara fastställd i nationell rätt i enlighet med dataskyddsförordningen.

3 Se även s. 15 i dåvarande Högskoleverkets Rapport 2008:37 R, Rättssäkerheten för studenter hos enskilda utbildningsanordnare med examensrätt.

Uppgifter och åligganden kan för enskilda utbildningsanordnares del vidare även framgå av regeringens beslut att bevilja tillstånd att utfärda examina. Som exempel på sistnämnda förhållande kan nämnas 4 § lagen om tillstånd att utfärda vissa examina. Enligt den bestämmelsen får ett sådant tillstånd förenas med villkor om rätt för enskilda att ta del av handlingar hos utbildningsanordnaren. Av 2 kap. 4 § offentlighets- och sekretesslagen (2009:400, OSL) och lagens bilaga framgår att vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos bl.a. Chalmers tekniska högskola aktiebolag, som är en enskild utbildningsanordnare. Chalmers ska vid tilllämpningen av offentlighets- och sekretesslagen då jämställas med myndigheter.

Stöd för nödvändig behandling för att utföra uppgiften att anordna och bedriva högskoleutbildning är således inte begränsad till lagen om tillstånd att utfärda vissa examina, med dess hänvisningar till högskolelagen och högskoleförordningen, utan kan finnas även i andra författningar och beslut som meddelats i konstitutionell ordning.

Det kan dock konstateras att regleringen av de statliga högskolornas verksamhet är mer omfattande än den som finns för de enskilda utbildningsanordnarnas verksamhet. För enskilda utbildningsanordnare saknas preciserade bestämmelser om t.ex. antagningsförfarandet, studieadministration, tillgodoräknande av tidigare utbildning och verksamhet, disciplinära åtgärder och avskiljande. Detta utesluter enligt utredningens bedömning inte att artikel 6.1 e i dataskyddsförordningen kan tillämpas även på behandling för sådana uppgifter och ändamål. Enligt Dataskyddsutredningen behöver ändamålet inte framgå av den författning eller det beslut där själva uppgiften fastställs. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. För att illustrera detta förhållande har Dataskyddsutredningen ett exempel om bibliotekslagen enligt följande (SOU 2017:39, avsnitt 8.3.4).

Som exempel kan nämnas att det enligt 3 § bibliotekslagen (2013:801) fastställs att kommunerna ansvarar för folkbibliotek. I 9 § bibliotekslagen anges att allmänheten avgiftsfritt ska få låna eller på annat sätt få tillgång till litteratur under en viss tid oavsett publiceringsform. Man skulle förstås kunna tänka sig att biblioteken skulle låna ut böcker, utan att veta vilka låntagarna är. Det förefaller dock föga lämpligt, eftersom det kan antas att böcker då inte skulle lämnas tillbaka. Det bör därför kunna anses nödvändigt, i unionsrättslig mening, för biblioteken att samla in

personuppgifter från dem som lånar böcker, i syfte att föra ett register över låntagare och deras lån. Detta ändamål är därmed nödvändigt för att utföra uppgiften, att bedriva biblioteksverksamhet. Behandlingen av personuppgifter kan således ske enligt artikel 6.1 e, på den rättsliga grund som utgörs av bibliotekslagen.

Bibliotekslagen anger inte att folkbiblioteken ska föra ett register över låntagare och deras lån. Dataskyddsutredningen anser ändå att artikel 6.1 e i dataskyddsförordningen är tillämplig på behandlingar med sådant syfte, eftersom det får anses vara nödvändigt för att utföra uppgiften att bedriva biblioteksverksamhet.

I fråga om enskilda utbildningsanordnare saknas bestämmelser om bl.a. tillträde till utbildning, vilket för statliga högskolors del regleras i 7 kap. högskoleförordningen. För att kunna bedriva högskoleutbildning måste av naturliga skäl dock någon form av antagning av studenter ske. På motsvarande sätt som i Dataskyddsutredningens exempel om bibliotekslagen finns det därmed, enligt utredningens uppfattning, en så stark koppling mellan antagning och uppgiften att anordna och bedriva högskoleutbildning att nödvändig personuppgiftsbehandling i samband med antagning måste kunna ske med stöd av artikel 6.1 e.

Enligt utredningens uppfattning är antagning således att betrakta som ett ändamål som är nödvändigt för att utföra uppgiften att anordna och bedriva högskoleutbildning. På motsvarande sätt bör det förhålla sig med t.ex. studieadministration, tillgodoräknande av tidigare utbildning och verksamhet, disciplinära åtgärder och avskiljande.

När det är tveksamt om den verksamhet som en privaträttslig aktör bedriver är av allmänt intresse i unionsrättslig mening är det, enligt Dataskyddsutredningens bedömning, i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f (se avsnitt 5.3.5) eller att inhämta den registrerades samtycke (SOU 2017:39, avsnitt 8.3.4).

Av artikel 5.2 i dataskyddsförordningen följer att det är den personuppgiftsansvarige, dvs. den enskilde utbildningsanordnaren, som ska ansvara för och kunna visa att behandlingen är laglig, dvs. att det finns en rättslig grund som kan tillämpas på behandlingen. Det ankommer således på lärosätet att bedöma om behandlingen är nödvändig för att utföra en uppgift som har sin grund i relevanta beslut och författningar. Om behandlingen saknar koppling till uppgifter och åligganden som har sin grund i för lärosätena relevanta författ-

ningar och beslut, kan den inte anses nödvändig för att utföra uppgiften att anordna och bedriva högskoleutbildning. Lärosätena måste då i egenskap av personuppgiftsansvariga avgöra om artikel 6.1 e av annat skäl kan vara tillämplig, eller om någon annan av de rättsliga grunderna i artikel 6.1 kan tillämpas på den avsedda behandlingen, t.ex. artikel 6.1 f.

Ändamålet med behandlingen måste vara nödvändigt

Det bör betonas att rättslig grund inte är en tillräcklig förutsättning för att behandling av personuppgifter ska vara tillåten. I artikel 5.1 i dataskyddsförordningen anges bl.a. att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål (led b). Principen om att ändamålen ska vara berättigade utgör i likhet med principen om laglighet en direkt koppling till de rättsliga grunderna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte förenligt med artikel 5.

Kopplingen mellan den rättsliga grunden i artikel 6.1 e och kravet på särskilda, uttryckligt angivna och berättigade ändamål förstärks genom artikel 6.3 andra stycket. Där anges att syftet med behandlingen i fråga om behandling enligt artikel 6.1 e, dvs. bl.a. uppgift av allmänt intresse, ska vara nödvändigt för att utföra uppgiften.

Enligt Dataskyddsutredningen ställer förordningen inte något krav på att ändamålen ska vara fastställda i författning. Dataskyddsutredningen anser följaktligen att ändamålet med behandlingen inte behöver framgå av det sammanhang där uppgiften av allmänt intresse fastställs. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. Bestämmelsen i artikel 6.3 andra stycket uttrycker således det samband som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de särskilda ändamålen för behandlingen, vilket i normalfallet är den personuppgiftsansvarige (SOU 2017:39, avsnitt 8.3.4).

I föregående avsnitt, i fråga om det för enskilda utbildningsanordnare finns en i svensk rätt fastställd uppgift av allmänt intresse, gavs några exempel på behandlingar av personuppgifter som enligt

utredningens uppfattning är nödvändiga för ändamål som i sin tur är nödvändiga för att utföra uppgiften att anordna och bedriva högskoleutbildning. Ytterligare exempel är följande.

Så långt det kan ske med hänsyn till kvalitetskravet i 1 kap. 4 § första stycket högskolelagen ska statliga högskolor som studenter ta emot de sökande som uppfyller behörighetskraven för studierna (4 kap. 1 § högskolelagen). Vid urval till tillträde till utbildning på grundnivå och avancerad nivå ska hänsyn tas till de sökandes meriter. Urvalsgrunder är bl.a. betyg och resultat från högskoleprovet (7 kap. 12 § högskoleförordningen). Mot bakgrund av nämnda bestämmelser måste det kunna anses nödvändigt, i unionsrättslig mening, för lärosätena att samla in och behandla personuppgifter i syfte att rangordna sökandena. Detta ändamål är därmed nödvändigt för att utföra uppgiften att anordna och bedriva högskoleutbildning.

Av 7 kap. 20 § högskoleförordningen framgår att de högskolor som ska använda högskoleprovet som urvalsgrund vid antagning av studenter också ska genomföra provet. Det måste därför kunna anses nödvändigt för lärosätena att samla in personuppgifter från de som vill skriva provet, i syfte att hålla reda på vilka och hur många dessa är. Detta ändamål är därmed nödvändigt för att genomföra högskoleprovet, vilket i sin tur uppenbarligen är en i svensk rätt fastställd uppgift av allmänt intresse.

Som framgått ovan bestäms, för statliga högskolors del, det närmare innehållet i en kurs, undervisningsformerna och examinationsformen av kursplanen. Av kursplanen kan framgå att det finns obligatoriska moment, t.ex. grupparbeten och självständiga arbeten, som studenten behöver delta i och göra för att få godkänt på kursen. Enligt 6 kap. 18 § högskoleförordningen ska betyg sättas på en genomgången kurs. För att nämnda obligatoriska moment ska kunna bedömas och betyg sättas krävs personuppgiftsbehandling i syfte att kontrollera att obligatoriska moment genomförts samt för att mäta eller värdera studentens prestation och kunskapsnivå. För statliga högskolors del krävs sådan behandling också i syfte att fullgöra dokumentationsskyldigheten enligt förordningen om redovisning av studier m.m. vid universitet och högskolor. Av 2 kap. 3 § framgår att det i ett studieregister för varje student ska dokumenteras uppgifter om bl.a. deltagande i utbildning och prov, studieresultat, betyg och examen. Att behandla personuppgifter för ovan nämnda ändamål är

därmed nödvändigt för att utföra uppgiften att anordna och bedriva högskoleutbildning.

Vidare ska en student som fått en kurs godkänd eller som uppfyller fordringarna för en examen få ett kursbevis respektive ett examensbevis (6 kap.9 och 20 §§högskoleförordningen). Det måste då kunna anses nödvändigt att behandla personuppgifter i syfte att undersöka om studenten uppfyller villkoren för respektive bevis. Detta ändamål är därmed nödvändigt för att uppfylla åliggandet att utfärda det aktuella beviset och för att utföra uppgiften att bedriva högskoleutbildning. Även här behöver behandling också ske i syfte att fullgöra dokumentationsskyldigheten enligt 2 kap. 3 § förordningen om redovisning av studier m.m. vid universitet och högskolor.

Utöver ovan nämnda exempel finns det förstås många fler behandlingar som är nödvändiga för ändamål som i sin tur är nödvändiga för att högskolorna ska kunna utföra de uppgifter och uppfylla de åligganden som ryms inom ramen för uppgiften av allmänt intresse, dvs. att anordna och bedriva högskoleutbildning. En uttömmande uppräkning är av naturliga skäl inte möjlig att presentera.

Avslutningsvis är det viktigt att betona att det är den personuppgiftsansvarige som ska ansvara för och kunna visa att uppgifter behandlas för berättigade och nödvändiga ändamål (artikel 5.2 i dataskyddsförordningen).

5.3.3. Myndighetsutövning

Bedömning: Statliga högskolor vidtar vissa åtgärder med stöd av

högskolelagen och anslutande föreskrifter som innefattar myndighetsutövning gentemot en student, t.ex. vid beslut om antagning, tillgodoräknande av utbildning eller yrkesverksamhet, examination och disciplinära åtgärder. Det är i dessa situationer möjligt för högskolorna att tillämpa den rättsliga grunden i andra ledet i artikel 6.1 e i dataskyddsförordningen för sådan behandling som är nödvändig som ett led i myndighetsutövningen. Något behov av ytterligare reglering föreligger inte.

För enskilda utbildningsanordnare saknas det i de allra flesta fall en offentligrättslig reglering för nämnda uppgifter. Deras möjligheter att tillämpa andra ledet i artikel 6.1 e för sin personuppgiftsbehandling är därmed mycket begränsade.

För uppgifter som är att betrakta som myndighetsutövning kan dock såväl statliga högskolor som enskilda utbildningsanordnare för nödvändig personuppgiftsbehandling tillämpa den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse. Något behov av ytterligare reglering föreligger därför inte med anledning av enskilda utbildningsanordnares begränsade möjligheter att tillämpa andra ledet i artikel 6.1 e.

Enligt andra ledet i artikel 6.1 e i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Av artikel 6.3 första stycket framgår att rätten att utöva myndighet ska vara fastställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Dataskyddsutredningen föreslår en bestämmelse i 2 kap. 4 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning. Enligt artikel 6.3 andra stycket ska syftet med behandlingen vara nödvändigt som ett led i den personuppgiftsansvariges myndighetsutövning. Ändamålet behöver således inte framgå av det sammanhang där den myndighetsutövande befogenheten fastställs. Ändamålet med behandlingen måste dock vara nödvändigt som ett led i myndighetsutövningen. För tillämpningen av den rättsliga grunden myndighetsutövning gäller således motsvarande krav som för den rättsliga grunden uppgift av allmänt intresse.

Begreppet myndighetsutövning har en unionsrättslig innebörd. Enligt Dataskyddsutredningen bör man till dess annat framkommer kunna utgå från att det som i Sverige brukar anses som myndighetsutövning faller in under begreppet. Myndighetsutövning karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befogenheten till myndighetsutövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de högsta statsorganen. Utanför begreppet myndighetsutövning faller råd, upplysningar och faktiskt handlande som inte innebär tvång mot den enskilde (SOU 2017:39, avsnitt 8.3.3).

Enligt 6 kap. 18 § högskoleförordningen ska betyg sättas på en genomgången kurs, om inte högskolan föreskriver något annat.

Betyget ska beslutas av en av högskolan särskilt utsedd lärare (examinator). En student som har fått en kurs godkänd ska på begäran få kursbevis av högskolan. En student som uppfyller fordringarna för en examen ska på begäran få examensbevis av högskolan (6 kap.9 och 20 §§högskoleförordningen). En högskolas beslut att avslå en students begäran att få examensbevis eller kursbevis är överklagbart (12 kap. 2 § 6 högskoleförordningen). Betygsättning och examination är således exempel på statliga högskolors myndighetsutövning som fastställts i svensk rätt. Även beslut om antagning, tillgodoräknande av utbildning eller yrkesverksamhet samt disciplinpåföljd är för statliga högskolors del myndighetsutövning som är fastställd i svensk rätt. Sådana beslut får överklagas enligt bestämmelserna i 12 kap. 2 § 2 och 3 samt 3 § högskoleförordningen. Statliga högskolor kan i dessa fall därmed använda sig av andra ledet i artikel 6.1 e i dataskyddsförordningen som rättslig grund för nödvändig personuppgiftsbehandling.

Genom regeringens beslut att lämna tillstånd att utfärda examina ingår av naturliga skäl beslut om t.ex. antagning, examination och disciplinära åtgärder också i enskilda utbildningsanordnares verksamhet. Det finns således inslag som är att likna vid myndighetsutövning även i deras verksamhet.

Av 12 kap. 4 § andra stycket regeringsformen framgår att förvaltningsuppgifter kan överlämnas åt juridiska personer och enskilda individer. Innefattar uppgiften myndighetsutövning får ett överlämnande dock endast göras med stöd av lag. Enligt Dataskyddsutredningens förslag till 2 kap. 4 § 2 dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig som ett led i myndighetsutövning enligt lag eller annan författning.

Enligt 1 kap. 17 § första stycket högskolelagen får en högskola som anges i bilaga till lagen utfärda en gemensam examen tillsammans med bl.a. en enskild utbildningsanordnare. Av andra stycket framgår att med gemensam examen avses examina som får utfärdas av de lärosäten som tillsammans har anordnat en utbildning som kan leda till dessa examina. Utbildningen ska ha anordnats inom ett utbildningssamarbete mellan sådana lärosäten som avses i första stycket. Motsvarande bestämmelse finns i 2 a § lagen om tillstånd att utfärda vissa examina. Av 1 kap. 18 § högskolelagen följer vidare att en högskola som avses i 1 kap. 17 § inom ramen för ett utbildnings-

samarbete får besluta att i viss utsträckning överlåta förvaltningsuppgifter i fråga om antagning till och tillgodoräknande av utbildning till bl.a. en enskild utbildningsanordnare. I övrigt saknas det offentligrättslig reglering avseende enskilda utbildningsanordnares rätt till myndighetsutövning.

Utöver examinationsrätten, som regeringen kan lämna tillstånd till med stöd av 6 § lagen om tillstånd att utfärda vissa examina, är sådana inslag i enskilda utbildningsanordnares verksamhet som är att likna vid myndighetsutövning således i ytterst liten omfattning offentligrättsligt reglerad. Enskilda utbildningsanordnares möjligheter att tillämpa andra ledet i artikel 6.1 e, dvs. myndighetsutövning, är därmed mycket mindre än de är för statliga högskolor.

Att enskilda utbildningsanordnare har begränsade möjligheter att tillämpa andra ledet i artikel 6.1 e är dock inget problem. I fråga om t.ex. antagning, tillgodoräknande och disciplinära åtgärder, som saknar offentligrättslig reglering, kan enskilda utbildningsanordnare för nödvändig personuppgiftsbehandling, enligt utredningens bedömning, i stället tillämpa första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse. Även statliga högskolor kan förstås tillämpa den rättsliga grunden uppgift av allmänt intresse i sådana frågor som för deras del utgör offentligrättsligt reglerad myndighetsutövning.

Avslutningsvis bör det betonas att det enligt artikel 5.2 i dataskyddsförordningen är den personuppgiftsansvarige som ska ansvara för och kunna visa bl.a. att behandlingen är laglig och att ändamålet är berättigat och nödvändigt.

5.3.4. Rättslig förpliktelse

Bedömning: För statliga högskolor finns det i svensk rätt fast-

ställda rättsliga förpliktelser som åvilar högskolorna och som gör det nödvändigt att behandla personuppgifter. Även för vissa enskilda utbildningsanordnare kan det finnas sådana fastställda rättsliga förpliktelser. Den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen kan då tillämpas. Något behov av ytterligare reglering finns inte.

I dessa fall kan även den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, vara tillämplig.

Enligt artikel 6.1 c i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Av artikel 6.3 första stycket framgår att den rättsliga förpliktelsen ska vara fastställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Dataskyddsutredningen gör bedömningen att förpliktelsen inte nödvändigtvis måste framgå av en författning eller liknande. Rättsliga förpliktelser kan också framgå av exempelvis förelägganden, myndighetsbeslut och domar som har meddelats med stöd av gällande rätt. Dataskyddsutredningen har därför föreslagit en bestämmelse i 2 kap. 3 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som bl.a. gäller enligt lag eller annan författning eller som följer av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.2). Inom aktuellt område skulle rättsliga förpliktelser därmed kunna föras in i regeringens beslut genom vilket tillstånd att utfärda examina lämnas.

Enligt artikel 6.3 andra stycket första meningen i dataskyddsförordningen ska syftet med behandlingen fastställas i den rättsliga grunden. Syftet med behandlingen ska alltså vara bestämd av den författning, beslut m.m. som anger eller ger stöd för förpliktelsen.

Dataskyddsutredningen anser att en förpliktelse som är alltför svepande och ger den personuppgiftsansvarige en alltför stor handlingsfrihet i fråga om hur den ska uppfyllas, inte utgör en rättslig grund för behandling av personuppgifter (SOU 2017:39, avsnitt 8.3.2). Den rättsliga förpliktelsen måste således i sig vara tillräckligt tydlig när det gäller den behandling av personuppgifter som krävs.

Ett exempel på en svepande rättslig förpliktelse finns enligt utredningens mening i 4 kap. 1 § högskolelagen. I lagrummet anges att så långt det kan ske med hänsyn till kvalitetskravet i 1 kap. 4 § första stycket ska högskolorna som studenter ta emot de sökande som uppfyller behörighetskraven för studierna. Stadgandet måste anses utgöra en rättslig förpliktelse men det är oklart vilken personuppgiftsbehandling som är nödvändig för att fullgöra den. Det är därmed inte

fråga om en sådan rättslig förpliktelse som enligt dataskyddsförordningen kan läggas till grund för personuppgiftsbehandling.

Ett exempel på en rättslig förpliktelse som enligt utredningens bedömning är tillräckligt tydlig för att ligga till grund för nödvändig personuppgiftsbehandling finns i 6 kap. 20 § första stycket högskoleförordningen. I nämnda bestämmelse anges att en student som har fått en kurs godkänd ska på begäran få kursbevis av högskolan. Ett annat, liknande exempel finns i 6 kap. 9 § högskoleförordningen. I bestämmelsen anges att en student som uppfyller fordringarna för en examen ska på begäran få examensbevis av högskolan. Båda dessa exempel förutsätter att i vart fall namn och personnummer behandlas för att kurs- och examensbeviset ska kunna utfärdas.

Det tydligaste exemplet på en rättslig förpliktelse finns annars i förordningen om redovisning av studier m.m. vid universitet och högskolor. Enligt 2 kap. 1 § ska varje högskola dokumentera uppgifter om studenter och föra ett studieregister där vissa uppgifter enligt 3 och 5 §§ ska dokumenteras.

Vidare anser Datainspektionen att skyldigheterna för myndigheter enligt offentlighetsprincipen är en sådan rättslig skyldighet som avses i den bestämmelse i personuppgiftslagen som motsvarar artikel 6.1 c i dataskyddsförordningen, dvs. 10 § b PUL.4 För att fullgöra de rättsliga skyldigheter som följer av offentlighetsprincipen skulle därmed såväl statliga högskolor som enskilda utbildningsanordnare kunna tillämpa artikel 6.1 c för nödvändig personuppgiftsbehandling. Genom bestämmelserna i 2 kap. 4 § OSL och lagens bilaga omfattas, som nämnts ovan i avsnitt 5.3.2, nämligen även vissa enskilda utbildningsanordnare av offentlighetsprincipen, bl.a. Chalmers tekniska högskola aktiebolag.

Personuppgiftsbehandlingen inom universitets- och högskolesektorns utbildningsverksamhet bör till största delen dock kunna ske med stöd av första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, eftersom den i stor utsträckning grundas på offentligrättsliga regler. Det torde därför vara i undantagsfall som artikel 6.1 c behöver tillämpas av lärosätena. Även i ovan nämnda situationer kan enligt utredningens mening artikel 6.1 e tillämpas för nödvändig personuppgiftsbehandling.

4 Datainspektionens rapport Övervakning i arbetslivet, Kontroll av de anställdas Internet- och e-postanvändning m.m. s. 15.

5.3.5. Intresseavvägning

Bedömning: Enskilda utbildningsanordnare kan för sin person-

uppgiftsbehandling använda sig av den rättsliga grunden i artikel 6.1 f i dataskyddsförordningen, dvs. för sådan behandling som är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.

Nämnda rättsliga grund skulle kunna vara tillämplig när det är tveksamt om den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, är tillämplig. Eftersom det för enskilda utbildningsanordnare finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva högskoleutbildning är det endast i undantagsfall som den rättsliga grunden i artikel 6.1 f behöver tillämpas.

Enligt artikel 6.1 f i dataskyddsförordningen är behandling laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (intresseavvägning).

Av artikel 6.1 andra stycket framgår att denna grund inte gäller för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom statliga högskolor är myndigheter som fullgör sina uppgifter när de anordnar och bedriver utbildning enligt högskolelagen med anslutande föreskrifter, är det endast enskilda utbildningsanordnare som kan tillämpa denna grund till stöd för sin personuppgiftsbehandling.

Enligt Dataskyddsutredningen är det, vid tveksamhet om den privaträttsliga aktören kan tillämpa den rättsliga grunden uppgift av allmänt intresse, i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen (SOU 2017:39, avsnitt 8.3.4).

Enligt ovan är det utredningens bedömning att anordnande och bedrivande av högskoleutbildning är en i svensk rätt fastställd uppgift av allmänt intresse, både med staten och med en enskild fysisk eller juridisk person som huvudman. Dataskyddsutredningen bedömer att det inte spelar någon roll om verksamheten utförs på direkt

uppdrag av en myndighet eller på eget initiativ, om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten. Enligt Dataskyddsutredningen finns då en rättslig grund för nödvändig behandling enligt artikel 6.1 e (SOU 2017:39, avsnitt 8.3.4). Enligt utredningens uppfattning bör den rättsliga grunden i artikel 6.1 f därmed sällan bli aktuell att tillämpa av enskilda utbildningsanordnare i sådan verksamhet som omfattas av tillståndet att utfärda examina.

5.3.6. Samtycke

Bedömning: Enskilda utbildningsanordnare och statliga högsko-

lor kan i viss utsträckning använda sig av samtycke som rättslig grund för sin personuppgiftsbehandling.

Enligt artikel 6.1 a i dataskyddsförordningen är behandling laglig om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

Med samtycke avses enligt artikel 4.11 varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Det kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (se skäl 32 till förordningen).

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör enligt skäl 42 tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den

registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

Enligt skäl 43 till dataskyddsförordningen bör samtycke inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.

Någon sådan skrivning finns inte i skälen till dataskyddsdirektivet, men mot bakgrund av att definitionen av samtycke i princip är densamma och de uttalanden som gjorts av bl.a. Artikel 29-gruppen får detta anses gälla enligt befintligt regelverk. Artikel 29-gruppen har yttrat att samtycke i undantagsfall kan vara en giltig grund för stater när de behandlar personuppgifter. Det bör göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig förpliktelse eller utförandet av en arbetsuppgift av allmänt intresse snarare än samtycke.5

Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. Om behandlingen grundar sig på samtycke ska den personuppgiftsansvarige, enligt artikel 7.1, kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter. Ett exempel på när såväl en statlig högskola som en enskild utbildningsanordnare kan använda samtycke som rättslig grund är, enligt utredningens bedömning, vid registrering av tidigare studenter i alumndatabaser (se avsnitt 5.2), eftersom det är fråga om en tjänst som är helt frivillig, utan direkt koppling till den lagstadgade rätten att studera för den som uppfyller behörighetskraven.

5 Yttrande 15/2011 om definitionen av begreppet samtycke artikel 29-gruppen s. 16–17.

5.3.7. Sammanfattning

Artikel 5 i dataskyddsförordningen innehåller bestämmelser om principerna för behandling av personuppgifter. Enligt 5.1 a ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I artikel 6.1 anges att behandling av personuppgifter är laglig endast om och i den mån som åtminstone ett av de i bestämmelsen angivna villkoren är uppfyllt.

Utredningen har i de föregående avsnitten kommit fram till att statliga högskolor och enskilda utbildningsanordnare kan tillämpa flera olika rättsliga grunder i artikel 6.1 i dataskyddsförordningen till stöd för sin personuppgiftsbehandling. I vissa situationer kan dessutom flera rättsliga grunder vara tillämpliga samtidigt var för sig.

De rättsliga grunder som kan vara tillämpliga är samtycke (a), rättslig förpliktelse (c) eller uppgift av allmänt intresse eller myndighetsutövning (e). Statliga högskolors möjligheter att tillämpa de rättsliga grunderna rättslig förpliktelse och myndighetsutövning är större än för de enskilda utbildningsanordnarna. Enskilda utbildningsanordnare kan dock tillämpa den rättsliga grunden intresseavvägning (f), vilket inte är möjligt för statliga högskolor när de fullgör sina uppgifter enligt högskolelagen och anslutande föreskrifter. Den rättsliga grund som främst blir aktuell för såväl statliga högskolor som enskilda utbildningsanordnare att tillämpa är dock första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, eftersom uppgiften att anordna och bedriva högskoleutbildning är en i svensk rätt fastställd uppgift av allmänt intresse, både med staten eller med en enskild fysisk eller juridisk person som huvudman.

När dataskyddsförordningen ska börja tillämpas kan en ändamålsenlig och nödvändig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för lärosätenas del därmed ske med stöd av bestämmelserna i artikel 6 i dataskyddsförordningen. Något ytterligare regleringsbehov aktualiseras följaktligen inte för att lärosätena ska kunna tillämpa ovan nämnda rättsliga grunder.

5.4. Känsliga personuppgifter och uppgifter som rör lagöverträdelser

5.4.1. Utredningens uppdrag i denna del

I kommittédirektiven konstateras att det inom utbildningsområdet i vissa fall är nödvändigt att behandla känsliga personuppgifter. Uppdraget i denna del är därför att analysera om det, utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen föreslår, finns ett behov av kompletterande regleringar för behandling av känsliga personuppgifter inom universitets- och högskolesektorn samt att lämna de författningsförslag som behövs.

Utredningen har inte fått något specifikt uppdrag om behandling av personuppgifter som rör lagöverträdelser. Eftersom utredningen ska föreslå kompletterande regleringar som ska möjliggöra en ändamålsenlig behandling som samtidigt skyddar den enskildes fri- och rättigheter, ingår det dock i uppdraget att också analysera behovet av reglering i denna del.

Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör bl.a. fällande domar i brottmål endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Det finns således ett förbud för enskilda att behandla uppgifter som rör fällande domar i brottmål, om inte behandlingen kan anses stå under en myndighets kontroll eller den nationella rätten medger sådan behandling.

Även om uppgifter som rör fällande domar i brottmål inte är en känslig uppgift, torde behandling av sådana uppgifter allmänt kunna anses som integritetskänslig. Utredningen anser därför att denna fråga lämpligen behandlas i samma avsnitt som behandling av känsliga personuppgifter.

5.4.2. Behov av att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål

Statliga högskolor och enskilda utbildningsanordnare kan behöva behandla känsliga personuppgifter i ett flertal olika sammanhang. Det är inte möjligt att ge en uttömmande beskrivning av samtliga

sådana behandlingar. Nedan lämnas därför en redogörelse för de behandlingar av känsliga personuppgifter som i huvudsak förekommer hos lärosätena. Även behovet av behandling av personuppgifter som rör fällande domar i brottmål redogörs för nedan.

Högskoleprovet

För alla högskolor i Sverige ska det finnas ett gemensamt högskoleprov (7 kap. 20 § högskoleförordningen). Provdeltagare som styrker lässvårigheter och provdeltagare med diagnosen specifik lässvårighet eller blandad inlärningsstörning har rätt till förlängd skrivtid. Provdeltagare med dokumenterad svag synskada har rätt till förlängd skrivtid och uppförstorat prov i formatet A3. Provdeltagare med dokumenterad grav synskada har rätt att skriva ett speciellt framtaget prov i punktskrift och Daisy-format och att ta med sig anteckningshjälp. Provdeltagare som behöver ta del av anpassning ska styrka behovet med utlåtande eller intyg i samband med anmälan. Utlåtandet eller intyget ska ges in till lärosätet som ska genomföra provet eller till UHR, i de fall det är UHR som ska genomföra provet. Högskolan eller UHR meddelar beslut om anpassning (4– 8 §§ Universitets- och högskolerådets föreskrifter [UHRFS 2015:3] om högskoleprovet).

För nämnda provdeltagare behandlas därmed uppgifter om hälsa, dvs. känsliga personuppgifter. Högskoleförordningen, där det anges att det ska finnas ett gemensamt högskoleprov, gäller för statliga högskolor. Även enskilda utbildningsanordnare kan dock genomföra högskoleprov, vilket Stiftelsen högskolan i Jönköping gör.

Studenter med funktionsnedsättning

Enligt 1 § förordningen (2001:526) om de statliga myndigheternas ansvar för genomförande av funktionshinderspolitiken ska myndigheter under regeringen utforma och bedriva sin verksamhet med beaktande av de funktionshinderspolitiska målen. Myndigheterna ska verka för att personer med funktionsnedsättning ges full delaktighet i samhällslivet och jämlikhet i levnadsvillkor. Myndigheterna ska särskilt verka för att deras lokaler, verksamhet och information är tillgängliga för personer med funktionsnedsättning.

Enligt 2 kap. 5 § diskrimineringslagen (2008:567) får den som bedriver verksamhet som avses i skollagen eller annan utbildningsverksamhet inte diskriminera något barn eller någon elev, student eller studerande som deltar i eller söker till verksamheten.

Annan utbildningsverksamhet syftar på flera olika former av utbildning, bl.a. högskoleutbildning enligt högskolelagen och utbildning som kan leda fram till en examen som en enskild utbildningsanordnare får utfärda enligt lagen om tillstånd att utfärda vissa examina (prop. 2013/14:198 s. 76 f.).

Med diskriminering avses enligt 1 kap. 4 § bl.a. bristande tillgänglighet. Med bristande tillgänglighet avses att en person med en funktionsnedsättning missgynnas genom att sådana åtgärder för tillgänglighet inte har vidtagits för att den personen ska komma i en jämförbar situation med personer utan denna funktionsnedsättning som är skäliga utifrån krav på tillgänglighet i lag och annan författning och med hänsyn till de ekonomiska och praktiska förutsättningarna, varaktigheten och omfattningen av förhållandet eller kontakten mellan verksamhetsutövaren och den enskilde, samt andra omständigheter av betydelse.

Förbudet mot diskriminering innebär att även åtgärder i fråga om annat än den fysiska miljön kan krävas. Sådana åtgärder bör kunna handla om stöd eller personlig service samt om information och kommunikation (prop. 2013/14:198 s. 78 f.).

I högskolelagen och högskoleförordningen finns bestämmelser som för statliga högskolors del kompletterar diskrimineringslagen i ovan nämnda delar.

Statliga högskolor ska, så långt det är möjligt, som studenter ta emot de sökande som uppfyller behörighetskraven för studierna. Kan inte alla behöriga sökande till en utbildning tas emot ska ett urval göras bland de sökande (4 kap.1 och 3 §§högskolelagen). Statliga högskolor kan i enstaka fall göra avsteg från de urvalsgrunder som enligt bestämmelserna i 7 kap. högskoleförordningen ska tillämpas. Detta framgår av 7 kap.16, 27 och 32 §§högskoleförordningen. Göteborgs universitet har en antagningsordning som anger att medicinska skäl och permanent eller mycket långvarig funktionsnedsättning kan vara skäl för avsteg under vissa förutsättningar. Stiftelsen högskolan i Jönköping, som är en enskild utbildningsanordnare, har en antagningsordning av vilken det framgår att lärosätet tillämpar en urvalsgrund där en dokumenterad funktionsnedsättning under vissa

förutsättningar kan beaktas. Såväl statliga högskolor som enskilda utbildningsanordnare kan därmed behöva behandla känsliga personuppgifter i antagningsförfarandet.

Mot bakgrund av ovan angivna bestämmelser i diskrimineringslagen, som gäller för såväl statliga högskolor som enskilda utbildningsanordnare, har studenter med en varaktig funktionsnedsättning vidare möjligheten att ansöka om särskilt pedagogiskt stöd. Exempel på sådant stöd kan vara anteckningsstöd, extra handledning, teckenspråkstolkning och anpassade examinationer. I samband med ansökningar om särskilt pedagogiskt stöd och när beslutade stödåtgärder ska verkställas behandlas således också känsliga personuppgifter.

För handläggningen av ansökningar använder vissa lärosäten, både statliga högskolor och enskilda utbildningsanordnare, ett nationellt administrations- och informationssystem för samordnare, Nais. Systemet tillhandahålls av UHR men det är respektive lärosäte som är personuppgiftsansvarig. Studenten ska ange namn och kontaktuppgifter i form av telefonnummer och e-postadress. Därutöver ska studenten ladda upp läkarintyg eller annat professionellt utlåtande som intygar den varaktiga funktionsnedsättningen. Studenten ska även beskriva hur funktionsnedsättningen påverkar studierna. Innan några uppgifter lämnas ska studenten läsa igenom en text om personuppgiftsbehandling och lämna sitt samtycke.

Enligt 2 § andra stycket förordningen (2011:1163) om statsbidrag för särskilt utbildningsstöd får statsbidrag lämnas till universitet och högskolor för kostnader för särskilt utbildningsstöd som erbjuds studerande med svåra rörelsehinder eller psykiska och neuropsykiatriska funktionsnedsättningar. Av 5 § första stycket framgår att det är Specialpedagogiska skolmyndigheten som prövar frågor om bidraget. Enligt 6 § är den som har tagit emot statsbidrag skyldig att lämna sådan ekonomisk och annan redovisning till Specialpedagogiska skolmyndigheten som myndigheten begär. Av Specialpedagogiska skolmyndighetens förteckning över vilka lärosäten som fått statsbidrag under 2016 framgår att ett antal statliga högskolor och Chalmers tekniska högskola, som är en enskild utbildningsanordnare, fått sådant bidrag. Såväl statliga högskolor som enskilda utbildningsanordnare kan därmed behöva behandla känsliga personuppgifter i samband med en ansökan om statsbidrag för särskilt utbildningsstöd.

Disciplinära åtgärder och avskiljande

Statliga högskolor

I 2 kap. 7 § diskrimineringslagen anges att om en utbildningsanordnare får kännedom om att bl.a. en student som deltar i eller söker till utbildningsanordnarens verksamhet anser sig i samband med verksamheten ha blivit utsatt för trakasserier eller sexuella trakasserier, är utbildningsanordnaren skyldig att utreda omständigheterna kring de uppgivna trakasserierna och i förekommande fall vidta de åtgärder som skäligen kan krävas för att förhindra trakasserier i framtiden. Med utbildningsanordnare avses bl.a. statliga högskolor (prop. 2007/08:95 s. 506 och 509 samt prop. 2013/14:198 s. 76 f.).

Av 1 kap. 4 § diskrimineringslagen framgår att med trakasserier avses ett uppträdande som kränker någons värdighet och som har samband med någon av diskrimineringsgrunderna kön, könsöverskridande identitet eller uttryck, etnisk tillhörighet, religion eller annan trosuppfattning, funktionsnedsättning, sexuell läggning eller ålder. Av samma lagrum framgår att med sexuella trakasserier avses ett uppträdande av sexuell natur som kränker någons värdighet.

Vidare får, enligt 10 kap. 1 § första stycket och 2 §högskoleförordningen, disciplinära åtgärder i form av varning och avstängning vidtas mot studenter som

1. med otillåtna hjälpmedel eller på annat sätt försöker vilseleda vid

prov eller när en studieprestation annars ska bedömas,

2. stör eller hindrar undervisning, prov eller annan verksamhet

inom ramen för utbildningen vid högskolan,

3. stör verksamheten vid högskolans bibliotek eller annan särskild

inrättning inom högskolan, eller

4. utsätter en annan student eller en arbetstagare vid högskolan för

sådana trakasserier eller sexuella trakasserier som avses i 1 kap. 4 § diskrimineringslagen.

Enligt 10 kap. 9 § ska grundad misstanke om sådan förseelse som anges ovan skyndsamt anmälas till rektor. Rektor ska låta utreda ärendet och ge studenten tillfälle att yttra sig över anmälningen. Rektor ska därefter, i förekommande fall efter samråd med en lagfaren ledamot, avgöra om omständigheterna är sådana att ärendet ska läm-

nas utan vidare åtgärd, föranleda varning av rektor, eller hänskjutas till en disciplinnämnd för prövning.

Nu angivna bestämmelser i 10 kap. högskoleförordningen om disciplinära åtgärder gäller även för Sveriges lantbruksuniversitet och Försvarshögskolan (se 5 kap. 4 § förordningen för Sveriges lantbruksuniversitet och 4 kap. 7 § förordningen för Försvarshögskolan).

I utredningar och ärenden om disciplinära åtgärder kan statliga högskolor således behöva behandla känsliga personuppgifter, i vart fall i ärenden med anledning av trakasserier eller sexuella trakasserier. I fråga om trakasserier och sexuella trakasserier behöver det dock inte vara fråga om ett ärende om disciplinär åtgärd mot en student. I förarbetena till 2 kap. 7 § diskrimineringslagen uttalas att någon begränsning av utbildningsanordnarens skyldighet med avseende på vem som uppträder trakasserande inte bör ställas upp. Utbildningsanordnarens skyldighet att utreda och vidta åtgärder mot trakasserier kan exempelvis omfatta det fallet att en student trakasserar en annan student eller att en lärare eller annan anställd trakasserar en elev. Skyldigheten bör också ta sikte på konsulter och andra som utbildningsanordnaren anlitar i sin verksamhet (prop. 2007/08:95 s. 299).

Vidare får regeringen enligt 4 kap. 6 § högskolelagen meddela föreskrifter om att en student tills vidare ska avskiljas från utbildningen i fall då studenten lider av psykisk störning, missbrukar alkohol eller narkotika eller har gjort sig skyldig till allvarlig brottslighet. Som ytterligare förutsättning för ett avskiljande gäller att det, till följd av något av sådant förhållande som angetts, bedöms föreligga en påtaglig risk att studenten kan komma att skada annan person eller värdefull egendom under utbildningen.

Regeringen har meddelat sådana föreskrifter i förordningen (2007:989) om avskiljande av studenter från högskoleutbildning. Enligt 1 § gäller förordningens bestämmelser för avskiljande av studenter från högskoleutbildning inom ett universitet eller en högskola som har staten som huvudman och som omfattas av högskolelagen. Av 6 och 7 §§ framgår att frågor om avskiljande prövas av Högskolans avskiljandenämnd och inleds endast efter skriftlig anmälan från rektor för ett universitet eller en högskola eller den som rektor har utsett.

Enligt 3 § ska ett beslut om avskiljande alltid innebära att studenten tills vidare inte får fortsätta den pågående utbildningen. Ett beslut om avskiljande ska också innebära att studenten tills vidare

inte får antas till eller fortsätta annan utbildning av samma slag, om inte avskiljandenämnden beslutar något annat. Om det anges i beslutet innebär ett beslut om avskiljande också att studenten tills vidare inte får antas till eller fortsätta någon annan högskoleutbildning.

Även i utredningar och ärenden i fråga om avskiljande kan således statliga högskolor behöva behandla känsliga personuppgifter. I sådana fall kan personuppgifter som rör fällande domar i brottmål också behöva behandlas, eftersom en av grunderna för avskiljande är att studenten har gjort sig skyldig till allvarlig brottslighet.

Enskilda utbildningsanordnare

Skyldigheten enligt 2 kap. 7 § diskrimineringslagen att utreda uppgivna trakasserier och, i förekommande fall, vidta de åtgärder som skäligen kan krävas för att förhindra trakasserier i framtiden gäller också för enskilda utbildningsanordnare (prop. 2007/08:95 s. 506 och 509 samt prop. 2013/14:198 s. 76 f.). Även enskilda utbildningsanordnare kan således ha behov av att behandla känsliga personuppgifter i utredningar och ärenden om disciplinära åtgärder med anledning av trakasserier eller sexuella trakasserier. Som konstaterats ovan gäller skyldigheten enligt 2 kap. 7 § också fall där t.ex. en lärare trakasserar en student. Ett ärende med anledning av trakasserier eller sexuella trakasserier behöver således inte avse frågan om det ska vidtas någon disciplinär åtgärd mot en student.

Vidare finns det inget som hindrar att enskilda utbildningsanordnare har motsvarande regler om disciplinära åtgärder och avskiljande som den offentligrättsliga reglering som gäller för statliga högskolor. Chalmers tekniska högskola aktiebolag, Handelshögskolan i Stockholm och Stiftelsen högskolan i Jönköping är exempel på enskilda utbildningsanordnare som har en disciplinstadga eller ett regelverk för disciplinära åtgärder.

I dessa disciplinstadgar eller regelverk finns det bestämmelser om varning, avstängning och avskiljande eller relegering. De förseelser och omständigheter som kan ligga till grund för en disciplinär åtgärd eller avskiljande är bl.a. sådana som nämns i 10 kap. 1 § högskoleförordningen, 4 kap. 6 § högskolelagen och förordningen om avskiljande av studenter från högskoleutbildning. Det är således fråga om

fall där studenten t.ex. använt otillåtna hjälpmedel, stört eller hindrat undervisning, utsatt någon för trakasserier, lider av psykisk störning, missbrukar alkohol eller narkotika eller gjort sig skyldig till allvarlig brottslighet.

Även enskilda utbildningsanordnare har således behov av att kunna behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål i utredningar och ärenden om disciplinära åtgärder och avskiljande.

Offentlighetsprincipen

Eftersom statliga högskolor är myndigheter omfattas de av offentlighetsprincipen och bestämmelserna i tryckfrihetsförordningen och offentlighets- och sekretesslagen om rätten att ta del av allmänna handlingar. För att kunna uppfylla detta åliggande kan det förstås bli nödvändigt att behandla känsliga personuppgifter.

För enskilda utbildningsanordnares del får ett tillstånd att utfärda examina förenas med villkor om rätt för enskilda att ta del av handlingar hos utbildningsanordnaren. Av 2 kap. 4 § OSL och lagens bilaga framgår att denna skyldighet gäller för bl.a. Chalmers tekniska högskola aktiebolag och Stiftelsen högskolan i Jönköping. Även enskilda utbildningsanordnare kan därmed ha behov av att behandla känsliga personuppgifter i samband med att de uppfyller sina åligganden enligt offentlighetsprincipen.

Hälsovård

Enligt 1 kap. 11 § högskoleförordningen ska statliga högskolor ansvara för att studenterna har tillgång till hälsovård, särskilt förebyggande hälsovård som har till ändamål att främja studenternas fysiska och psykiska hälsa. De som är verksamma inom studenthälsan registrerar personuppgifter i form av namn, personnummer och kontaktuppgifter. Det skapas också en patientjournal där det förstås behandlas känsliga personuppgifter.

Även om högskoleförordningen gäller för statliga högskolor kan även enskilda utbildningsanordnare erbjuda studenthälsovård, vilket bl.a. Handelshögskolan i Stockholm gör. Den personuppgiftsbehandling som sker inom studenthälsans medicinska verksamhet omfattas

dock och kommer även fortsättningsvis att omfattas av patientdatalagens bestämmelser. Det ingår inte i utredningens uppdrag att se över patientdatalagen utan det ingår i Socialdataskyddsutredningens uppdrag (S 2016:05, dir. 2016:52).

Sammanfattning

Statliga högskolor och enskilda utbildningsanordnare kan behöva behandla känsliga personuppgifter på ett flertal områden. Utöver vad som förekommer inom studenthälsans verksamhet, sker sådana behandlingar huvudsakligen – i samband med högskoleprovet, – i antagningsförfarandet, – vid handläggning av ansökningar om särskilt pedagogiskt stöd

och när beslutade stödåtgärder ska verkställas, – i samband med ansökan om statsbidrag för kostnader för sär-

skilt utbildningsstöd, – i utredningar och ärenden om trakasserier eller sexuella trakas-

serier, – i utredningar och ärenden om disciplinära åtgärder och avskil-

jande, och – vid uppfyllandet av de skyldigheter som följer av att omfattas av

offentlighetsprincipen.

I utredningar och ärenden om avskiljande kan dessutom personuppgifter som rör fällande domar i brottmål behöva behandlas.

5.4.3. Gällande bestämmelser

I fråga om statliga högskolors skyldigheter enligt offentlighetsprincipen kan konstateras att enligt 8 § första stycket PUL tillämpas inte bestämmelserna i personuppgiftslagen i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.

Vidare får såväl statliga högskolor som enskilda utbildningsanordnare i dagsläget behandla känsliga personuppgifter i s.k. ostrukturerat material, förutsatt att behandlingen inte innebär en kränkning av den registrerades personliga integritet (5 a § PUL). Därutöver kan statliga högskolor, med stöd av 8 § personuppgiftsförordningen (1998:1191, PUF) behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Om dessa bestämmelser inte är tillämpliga på behandlingen av känsliga personuppgifter måste samtycke inhämtas från den registrerade enligt 15 § PUL för att känsliga personuppgifter ska få behandlas.

I fråga om personuppgifter som rör fällande domar i brottmål är det, enligt 21 § första stycket PUL, förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar bl.a. brott och domar i brottmål. Förbudet gäller således inte för statliga högskolor utan endast enskilda utbildningsanordnare. Med stöd av 5 a § PUL kan dock även enskilda utbildningsanordnare behandla sådana uppgifter i ostrukturerat material.

Vidare får, enligt 21 § tredje stycket PUL, regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om undantag från förbudet i 21 § första stycket. I 9 § PUF har Datainspektionen bemyndigats att meddela föreskrifter om sådana undantag. Datainspektionen har meddelat sådana föreskrifter genom DIFS 1998:3 (Datainspektionens föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m.), som ändrats genom DIFS 2010:1. Enligt 1 § b i föreskrifterna får, utan hinder av förbudet i 21 § PUL, sådana personuppgifter behandlas om behandlingen avser uppgift i anteckningar som förs i fristående skolors elevvårdande verksamhet eller i motsvarande verksamhet hos enskilda anordnare av högskoleutbildning. Även Datainspektionens föreskrifter ger således en möjlighet för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål.

5.4.4. Dataskyddsförordningen och dataskyddslagen

Känsliga personuppgifter

Med särskilda kategorier av personuppgifter (känsliga personuppgifter) avses enligt artikel 9.1 i dataskyddsförordningen personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Enligt artikel 9.1 är huvudregeln att det är förbjudet att behandla känsliga personuppgifter. Förbudet är dock förenat med en rad viktiga undantag. De som aktualiseras i detta sammanhang är artikel 9.2 a och g. Enligt 9.2 a ska förbudet i 9.1 inte tillämpas om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa uppgifter för ett eller flera specifika ändamål. Enligt 9.2 g ska förbudet i 9.1 inte tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Utifrån denna möjlighet för medlemsstaterna att skapa förutsättningar för att möjliggöra behandling av känsliga personuppgifter har Dataskyddsutredningen i dataskyddslagen föreslagit tre generella undantag från förbudet att behandla känsliga personuppgifter för myndigheter (SOU 2017:39, avsnitt 10.6.2).

Det första gäller behandling av uppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende (3 kap. 3 § 1 dataskyddslagen). Enligt Dataskyddsutredningen bör begränsningen till löpande text inte utesluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande.

Det andra undantaget gäller om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 3 § 2 dataskyddslagen). Bestämmelsen möjliggör behandling av känsliga personuppgifter som är oundviklig i myndigheternas verksamhet som en direkt följd av tryckfrihetsförordningens, offentlighets- och sekretesslagens

och förvaltningslagens (1986:223) bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot e-post. Vid tillämpningen av nu nämnda undantag ska, enligt Dataskyddsutredningens förslag till bestämmelse i 1 kap. 5 § dataskyddslagen, andra organ än myndigheter jämställas med myndigheter i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen gäller i organets verksamhet.

Utöver detta föreslås myndigheter få behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § 3 dataskyddslagen). Syftet med paragrafen är att möjliggöra behandling av känsliga personuppgifter i enstaka fall även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte direkt krävs enligt annan lag. Så kan exempelvis vara fallet inom en myndighet i samband med utvärdering. Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Vid bedömningen av om behandlingen utgör ett otillbörligt intrång ska vikt läggas vid t.ex. uppgifternas känslighet och den inställning de registrerade kan antas ha till att uppgiften behandlas.

Som skyddsåtgärd, för att säkerställa den registrerades grundläggande rättigheter och intressen, föreslår Dataskyddsutredningen avslutningsvis, i 3 kap. 4 § dataskyddslagen, ett förbud för myndigheter att vid behandling som sker enbart med stöd av 3 kap. 3 § använda sökbegrepp som avslöjar känsliga personuppgifter. Vid tillämpningen av bestämmelsen ska, enligt 1 kap. 5 § i den föreslagna dataskyddslagen, dock andra organ än myndigheter jämställas med myndigheter, i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen gäller i organets verksamhet.

Det bör även nämnas att artikel 9.2 i dataskyddsförordningen innehåller flera bestämmelser förutom samtycke som är direkt tilllämpliga. Vidare har Dataskyddsutredningen genom förslag till bestämmelser i 3 kap. dataskyddslagen möjliggjort behandling av känsliga personuppgifter rörande bl.a. hälso- och sjukvård, arkiv och statistik.

Personuppgifter som rör fällande domar i brottmål

Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.

Dataskyddsutredningen har lämnat förslag till bestämmelser om behandling av personuppgifter som rör lagöverträdelser i 3 kap. 9– 12 §§ dataskyddslagen.

I 9 § anges att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får enligt artikel 10 i dataskyddsförordningen behandlas av myndigheter.

Enligt Dataskyddsutredningen är det av stor vikt att regleringen i artikel 10 i dataskyddsförordningen, även vad avser myndigheters behandling, tydliggörs så långt möjligt i nationell rätt. Dataskyddsutredningen anser att ett sådant införlivande behövs när det gäller myndigheters behandling av uppgifter om lagöverträdelser, bl.a. för att tydliggöra att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter om lagöverträdelser (SOU 2017:39, avsnitt 11.4).

Enligt 3 kap. 10 § får den myndighet som regeringen bestämmer i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §. Ytterligare ett bemyndigande finns i 12 §. Enligt nämnda bestämmelse får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana uppgifter som avses i 9 §.

I 3 kap. 11 § anges att behandling av sådana personuppgifter som avses i 9 § får ske om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.

I 4 och 5 §§ förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning föreslår Dataskyddsutredningen kompletterande bestämmelser avseende behandling av personuppgifter som rör lagöverträdelser.

Enligt 4 § får personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel behandlas av andra än myndigheter om

1. behandlingen är nödvändig för att rättsliga anspråk ska kunna

fastställas, göras gällande eller försvaras i ett enskilt fall,

2. behandlingen avser enstaka uppgifter och är nödvändig för att till

polisen anmäla misstanke om brott, eller

3. behandlingen avser enstaka uppgifter och är nödvändig för att en

rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.

Enligt Dataskyddsutredningens förslag till 5 § första stycket förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning får Datainspektionen meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. I andra stycket anges att Datainspektionen även i enskilda fall får besluta om att tillåta behandling av sådana personuppgifter som avses i första stycket.

5.4.5. Behov av särskild reglering

Förslag: I lagen om tillstånd att utfärda vissa examina ska det in-

föras en bestämmelse som medger att enskilda utbildningsanordnare får behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.

Vidare ska det införas en bestämmelse som anger att enskilda utbildningsanordnare får behandla känsliga personuppgifter, om uppgifterna har lämnats till den enskilde utbildningsanordnaren och behandlingen krävs enligt lag.

Det ska även införas en bestämmelse som medger att enskilda utbildningsanordnare får behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Det ska även införas en bestämmelse som möjliggör för enskilda utbildningsanordnare att i löpande text behandla person-

uppgifter som rör fällande domar i brottmål i ett ärende om avskiljande av student från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära.

En bestämmelse som anger att en enskild utbildningsanordnare inte får använda sökbegrepp som avslöjar känsliga personuppgifter och uppgifter som rör fällande domar i brottmål ska också införas.

Slutligen ska det införas upplysningsbestämmelser som anger att nämnda bestämmelser kompletterar dataskyddsförordningen samt att bestämmelser om personuppgiftsbehandling också finns i dataskyddslagen.

Bedömning: Statliga högskolor kan finna stöd för nödvändig be-

handling av känsliga personuppgifter i Dataskyddsutredningens förslag till dataskyddslag.

Statliga högskolor kan med stöd av artikel 10 i dataskyddsförordningen även behandla personuppgifter som rör fällande domar i brottmål. Dataskyddslagen föreslås innehålla en upplysningsbestämmelse om att myndigheter får behandla sådana uppgifter.

Det finns inget behov av att införa någon ytterligare reglering för statliga högskolors behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.

Ovan har utredningen kommit fram till att statliga högskolor och enskilda utbildningsanordnare kan behöva behandla känsliga personuppgifter huvudsakligen i samband med högskoleprovet, i antagningsförfarandet, vid ansökningar om särskilt pedagogiskt stöd och när beslutade stödåtgärder ska verkställas, i samband med ansökan om statsbidrag för särskilt utbildningsstöd, i utredningar och ärenden om trakasserier, sexuella trakasserier, disciplinära åtgärder och avskiljande samt för att uppfylla de skyldigheter som följer av offentlighetsprincipen. I fråga om avskiljande kan även personuppgifter som rör fällande domar i brottmål behöva behandlas.

Enligt utredningens bedömning utesluter inte dataskyddsförordningen att samtycke kan användas som rättslig grund för behandling av personuppgifter, även känsliga sådana, av både statliga högskolor och enskilda utbildningsanordnare. En bedömning måste dock göras

av vilken slags behandling som samtycket avser för att avgöra om det är lämpligt.

För den behandling av känsliga personuppgifter som behövs för att lärosätena ska kunna fullgöra uppdraget som ankommer på dem enligt bl.a. högskolelagen och lagen om tillstånd att utfärda vissa examina bör dock lärosätena inte vara beroende av om den registrerade lämnar sitt samtycke till sådan behandling. Detta eftersom det kan ifrågasättas om den registrerade i många fall har något verkligt val i frågan om behandlingen ska ske eller inte och därmed en reell möjlighet att motsätta sig behandlingen. Därtill är det av naturliga skäl uteslutet att samtycke kan användas som rättslig grund för behandlingar i samband med utredningar eller ärenden om t.ex. disciplinära åtgärder. Enligt utredningens bedömning bör det för den behandling av känsliga personuppgifter som är nödvändig därför finnas ytterligare rättsliga grunder som kan användas som stöd för sådan behandling.

I fråga om behandling av personuppgifter som rör fällande domar i brottmål i utredningar och ärenden om avskiljande omfattas inte statliga högskolor av förbudet i 21 § PUL. Enskilda utbildningsanordnare kan i dagsläget behandla sådana uppgifter med stöd av 5 a § PUL. När dataskyddsförordningen ska börja tillämpas kommer den bestämmelsen dock att upphävas. Det kan därför vara nödvändigt att införa en rättslig grund som möjliggör för enskilda utbildningsanordnare att behandla sådana uppgifter i motsvarande utredningar och ärenden som kan leda till att en student tvingas lämna utbildningen.

Behandling i löpande text

Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 1 dataskyddslagen får myndigheter behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Enligt artikel 9.2 g får känsliga personuppgifter behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. En myndighet kan således inte tillämpa en sådan bestämmelse som Dataskyddsutredningen föreslår i vilken typ av ärende som helst.

Med stöd av nämnda förslag bedömer utredningen att statliga högskolor även fortsättningsvis kommer att kunna behandla känsliga personuppgifter i ärenden om anpassning vid högskoleprov, avsteg vid antagning, särskilt pedagogiskt stöd och statsbidrag för särskilt utbildningsstöd. Nämnda ärenden syftar till att personer med funktionsnedsättningar ska kunna söka högskoleutbildningar och studera på samma villkor som personer utan funktionsnedsättning.

Rätten till anpassning vid högskoleprovet framgår av 4–8 §§ i UHR:s föreskrifter om högskoleprovet, vilka utfärdats med stöd av bemyndigande i 7 kap. 22 § högskoleförordningen. Möjligheten till statsbidrag för kostnader för särskilt utbildningsstöd framgår av en förordning. Vad gäller möjligheten att få en funktionsnedsättning beaktad i antagningsförfarandet samt rätten till särskilt pedagogiskt stöd följer det av 2 kap. 5 § diskrimineringslagen att en statlig högskola inte får diskriminera någon student som deltar i eller söker till verksamheten (prop. 2013/14:198 s. 76 f.). I bl.a. artikel 2 i FN:s allmänna förklaring om de mänskliga rättigheterna finns ett förbud mot diskriminering. I artikel 26 anges att var och en har rätt till utbildning och att den högre utbildningen ska vara öppen för alla med hänsyn till deras förmåga. I Europeiska unionens stadga om de grundläggande rättigheterna finns ett förbud mot diskriminering i artikel 21. I artikel 14 anges att var och en har rätt till utbildning och till tillträde till yrkesutbildning och fortbildning. Enligt 1 kap. 2 § femte stycket regeringsformen ska det allmänna motverka diskriminering av människor på grund av kön, hudfärg, nationellt eller etniskt ursprung, språklig eller religiös tillhörighet, funktionshinder, sexuell läggning, ålder eller andra omständigheter som gäller den enskilde som person. Sammantaget anser utredningen att möjligheterna till anpassning vid högskoleprovet, avsteg vid antagningsförfarandet, särskilt pedagogiskt stöd och statsbidrag för kostnader för särskilt utbildningsstöd är sådana viktiga allmänna intressen som avses i artikel 9.2 g i dataskyddsförordningen.

Vidare bedömer utredningen att statliga högskolor även kan tilllämpa Dataskyddsutredningens förslag i ärenden om trakasserier och sexuella trakasserier. Avseende dessa ärenden följer det av 2 kap. 7 § diskrimineringslagen att statliga högskolor ska utreda och, i förekommande fall, vidta skäliga åtgärder för att förhindra trakasserier i framtiden. Lagstiftaren anser således att det är så viktigt att enskilda

kan studera i en trygg och säker miljö att nämnda skyldighet att utreda trakasserier har införts. Vidare är trakasserier och sexuella trakasserier enligt 1 kap. 4 § diskrimineringslagen att betrakta som diskriminering, vilket enligt ovan är förbjudet enligt FN:s allmänna förklaring om de mänskliga rättigheterna och Europeiska unionens stadga om de grundläggande rättigheterna. Regeringsformen anger också att diskriminering ska motverkas. Sammantaget anser utredningen att skyldigheten att utreda och vidta åtgärder med anledning av trakasserier och sexuella trakasserier är ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen.

Utredningen bedömer vidare att statliga högskolor kan tillämpa Dataskyddsutredningens förslag även i ärenden om disciplinära åtgärder och avskiljande. Förutsättningar för sådana beslut har möjliggjorts genom olika författningar. Därtill tar disciplinära åtgärder och avskiljande sikte på bl.a. säkerheten och ordningen för övriga studenter och högskolornas arbetstagare samt den mänskliga rättigheten att skyddas mot diskriminering i form av bl.a. trakasserier. Enligt utredningens bedömning är det även avseende dessa ärenden därmed fråga om sådana viktiga allmänna intressen som avses i artikel 9.2 g i dataskyddsförordningen.

Sammanfattningsvis anser utredningen att statliga högskolor kan tillämpa Dataskyddsutredningens förslag för nödvändig behandling av känsliga personuppgifter i ärenden om anpassning vid högskoleprov, avsteg vid antagning, särskilt pedagogiskt stöd, statsbidrag för särskilt utbildningsstöd, trakasserier, sexuella trakasserier, disciplinära åtgärder och avskiljande. Någon ytterligare reglering krävs därmed inte för att statliga högskolor, i de fall det är nödvändigt, ska kunna behandla känsliga personuppgifter för nämnda ändamål när dataskyddsförordningen ska börja tillämpas. Vidare kan det inte uteslutas att det finns andra typer av ärenden där statliga högskolor behöver behandla känsliga personuppgifter. Sådan behandling kan då också ske med stöd av Dataskyddsutredningens förslag, förutsatt bl.a. att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse.

Det förhåller sig dock annorlunda med de enskilda utbildningsanordnarna. Som framgår av avsnitt 5.4.2 kan motsvarande ärenden som nämnts ovan finnas hos enskilda utbildningsanordnare. I dessa fall har enskilda utbildningsanordnare, förutsatt att det är relevant och nödvändigt, således samma behov av att kunna behandla känsliga

personuppgifter som de statliga högskolorna. I dagsläget kan sådan behandling av känsliga personuppgifter ske i ostrukturerat material med stöd av 5 a § PUL, men den bestämmelsen kommer att upphävas när dataskyddsförordningen ska börja tillämpas. Dataskyddsutredningens förslag omfattar inte enskilda utbildningsanordnare. Utredningen anser därför att det finns behov av att införa en bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla känsliga personuppgifter i ärenden på motsvarande sätt som för statliga högskolor. Eftersom de enskilda utbildningsanordnarna redan i dagsläget har möjlighet att utföra sådana behandlingar av känsliga personuppgifter, bedömer utredningen att integritetsintrånget för den enskilde varken blir större eller mindre genom att en sådan bestämmelse införs. Sammantaget anser utredningen att det ska införas en bestämmelse enligt vilken känsliga personuppgifter, med stöd av artikel 9.2 g i dataskyddsförordningen, får behandlas av enskilda utbildningsanordnare i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Kopplingen till artikel 9.2 g innebär, liksom för statliga högskolor som utredningen konstaterar ovan, att känsliga personuppgifter inte kan behandlas i vilken typ av ärende som helst. Det krävs att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. Av artikel 5.2 framgår att det är den personuppgiftsansvarige som ska ansvara för och kunna visa att man har stöd för de behandlingar man utför.

Behandling som krävs på grund av lag

Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 2 dataskyddslagen får myndigheter behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag. Enligt Dataskyddsutredningens förslag till 1 kap. 5 § ska vid tillämpningen av 3 kap. 3 § 2 andra organ än myndigheter jämställas med myndigheter i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen gäller i organets verksamhet.

Dataskyddsutredningens förslag i nämnda delar innebär, enligt utredningens bedömning, att både statliga högskolor och, i förekommande fall, enskilda utbildningsanordnare kommer att kunna

uppfylla de åligganden enligt bl.a. offentlighetsprincipen som ankommer på dem, t.ex. att diarieföra handlingar som innehåller känsliga personuppgifter och att lämna ut allmänna handlingar. Någon ytterligare reglering krävs därmed inte för att lärosätena ska kunna uppfylla sina åligganden enligt offentlighetsprincipen.

Absolut nödvändig behandling i andra fall

Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 3 dataskyddslagen får myndigheter behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Bestämmelsen ska enligt Dataskyddsutredningen möjliggöra behandling av känsliga personuppgifter hos myndigheter i enstaka fall, även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte krävs enligt annan lag. Som exempel på när bestämmelsen kan vara tillämplig anger Dataskyddsutredningen bl.a. inom en myndighet i samband med utvärdering (SOU 2017:39, avsnitt 10.6.2).

Bestämmelsen i dataskyddslagen är direkt tillämplig på statliga högskolor. När det gäller statliga högskolors behandling av känsliga personuppgifter kan exempel på när paragrafen kan vara tillämplig, enligt utredningens bedömning, vara när beslut att bevilja anpassning vid högskoleprovet eller särskilt pedagogiskt stöd ska verkställas.

Även för enskilda utbildningsanordnare kan behandling av känsliga personuppgifter vara berättigad i vissa fall när det saknas koppling till ett visst ärende och då behandlingen inte krävs enligt annan lag. Som framgått ovan förekommer det att enskilda utbildningsanordnare genomför högskoleprov. Hos enskilda utbildningsanordnare finns också möjligheten att ansöka om särskilt pedagogiskt stöd. Även för enskilda utbildningsanordnare kan det därmed finnas behov av att behandla känsliga personuppgifter i samband med att beslut att bevilja anpassning vid högskoleprovet eller särskilt pedagogiskt stöd ska verkställas. Sådan behandling kan i dagsläget ske i ostrukturerat material med stöd av 5 a § PUL. När dataskyddsförordningen ska börja tillämpas kommer dock personuppgiftslagen att upphävas.

Om någon reglering som möjliggör fortsatt sådan behandling inte införs är enskilda utbildningsanordnare hänvisade till att använda sig av samtycke från den registrerade. Att enbart använda sig av samtycke kan vara problematiskt, särskilt i fråga om anpassning vid högskoleprovet, eftersom provdeltagaren då måste skicka in ett samtycke till personuppgiftsbehandling i anslutning till att intyg om lässvårigheten, inlärningsstörningen eller synskadan skickas in. Det kan vidare ifrågasättas om samtycke kan användas som rättslig grund för all behandling som krävs i fråga om särskilt pedagogiskt stöd, eftersom det kan vara svårt för den enskilde att överblicka omfattningen och arten av de behandlingar som krävs när beslutade stödåtgärder ska verkställas.

I övervägandena till förslaget till 3 kap. 3 § 3 dataskyddslagen anger Dataskyddsutredningen att sådan behandling som bestämmelsen tar sikte på måste regleras på ett sätt som beaktar dataskyddsförordningens krav på proportionalitet och skyddsåtgärder. Bestämmelsen innehåller därför rekvisitet ”absolut nödvändigt” för att markera att behandling av känsliga personuppgifter i här aktuella fall bara ska ske efter en noggrann prövning i det enskilda fallet. Dataskyddsutredningen anser vidare att prövningen också bör ske med beaktande av vilket intrång behandlingen utgör för den registrerades integritet. Dataskyddsutredningen har därför formulerat bestämmelsen på sådant sätt att en avvägning ska göras av om en i och för sig absolut nödvändig behandling av känsliga personuppgifter innebär ett otillbörligt intrång i den registrerades integritet, vilket skulle kunna få till följd att behandlingen inte är tillåten (SOU 2017:39, avsnitt 10.6.2). Bestämmelsen i den föreslagna 3 kap. 3 § 3 dataskyddslagen innehåller således rekvisit som starkt markerar att bestämmelsen ska tillämpas restriktivt och först efter noggranna avvägningar mellan behovet av behandlingen och intrånget i den enskildes integritet.

Utredningen anser sammanfattningsvis att en bestämmelse motsvarande 3 kap. 3 § 3 dataskyddslagen ska införas även för enskilda utbildningsanordnare. Dessa aktörer har samma behov som statliga högskolor att i vissa fall kunna behandla känsliga personuppgifter även när det saknas koppling till ett visst ärende eller när behandlingen inte krävs enligt annan lag. En bestämmelse med sådana starkt begränsande rekvisit, tillgodoser, enligt utredningens bedömning,

dataskyddsförordningens krav på proportionalitet och skyddsåtgärder.

Behandling av personuppgifter som rör fällande domar i brottmål

Förbudet i artikel 10 för behandling av personuppgifter som rör fällande domar i brottmål gäller inte för myndigheter. Dataskyddsutredningen föreslår att en upplysningsbestämmelse om detta ska finnas i 3 kap. 9 § dataskyddslagen. Även när dataskyddsförordningen ska börja tillämpas kommer således statliga högskolor att kunna behandla personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande enligt 4 kap. 6 § högskolelagen och förordningen om avskiljande av studenter från högskoleutbildning. Någon ytterligare reglering i denna del krävs därmed inte för de statliga högskolornas behandlingar.

För enskilda utbildningsanordnare är det dock annorlunda. Som framgår ovan har de enskilda utbildningsanordnarna egna regelverk om avskiljande som i stort sett motsvarar de som gäller för statliga högskolor. De har därmed samma behov som statliga högskolor att behandla personuppgifter som rör fällande domar i brottmål. Sådan behandling kan i dagsläget ske i ostrukturerat material med stöd av 5 a § PUL samt Datainspektionens föreskrifter, vilka meddelats med stöd av bemyndigande i 9 § PUF. När dataskyddsförordningen ska börja tillämpas kommer dock personuppgiftslagen att upphävas.

Enligt Dataskyddsutredningens förslag till 4 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning får personuppgifter som rör bl.a. fällande domar i brottmål behandlas av andra än myndigheter om

1. behandlingen är nödvändig för att rättsliga anspråk ska kunna fast-

ställas, göras gällande eller försvaras i ett enskilt fall,

2. behandlingen avser enstaka uppgifter och är nödvändig för att till

polisen anmäla misstanke om brott, eller

3. behandlingen avser enstaka uppgifter och är nödvändig för att en

rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.

Enligt utredningens bedömning är det inte möjligt för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål i ett ärende om avskiljande med stöd av Dataskyddsutredningens ovan nämnda förslag.

Enligt Dataskyddsutredningens förslag till 5 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning bemyndigas Datainspektionen att meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör bl.a. fällande domar i brottmål. I vilken mån Datainspektionen kommer att använda sig av det föreslagna bemyndigandet och i så fall på vilket sätt är i dagsläget oklart.

Dataskyddsförordningen och dataskyddslagen tillåter således inte att enskilda utbildningsanordnare behandlar personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande och det saknas förslag till undantag som möjliggör sådan behandling. Frågan är då om utredningen bör föreslå en sådan bestämmelse.

I förarbetena till den numera upphävda lagen (2001:1286) om likabehandling av studenter i högskolan uttalar regeringen bl.a. följande (prop. 2001/02:27 s. 75, se även prop. 2008/09:68 s. 47).

Regeringen har dock i andra sammanhang ansett att det inte är lämpligt att reglera förhållandet mellan en student eller en sökande och en enskild utbildningsanordnare i offentligrättslig ordning. Exempelvis regleras inte frågor om avskiljande och disciplinära åtgärder rörande studenter hos enskilda utbildningsanordnare. Vidare kan inte en enskild utbildningsanordnares beslut överklagas enligt bestämmelserna i högskoleförordningen och förordningen för Sveriges lantbruksuniversitet. I relationen mellan en enskild utbildningsanordnare och en student är parterna hänvisade till att föra en talan i civilrättslig ordning.

Att det saknas reglering för enskilda utbildningsanordnare om avskiljande synes således inte bero på att frågan är av underordnad betydelse för deras del, utan endast på att det inte ansetts lämpligt med en offentligrättslig reglering av dessa frågor. Vidare syftar ett avskiljande till att förhindra att en student skadar sin omgivning. Det måste därmed, enligt utredningens bedömning, anses vara lika angeläget att enskilda utbildningsanordnare har möjlighet att behandla personuppgifter som rör fällande domar i brottmål i deras motsvarighet till ärenden om avskiljande. En sådan bestämmelse bör således införas.

En bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål måste, enligt artikel 10 i dataskyddsförordningen, omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. En sådan bestämmelse bör därför bestå av rekvisit som starkt betonar att det är fråga om en restriktiv tillämpning där en noggrann avvägning behöver göras mellan behovet av behandling och intrånget i den enskildes integritet. Enligt utredningens uppfattning kan utformningen av Dataskyddsutredningens förslag till 3 kap. 3 § 3 dataskyddslagen tjäna som riktmärke.

Behandling av personuppgifter som rör fällande domar i brottmål skulle då kunna tillåtas om det är absolut nödvändigt, vilket innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling.

För att ytterligare begränsa bestämmelsens tillämpning bör den, enligt utredningens uppfattning, också innehålla en avvägningsnorm. Av 4 kap. 6 § andra stycket högskolelagen framgår att en förutsättning för avskiljande på grund av att studenten bl.a. har gjort sig skyldig till allvarlig brottslighet, är att det till följd av ett sådant förhållande bedöms föreligga en påtaglig risk att studenten kan komma att skada annan person eller värdefull egendom under utbildningen. Den bestämmelse som ska möjliggöra för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål kan då lämpligen innehålla en avvägningsnorm enligt vilken intresset för andras säkerhet och värdefull egendom ska ställas mot den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära. Det åligger därmed den enskilde utbildningsanordnaren att göra en noggrann avvägning i varje enskilt fall om den avsedda behandlingen kan göras.

Sammanfattningsvis anser utredningen att det ska införas en bestämmelse som anger att personuppgifter som rör fällande domar i brottmål får behandlas av en enskild utbildningsanordnare i löpande text i ett ärende om avskiljande av student från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära. Utredningens bedömning är avslutningsvis att en bestämmelse, med sådana starkt begränsande rekvisit, uppfyller kraven i artikel 10 i dataskyddsförordningen.

Skyddsåtgärder – sökförbud

Förslagen till bestämmelser i dataskyddslagen som Dataskyddsutredningen lämnar för att möjliggöra för myndigheter att i vissa fall behandla känsliga personuppgifter har sin grund i artikel 9.2 g. För att i denna del leva upp till förordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen, föreslår Dataskyddsutredningen även en skyddsåtgärd i form av en sökbegränsning i 3 kap. 4 § dataskyddslagen (SOU 2017:39, avsnitt 10.6.2).

Dataskyddsutredningen menar att sökningar som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som i sig innebär en integritetskränkning. Enligt Dataskyddsutredningen ligger företeelsen nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Dataskyddsutredningen anser att med ett sökförbud uppnås ett relativt effektivt skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna.

Dataskyddsutredningen konstaterar vidare att ett sådant sökförbud innebär att offentlighetsprincipen inskränks enligt den så kallade begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. En begäran att få tillgång till en sammanställning av uppgifter som är resultatet av en sådan förbjuden sökning ska alltså avslås på den grunden att sammanställningen inte anses förvarad hos myndigheten. Dataskyddsutredningen anser att den omständigheten att sammanställningar av känsliga personuppgifter inte kommer att lämnas ut är en inte obetydlig integritetsvinst för de registrerade. Dataskyddsutredningen understryker dock att den s.k. begränsningsregeln inte hindrar att sökningar görs i färdiga elektroniska handlingar vid en begäran om tillgång till allmänna handlingar, dvs. sökning får på begäran ske i upptagningar där myndigheten eller den som lämnat in handlingen till myndigheten har gett upptagningen ett bestämt, fixerat, innehåll som går att återskapa gång på gång.

Enligt Dataskyddsutredningen bör sökbegränsningar av detta slag omfatta alla typer av tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter avslöjas.

Dataskyddsutredningens förslag till sökförbud i 3 kap. 4 § dataskyddslagen gäller endast för myndigheter. Ett undantag finns dock. Vid tillämpningen av bestämmelsen ska, enligt 1 kap. 5 § dataskyddslagen, andra organ än myndigheter jämställas med myndigheter, i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen gäller i organets verksamhet. Enskilda utbildningsanordnare omfattas som regel således inte av den föreslagna bestämmelsen, utan endast statliga högskolor. De skäl som finns för att sökbegränsningar ska gälla för statliga högskolors del gör sig enligt utredningens bedömning dock gällande även avseende enskilda utbildningsanordnare. En motsvarande bestämmelse som begränsar deras möjligheter till behandling av känsliga personuppgifter bör därför också införas.

För enskilda utbildningsanordnares behandling av personuppgifter som rör fällande domar i brottmål bör vidare ett motsvarande förbud också gälla för att använda sökbegrepp som avslöjar sådana uppgifter. På så sätt fastställs, i enlighet med artikel 10 i dataskyddsförordningen, ytterligare en skyddsåtgärd för de registrerades rättigheter och friheter.

Nya bestämmelser i lagen om tillstånd att utfärda vissa examina

Enligt ovan har utredningen kommit fram till att statliga högskolor i Dataskyddsutredningens förslag kan finna stöd för nödvändig behandling av känsliga personuppgifter i ärenden om anpassning vid högskoleprovet, avsteg vid antagning, ansökningar om särskilt pedagogiskt stöd, statsbidrag för särskilt utbildningsstöd, trakasserier, sexuella trakasserier, disciplinära åtgärder, avskiljande och eventuella ytterligare ärenden där det finns en koppling till ett viktigt allmänt intresse. Vidare kan både statliga högskolor och, i förekommande fall, enskilda utbildningsanordnare i Dataskyddsutredningens förslag finna stöd för nödvändig personuppgiftsbehandling vid uppfyllandet av åligganden enligt offentlighetsprincipen. Därtill kan statliga högskolor finna stöd i Dataskyddsutredningens förslag även för sådan behandling som i enstaka fall är absolut nödvändig. Något behov av ytterligare reglering för statliga högskolors del finns därmed inte.

För enskilda utbildningsanordnare finns det enligt utredningens bedömningar ovan dock ett behov av reglering. För deras del behö-

ver det införas bestämmelser som möjliggör nödvändig behandling av känsliga personuppgifter i samma typ av ärenden som finns hos de statliga högskolorna. Utredningen gör även bedömningen att det finns behov av en reglering som möjliggör för enskilda utbildningsanordnare att i enstaka fall behandla känsliga personuppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Därtill anser utredningen att det finns behov av en reglering som möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande av studenter. Vad utredningen har att ta ställning till är därefter var sådana bestämmelser lämpligast bör placeras.

I Dataskyddsutredningens förslag till 3 kap. 8 § dataskyddslagen ges ett bemyndigande till regeringen att meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen att behandla känsliga personuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse. I förslaget till 3 kap. 10 och 12 §§ dataskyddslagen bemyndigas regeringen, eller den myndighet som regeringen bestämmer, att meddela föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör bl.a. fällande domar i brottmål. Det är således ur ett dataskyddsperspektiv möjligt att föreskriva om dessa undantag i en förordning. De bestämmelser som myndigheter och, i fråga om offentlighetsprincipen, enskilda utbildningsanordnare har att tillämpa enligt dataskyddslagen är dock i lagform. Utredningens bedömning är därför att det är lämpligt att bestämmelserna som ger enskilda utbildningsanordnare stöd för att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål förs in på samma normhierarkiska nivå. Detta görs lämpligen i lagen om tillstånd att utfärda vissa examina, eftersom det för enskilda utbildningsanordnares del är genom den lagen som den rättsliga grunden uppgift av allmänt intresse fastställs.

I lagen om tillstånd att utfärda vissa examina ska det därför införas en bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.

När det gäller offentlighetsprincipen är det som framgår ovan inte nödvändigt att införa en bestämmelse som möjliggör nödvändig behandling vid uppfyllandet av de åligganden som följer av offentlighetsprincipen, eftersom Datasskyddsutredningens förslag i denna

del omfattar även enskilda utbildningsanordnare. För tydlighets skull anser utredningen dock att det är lämpligt att all reglering av enskilda utbildningsanordnares behandling av känsliga personuppgifter finns i samma författning. I lagen om tillstånd att utfärda vissa examina anser utredningen följaktligen att det ska införas en bestämmelse som anger att enskilda utbildningsanordnare får behandla känsliga personuppgifter, om uppgifterna har lämnats till lärosätet och behandlingen krävs enligt lag.

För behandling av känsliga personuppgifter ska det i lagen om tillstånd att utfärda vissa examina även införas en bestämmelse om att enskilda utbildningsanordnare får behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Det ska även införas en bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande.

Avslutningsvis ska det införas en bestämmelse om sökförbud samt upplysningsbestämmelser avseende förhållandet till dataskyddsförordningen och dataskyddslagen.

5.5. Behov av ytterligare reglering

Bedömning: Dataskyddsförordningen, dataskyddslagen, förord-

ningen om redovisning av studier m.m. vid universitet och högskolor samt utredningens förslag till författningsreglering av enskilda utbildningsanordnares behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål utgör en ändamålsenlig reglering för enskilda utbildningsanordnares och statliga högskolors nödvändiga personuppgiftsbehandling samt ett välavvägt skydd för enskildas personliga integritet.

Den personuppgiftsbehandling som statliga högskolor utför är inte sådan att det krävs en lagreglering enligt 2 kap. 6 § regeringsformen.

Någon ytterligare reglering, utöver förslagen till reglering av enskilda utbildningsanordnares behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål, behövs därmed inte.

När personuppgiftslagen upphävs kommer den personuppgiftsbehandling som utförs inom universitets- och högskolesektorn i huvudsak att omfattas av dataskyddsförordningens och dataskyddslagens bestämmelser. Undantagen är dels den behandling som sker med stöd av förordningen om redovisning av studier m.m. vid universitet och högskolor, dels den behandling som sker inom studenthälsans verksamhet vilken omfattas av patientdatalagen. Därtill lämnar utredningen i föregående avsnitt förslag till reglering av enskilda utbildningsanordnares behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.

Frågan är således om det, utöver nämnda regleringar och förslag, krävs eller om det av annat skäl är lämpligt med en ytterligare författning i form av en särskild lag för att reglera personuppgiftsbehandlingen inom universitets- och högskolesektorn.

Dataskyddsförordningen möjliggör genom artikel 6.2 och 6.3 för medlemsstaterna att införa särskilda registerförfattningar. Varken dessa bestämmelser eller förordningen i sig innebär dock något krav på att det införs sådana författningar.

Enligt utredningens bedömning i avsnitt 5.3 kan enskilda utbildningsanordnare och statliga högskolor som rättslig grund för sin nödvändiga behandling av personuppgifter tillämpa artikel 6.1 a, c eller e i dataskyddsförordningen. Enskilda utbildningsanordnare kan dessutom tillämpa artikel 6.1 f. Som framgår ovan är det utredningens bedömning att det inte behövs någon särskild reglering för att lärosätena ska kunna tillämpa dessa rättsliga grunder. Enligt ovan bedömer utredningen även att nämnda rättsliga grunder i dataskyddsförordningen är tillräckliga för sådan behandling som är nödvändig för att lärosätena ska kunna utföra och uppfylla de uppgifter och åligganden som framgår av bl.a. högskolelagen och lagen om tillstånd att utfärda vissa examina.

För nödvändig eller absolut nödvändig behandling av känsliga personuppgifter kan statliga högskolor tillämpa de bestämmelser i dataskyddslagen som Dataskyddsutredningen föreslagit med artikel 9.2 g som grund. Som framgår ovan är det utredningens bedömning att dessa bestämmelser, i förening med möjligheten att i viss utsträckning använda sig av samtycke, är tillräckliga för sådan behandling av känsliga personuppgifter som är nödvändig eller absolut

nödvändig i de statliga högskolornas verksamhet enligt bl.a. högskolelagen.

För enskilda utbildningsanordnares behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål föreslår utredningen att det införs bestämmelser som möjliggör sådan nödvändig eller absolut nödvändig behandling. Som framgår ovan bedömer utredningen att den föreslagna regleringen på dessa områden är tillräcklig för sådan behandling i enskilda utbildningsanordnares verksamhet enligt bl.a. lagen om tillstånd att utfärda vissa examina. Den föreslagna regleringen omfattas vidare av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter i enlighet med dataskyddsförordningens bestämmelser i artikel 9.2 g och artikel 10.

Utöver förordningen om redovisning av studier m.m. vid universitet och högskolor kommer det således att finnas rättslig grund för statliga högskolors och enskilda utbildningsanordnares behandlingar även när dataskyddsförordningen ska börja tillämpas den 25 maj 2018. Ur den synvinkeln saknas det anledning att införa en särskild registerförfattning för högskolornas personuppgiftsbehandlingar.

Regeringsformens krav

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet i bestämmelsen gäller bara mot åtgärder från det allmännas sida och träffar därmed inte åtgärder som en enskild vidtar i förhållande till en annan enskild (prop. 2009/10:80 s. 250). Skyddet mot betydande intrång i den personliga integriteten enligt regeringsformen gäller således endast åtgärder som statliga högskolor vidtar i förhållande till sina studenter. Av 2 kap. 20 § framgår att skyddet får begränsas genom lag.

Bestämmelsen i 2 kap. 6 § andra stycket regeringsformen trädde i kraft den 1 januari 2011. Genom en särskild övergångsbestämmelse har äldre regleringar, som inte har lagform, dock varit gällande t.o.m. utgången av 2015. Någon särskild lag om högskolornas personuppgiftsbehandling har inte införts med anledning av grundlagsänd-

ringen. Någon utredning med uppgiften att analysera behovet av en särskild författningsreglering inom universitets- och högskolesektorn med anledning av grundlagsändringen har inte heller tillsatts. Det förefaller därmed som att regeringen och lagstiftaren bedömt att statliga högskolors behandling av personuppgifter inte är sådan att den kräver särskilt lagstöd enligt 2 kap. 20 § regeringsformen, utan att de möjligheter till behandling av personuppgifter som finns enligt personuppgiftslagen och förordningen om redovisning av studier m.m. vid universitet och högskolor är både tillräckliga och inte för långtgående för integritetsskyddet.

Vidare har det inte framkommit att högskolornas personuppgiftsbehandlingar sedan den 1 januari 2016 har ändrats eller avses ändras på ett sätt som medför att behovet av att införa en särskild registerlag har förändrats. Det är inte några ofullkomligheter i lagstiftningen eller ifrågasatta integritetskränkningar som har föranlett utredningsuppdraget, utan enbart den kommande nya EU-regleringen av behandling av personuppgifter, vilken medför att personuppgiftslagen kommer att upphävas.

Högskolornas behandling av personuppgifter består huvudsakligen av uppgifter i form av namn, personnummer, kontaktuppgifter och studieresultat. Dessa behandlas främst i samband med ansökan till högskoleutbildning, i olika administrativa system och i undervisningen. Vidare bör det beaktas att det är fråga om en frivillig studieform samt att en stor del av behandlingarna har särskilt författningsstöd genom bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor. I nämnda förordning regleras förutsättningarna för de två absolut största systemen inom universitets- och högskolesektorn, nämligen antagningssystemet NyA och systemet för studieadministration, Ladok.

Vidare förekommer det inte behandling av känsliga eller integritetskänsliga uppgifter i någon större utsträckning. Behandling av sådana uppgifter har i dagsläget stöd i personuppgiftslagen och kommer för statliga högskolors del senare att ha stöd i dataskyddslagen.

Den personuppgiftsansvarige ska dessutom enligt artikel 5 i dataskyddsförordningen se till att personuppgifterna är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). Vidare får personuppgifterna inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka

personuppgifterna behandlas (lagringsminimering). Dessa bestämmelser begränsar den personuppgiftsansvariges möjligheter att behandla fler personuppgifter än nödvändigt för längre tid än nödvändigt.

Sammantaget bedömer utredningen att statliga högskolors personuppgiftsbehandling inte är sådan att den utgör ett betydande intrång i regeringsformens mening. Någon lagreglering med anledning av bestämmelserna i regeringsformen behövs därmed inte.

Finns det andra skäl att införa en särskild lag?

I avsnitt 4.9 redovisar utredningen sin uppfattning att bestämmelserna i dataskyddsförordningen ger ett mycket starkt skydd för den enskildes integritet och rättigheter. I nämnda avsnitt gör utredningen bedömningen att en särskild författning som reglerar den skollagsreglerade utbildningsverksamhetens personuppgiftsbehandling inte skulle innebära att skyddet för enskildas integritet och rättigheter blev starkare. Utredningen bedömer vidare att en sådan reglering dessutom skulle kunna vara kontraproduktiv på så sätt att den skulle kunna komma att begränsa möjligheterna att behandla personuppgifter på ett sätt som bidrar till ett effektivt och tidsenligt sätt att, med utnyttjande av tillgängliga tekniska hjälpmedel, bedriva utbildning med ett gott resultat.

Enligt utredningens mening gör motsvarande överväganden sig gällande även i fråga om den personuppgiftsbehandling som utförs av statliga högskolor och enskilda utbildningsanordnare. Utredningen bedömer således att det saknas skäl till ytterligare reglering av personuppgiftsbehandlingen inom universitets- och högskolesektorn.

5.6. Förordningen om redovisning av studier m.m. vid universitet och högskolor

5.6.1. Utredningens uppdrag i denna del

Förordningen om redovisning av studier m.m. vid universitet och högskolor gäller utöver personuppgiftslagen vid helt eller delvis automatiserad behandling av personuppgifter. I förordningen finns det bestämmelser som hänvisar till personuppgiftslagen. När data-

skyddsförordningen ska börja tillämpas kommer personuppgiftslagen att upphävas. Utredningen har därför fått i uppdrag att se över vilka ändringar i förordningen om redovisning av studier m.m. vid universitet och högskolor som behöver göras med anledning av dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredningen kan komma att lämna.

Utredningens uppdrag i denna del innebär således att anpassa bestämmelserna i förordningen till dataskyddsförordningens reglering, varvid utredningen ska beakta de förslag till ny generell reglering som Dataskyddsutredningen föreslår (dataskyddslagen). Andra behov av ändringar i förordningen om redovisning av studier m.m. vid universitet och högskolor ligger därmed utanför uppdraget. Enligt direktiven finns det dock möjlighet att belysa även andra frågeställningar som är relevanta för uppdraget samt komma med förslag i sådana delar.

Analysen av behovet av ändringar i förordningen inleds i följande avsnitt med vilken eller vilka rättsliga grunder som är tillämpliga på de behandlingar som förordningen reglerar. Därefter, i avsnitt 5.6.3, går utredningen genom förordningens bestämmelser och lyfter fram frågeställningar och lämnar förslag till ändringar utifrån att dataskyddsförordningen ska börja tillämpas. I det sista avsnittet (5.6.4) lyfter utredningen fram vilket behov av översyn av övriga bestämmelser i förordningen om redovisning av studier m.m. vid universitet och högskolor som kommit fram under utredningens gång. Det rör sig alltså om behov av överväganden som inte motiveras av de nya regelverk om personuppgiftsbehandling som ska börja tillämpas den 25 maj 2018.

5.6.2. Rättslig grund för personuppgiftsbehandling

Bedömning: Bestämmelserna i förordningen om redovisning av

studier m.m. vid universitet och högskolor utgör i enlighet med artikel 6.1 c i dataskyddsförordningen fastställda rättsliga förpliktelser för statliga högskolor och SCB att föra olika register. Förandet av registren är dessutom för statliga högskolor och SCB fastställda uppgifter av allmänt intresse i enlighet med första ledet i

artikel 6.1 e. För UHR:s del finns det en fastställd uppgift av allmänt intresse att föra ett antagningsregister.

Enligt artikel 6.2 och 6.3 andra stycket är det tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva 6.1 c och e. Förordningen om redovisning av studier m.m. vid universitet och högskolor är därmed i sig förenlig med dataskyddsförordningen.

Enligt artikel 6.1 i dataskyddsförordningen krävs att åtminstone ett av de i artikeln uppräknade villkoren är uppfyllt för att behandling av personuppgifter ska vara laglig. Ett sådant villkor är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (6.1 c). Av artikel 6.3 första stycket framgår att den rättsliga förpliktelsen ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

I fråga om rättslig förpliktelse föreslår Dataskyddsutredningen en förtydligande bestämmelse i 2 kap. 3 § dataskyddslagen, enligt vilken personuppgifter får behandlas med stöd av artikel 6.1 c om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som bl.a. gäller enligt lag eller annan författning eller följer av beslut som har meddelats med stöd av lag eller annan författning.

Av artikel 6.3 andra stycket första meningen framgår att, i fråga om den rättsliga grunden rättslig förpliktelse, syftet med behandlingen ska fastställas i den rättsliga grunden. Enligt Dataskyddsutredningen torde kravet innebära att en förpliktelse inte kan läggas till grund för behandling av personuppgifter om syftet med behandlingen inte framgår av den författning som förpliktelsen grundas på och inte heller, i förekommande fall, kan utläsas av det beslut som anger förpliktelsen. Hur bestämmelsen ska tolkas är dock oklart (SOU 2017:39, avsnitt 8.3.2).

I 2 kap. 1 § första stycket förordningen om redovisning av studier m.m. vid universitet och högskolor anges att högskolorna ska dokumentera uppgifter om studenter. I andra stycket anges att högskolorna ska föra ett studieregister och där ange uppgifterna individuellt för varje student samt att registret får föras med hjälp av automatiserad behandling. Enligt utredningens bedömning är nämnda bestämmelser ett utryck för en rättslig förpliktelse för högskolorna.

I 2 kap. 2 § anges för vilka ändamål registret ska föras, bl.a. för att säkra att uppgifter om sökande till utbildning, genomgångna studier, betyg över utbildningar och examina bevaras. Syftet med registret och behandlingarna framgår således av 2 §. Den rättsliga förpliktelsen för högskolorna att föra ett studieregister är därmed fastställd i svensk rätt.

I 3 kap. 1 § anges att SCB ska föra ett register och där ange uppgifterna individuellt för varje student samt att registret får föras med hjälp av automatiserad behandling. Även för SCB finns det i förordningen om redovisning av studier m.m. vid universitet och högskolor därmed en rättslig förpliktelse att föra ett register.

Enligt 3 kap. 2 § första stycket får registret användas av SCB för att ge underlag för att framställa sådan officiell statistik över utbildningen vid landets högskolor som behövs för uppföljning, utvärdering och information samt annan statistik, om ändamålet med behandlingen inte är oförenligt med nämnda ändamål. Enligt andra stycket får registret användas också för forskning. Syftet med registret och behandlingarna framgår således av 2 §. Den rättsliga förpliktelsen för SCB att föra registret är därmed fastställd i svensk rätt.

Av 3 kap. 10 § första stycket framgår att SCB, ur sådana register som finns inom SCB, även ska sammanställa ett antal uppgifter om de personer som är anställda vid en högskola. Enligt andra stycket ska uppgifterna sammanställas i ett register som förs med hjälp av automatiserad behandling. Av första stycket framgår vidare att ändamålet är att utgöra underlag för statistik över högskolornas personal. Enligt utredningens bedömning är det därmed även i denna del fråga om en för SCB fastställd rättslig förpliktelse att föra en viss typ av register.

En annan rättslig grund som aktualiseras med anledning av bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor är den som finns i första ledet i artikel 6.1 e i dataskyddsförordningen, dvs. för sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse. Av artikel 6.3 första stycket framgår att även denna grund ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansarige omfattas av.

Dataskyddsutredningen föreslår att det i 2 kap. 4 § dataskyddslagen ska finnas en förtydligande bestämmelse på motsvarande sätt som i fråga om rättslig förpliktelse, dvs. att personuppgifter får be-

handlas med stöd av artikel 6.1 e om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av bl.a. lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.4). Vidare konstaterar Dataskyddsutredningen att statliga och kommunala myndigheters verksamhet i allt väsentligt är av allmänt intresse och att det är den rättsliga grunden i artikel 6.1 e som vanligen bör tillämpas av myndigheter. Dataskyddsutredningen anför vidare följande.

Myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering av myndigheternas obligatoriska uppgifter krävs därmed inte på generell nivå för att myndigheter ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra sina uppgifter.

Utredningen konstaterar att statliga högskolor och SCB är myndigheter och att deras uppgift att föra olika register regleras i förordning. Bedömningen är därför att förandet av de olika registren är en för statliga högskolor och SCB i svensk rätt fastställd uppgift av allmänt intresse.

Vidare har UHR, enligt 2 § förordningen med instruktion för Universitets- och högskolerådet, till uppgift att på uppdrag av universitet och högskolor som omfattas av högskolelagen eller av enskilda utbildningsanordnare som har tillstånd att utfärda examina enligt lagen om tillstånd att utfärda vissa examina biträda vid antagning av studenter och ansvara för ett samordnat antagningsförfarande.

Av 4 kap. 1 § första stycket förordningen om redovisning av studier m.m. vid universitet och högskolor framgår att UHR får föra ett antagningsregister och där ange uppgifterna individuellt för varje student. Vidare anges att registret får föras med hjälp av automatiserad behandling. Av andra stycket framgår att ändamålet med registret är att bl.a. vara till hjälp för högskolor vid antagning av studenter.

Mot bakgrund av angivna bestämmelser finns det, enligt utredningens mening, därmed en i svensk rätt fastställd uppgift av allmänt intresse för UHR:s del att föra ett antagningsregister.

Utredningen konstaterar sammanfattningsvis att det för statliga högskolor och SCB finns två i svensk rätt fastställda rättsliga grunder till stöd för behandling av personuppgifter i deras respektive register, artikel 6.1 c och första ledet i artikel 6.1 e, dvs. rättslig förpliktelse och uppgift av allmänt intresse. För UHR:s del är den rättsliga grunden uppgift av allmänt intresse tillämplig.

Vidare framgår det av artikel 6.2 att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva punkt 6.1 c och e. Enligt artikel 6.3 andra stycket andra meningen kan dessutom den rättsliga grunden, som fastställs i den nationella rätten, innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen i form av bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.

Dataskyddsförordningen medger således att det i nationell rätt finns sådana regleringar (registerförfattningar) som införts genom t.ex. förordningen om redovisning av studier m.m. vid universitet och högskolor.

Vidare ska, enligt artikel 6.3 andra stycket sista meningen i dataskyddsförordningen, den rättsliga regleringen uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Utredningen konstaterar att förordningen om redovisning av studier m.m. vid universitet och högskolor tillkommit i den ordning som regeringsformen utpekar för föreskrifter av nu aktuellt slag. Bestämmelserna har bedömts relevanta och proportionerliga av regeringen. Inte heller har såvitt framkommit någon tillsynsmyndighet uttalat någon kritik eller tveksamhet i dessa avseenden. Det är därför rimligt att utgå från att de ändamål m.m. som fastställts i samband med författningsarbetet är relevanta och proportionerliga i förhållande till det integritetsintrång behandlingarna kan innebära. Denna bedömning är giltig även i de avseenden som avses i dataskyddsförordningen. Utredningen har inte heller vid genomgången av förordningen funnit några exempel på bestämmelser som kan sägas vara

irrelevanta eller oproportionerliga. Utredningen anser således att föreskrifterna uppfyller kraven i artikel 6.3 andra stycket i dataskyddsförordningen.

Med anledning av att dataskyddsförordningen och en ny generell lagstiftning som i vissa delar kompletterar förordningen ska börja tillämpas, påkallas dock ställningstaganden till och ändringar i vissa av bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor. En genomgång av befintliga bestämmelser görs i följande avsnitt.

5.6.3. Behov av ändringar med anledning av dataskyddsförordningen

Förslag: I 1 kap. 1 § andra stycket ska hänvisningen till person-

uppgiftslagen utgå.

Det ska införas en ny paragraf, 1 a §, i vilken det ska upplysas om att förordningen kompletterar dataskyddsförordningen. Vidare ska förhållandet till dataskyddslagen regleras.

Bestämmelserna i 1 kap. 4–6 §§ om information, rättelse och skadestånd samt överklagande ska upphävas. Rubrikerna närmast före nämnda paragrafer samt närmast före 1 § ska utgå.

Bestämmelsen i 2 kap. 1 § tredje stycket ska upphävas. Bestämmelserna i 2 kap. 5 a § och 4 kap. 3 §, vilka reglerar högskolornas respektive UHR:s möjligheter att behandla känsliga personuppgifter i antagningsärenden, ska ändras på så sätt att de ska hänvisa till artikel 9.1 i dataskyddsförordningen i stället för till 13 § PUL.

Förordningen om redovisning av studier m.m. vid universitet och högskolor består av fyra kapitel. Det första kapitlet innehåller allmänna bestämmelser. I det andra kapitlet finns bestämmelser om studieregister. Personuppgiftsbehandlingen i Ladok träffas av regleringen i detta kapitel. Det tredje kapitlet innehåller bestämmelser om rapportering och framställning av officiell statistik. Slutligen, i det fjärde kapitlet, finns bestämmelser om antagningsregister. Personuppgiftsbehandlingen i UHR:s antagningssystem NyA omfattas av regleringen i detta kapitel. Nedan redogörs för regleringen i respektive paragraf och vilka behov av ändringar som utredningen anser är

påkallade med anledning av att dataskyddsförordningen ska börja tillämpas.

1 kap. 1 §

Första stycket

I första stycket anges att det i förordningen finns bestämmelser om registrering av uppgifter om studier inom utbildning på grundnivå, avancerad nivå och forskarnivå vid statliga universitet och högskolor. Bestämmelserna i förordningen gäller således inte för enskilda utbildningsanordnare. I första stycket anges vidare att det i förordningen finns bestämmelser om rapportering av uppgifter till SCB om studenter för officiell statistik, framställning av personalstatistik vid SCB och registrering av uppgifter om studie- och yrkesmeriter vid UHR.

Upplysningsbestämmelserna i första stycket om förordningens tillämpningsområde saknas det skäl att ändra, eftersom de enligt utredningens bedömning är förenliga med dataskyddsförordningen.

Andra stycket

I andra stycket finns en upplysning om att förordningen gäller utöver personuppgiftslagen vid helt eller delvis automatiserad behandling av personuppgifter.

När dataskyddsförordningen ska börja tillämpas kommer personuppgiftslagen att upphävas. Hänvisningen till personuppgiftslagen ska således utgå. I övrigt saknas det enligt utredningens bedömning skäl till ändring av andra stycket. I sammanhanget aktualiseras dock frågan om behovet av att upplysa om och reglera förhållandet till bestämmelserna i dataskyddsförordningen och dataskyddslagen.

Dataskyddsförordningen är direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Förordningen om redovisning av studier m.m. vid universitet och högskolor innehåller endast sådana tillåtna bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen. För att tillämparen ska få en fullständig bild av vilken reglering som gäller bör en bestämmelse med en upplysning om att dataskyddsförordningen gäller tas in i förordningen.

Dataskyddslagen kommer, på samma sätt som personuppgiftslagen, att vara subsidiär i förhållande till annan lagstiftning om behandling av personuppgifter. Av tydlighetsskäl bör en hänvisning till dataskyddslagen införas, så som i dagsläget görs till personuppgiftslagen.

Utredningen föreslår därför att det i en ny paragraf, 1 a §, ska anges att förordningen kompletterar dataskyddsförordningen. I andra stycket ska förhållandet till dataskyddslagen regleras.

Tredje stycket

I det tredje stycket i 1 § anges att ett universitet, en högskola, SCB och UHR är personuppgiftsansvariga för behandling av personuppgifter i sin verksamhet.

Av definitionen i artikel 4.7 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

Enligt utredningens bedömning är därmed bestämmelsen i 1 kap. 1 § tredje stycket förordningen om redovisning av studier m.m. vid universitet och högskolor förenlig med dataskyddsförordningen. Bestämmelsen om vilka som är personuppgiftsansvariga kan och bör därför behållas.

1 kap. 2 och 3 §§

I 2 § anges att med högskolor avses i förordningen både universitet och högskolor. I följande paragraf finns därefter definitioner av student och doktorand. Enligt utredningens bedömning är bestämmelserna förenliga med dataskyddsförordningens bestämmelser. Skäl att ändra dessa finns följaktligen inte.

1 kap. 4 §

I 4 § regleras vilken information som ska lämnas till den som ansöker om antagning till en utbildning. Enligt bestämmelsen ska högskolan informera den sökande om att uppgifter som har lämnats, liksom uppgifter om studier kommer att behandlas automatiserat i register. Informationen ska innehålla en upplysning om att bestämmelser om registren finns i förordningen och omfatta den information som ska lämnas enligt personuppgiftslagen.

Vilken information som enligt dataskyddsförordningen ska tillhandahållas den registrerade regleras i artikel 13 och 14. I artikel 13 regleras vilken information som ska tillhandahållas om personuppgifterna samlas in från den registrerade. I artikel 14 regleras vilken information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade. Enligt artikel 13.1 c och 14.1 c ska den registrerade förses med information om ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen. Enligt artikel 14.1 d ska den registrerade även informeras om de kategorier av personuppgifter som behandlingen gäller.

Utredningen bedömer därmed att dataskyddsförordningens bestämmelser om vilken information som ska lämnas till den registrerade omfattar sådan information som en högskola enligt 1 kap. 4 § förordningen om redovisning av studier m.m. vid universitet och högskolor ska lämna till sökanden. Dataskyddsförordningens bestämmelser är direkt tillämpliga. Något skäl för att, med stöd av artikel 23, begränsa den enskildes rättigheter och de personuppgiftsansvarigas skyldigheter enligt artikel 13 och 14 föreligger enligt utredningens bedömning inte. Mot denna bakgrund anser utredningen att bestämmelsen i 1 kap. 4 § förordningen om redovisning av studier m.m. vid universitet och högskolor ska upphävas.

1 kap. 5 §

I 5 § finns en upplysning om att bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt förordningen.

I personuppgiftslagen finns bestämmelser om rättelse i 28 §. Enligt lagrummet är den personuppgiftsansvarige skyldig att på begäran

av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen. Eftersom 28 § PUL endast avser sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som utfärdats med stöd av lagen, har det i förordningen om redovisning av studier m.m. vid universitet och högskolor varit nödvändigt att hänvisa till personuppgiftslagens bestämmelser.

Enligt artikel 16 i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande.

Eftersom personuppgiftslagen kommer att upphävas behöver 5 § i förordningen om redovisning av studier m.m. vid universitet och högskolor ändras. Mot bakgrund av att dataskyddsförordningen är direkt tillämplig såvitt gäller rättelse, till skillnad mot vad som gäller enligt personuppgiftslagen, ska någon materiell bestämmelse i nationell rätt inte införas. Enligt utredningens mening saknas vidare anledning att införa en upplysningsbestämmelse om att det i förordningen finns bestämmelser om rättelse. Med hänsyn till detta föreslår utredningen att 1 kap. 5 §, i den del som avser rättelse, ska upphävas.

Som nämnts ovan anger 5 § att även bestämmelserna i personuppgiftslagen om skadestånd gäller vid behandling av personuppgifter enligt förordningen.

Enligt 48 § PUL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat. Även avseende rätten till skadestånd har det därmed varit nödvändigt att i förordningen om redovisning av studier m.m. vid universitet och högskolor hänvisa till personuppgiftslagens bestämmelser.

I dataskyddsförordningen regleras rätten till skadestånd i artikel 82. Av artikel 82.1 följer att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Av skäl 146 framgår att behandling som strider mot dataskyddsför-

ordningen även omfattar behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med dataskyddsförordningen och medlemsstaternas nationella rätt med närmare specifikation av dataskyddsförordningens bestämmelser.

Dataskyddsutredningen föreslår att 8 kap. 1 § dataskyddslagen ska innehålla en bestämmelse som upplyser om att rätten till ersättning som regleras i artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Förordningen om redovisning av studier m.m. vid universitet och högskolor är en författning som kompletterar dataskyddsförordningen.

Eftersom artikel 82 i dataskyddsförordningen är direkt tillämplig bör 1 kap. 5 § förordningen om redovisning av studier m.m. vid universitet och högskolor även upphävas i den del som avser skadestånd. Utredningen gör samma bedömning som i det föregående i fråga om behovet av att i stället göra om bestämmelsen till en upplysningsparagraf. 5 § bör följaktligen upphävas i sin helhet.

1 kap. 6 §

I 6 § anges att beslut om rättelse och avslag på ansökan om information enligt 26 § PUL får överklagas hos allmän förvaltningsdomstol följer av 22 a § förvaltningslagen.

Enligt artikel 79.1 i dataskyddsförordningen ska varje registrerad som anser att hans eller hennes rättigheter har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen ha rätt till ett effektivt rättsmedel, utöver rätten att lämna in ett klagomål till en tillsynsmyndighet. Av artikel 79.2 framgår att talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde ska väckas vid domstolarna i den medlemsstat där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad. Talan får även väckas vid domstolarna i den medlemsstat där den registrerade har sin hemvist, såvida inte den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet som agerar inom ramen för sin myndighetsutövning.

Enligt Dataskyddsutredningens förslag till 8 kap. 2 § första stycket dataskyddslagen får beslut enligt artiklarna 12.5, 15–19 eller 21 i dataskyddsförordningen som har meddelats av en myndighet i

egenskap av personuppgiftsansvarig överklagas till allmän förvaltningsdomstol. De rättigheter som kan föranleda överklagbara beslut enligt Dataskyddsutredningens förslag rör således bl.a. registerutdrag (artikel 15) och rättelse (artikel 16). Dataskyddsutredningens förslag omfattar därmed vad 1 kap. 6 § förordningen om redovisning av studier m.m. vid universitet och högskolor upplyser om. Frågan utredningen har att ta ställning till är därmed om 6 § ska ändras på så sätt att den hänvisar till dataskyddslagen i stället för som i dagsläget till personuppgiftslagen.

I förarbetena i samband med att överklagandebestämmelserna i personuppgiftslagen infördes uttalas bl.a. följande (prop. 2005/06:173 s. 53).

Genom införandet av en bestämmelse om överklagande i personuppgiftslagen är det inte längre nödvändigt att i särskilda registerförfattningar, som hänvisar till personuppgiftslagen, ta in överklagandebestämmelser. Så länge sådana särskilda bestämmelser inte upphävts gäller de dock i första hand eftersom särbestämmelser i annan författning gäller framför personuppgiftslagen (2 §). Det kan finnas anledning att vid översyn av registerförfattningar särskilt uppmärksamma frågan om överklagande.

Eftersom utredningen föreslår en bestämmelse i 1 a § andra stycket som hänvisar till dataskyddslagen där det finns en bestämmelse om överklagande, anser utredningen följaktligen att upplysningsbestämmelsen om överklagande i 1 kap. 6 § ska upphävas.

2 kap. 1 §

Första och andra stycket

Enligt 1 § första stycket ska varje högskola dokumentera uppgifter om studenter. I andra stycket anges att varje högskola ska föra ett studieregister och där ange uppgifterna individuellt för varje student. Vidare anges att registret får föras med hjälp av automatiserad behandling.

Utredningen bedömer i avsnitt 5.6.2 att det genom nu nämnda bestämmelser finns en för statliga högskolor fastställd rättslig förpliktelse och uppgift av allmänt intresse att föra ett studieregister. Vidare anser utredningen att sådana bestämmelser är möjliga att införa och behålla med stöd av artikel 6.2 och 6.3 andra stycket i dataskydds-

förordningen. Bestämmelserna i 2 kap. 1 § första och andra stycket förordningen om redovisning av studier m.m. vid universitet och högskolor är således förenliga med dataskyddsförordningen och kan och bör behållas.

Tredje stycket

Enligt 2 kap. 1 § tredje stycket ska en högskola upprätthålla en god intern kontroll över studieregistret och det ska finnas en beskrivning av hur registret förs.

I dataskyddsförordningen finns det bestämmelser om register över behandling och säkerhet i samband med behandling i artikel 30 respektive artikel 32. Dessa bestämmelser är mer preciserade och långtgående än vad 2 kap. 1 § tredje stycket förordningen om redovisning av studier m.m. vid universitet och högskolor anger. Bestämmelsen i tredje stycket kan och bör därför upphävas, eftersom bestämmelserna i dataskyddsförordningen är direkt tillämpliga.

Fjärde stycket

Av 2 kap. 1 § fjärde stycket framgår att om en högskola avser att införa ett nytt system för att föra registret eller göra väsentliga förändringar i ett befintligt system, ska högskolan samråda dels med Ekonomistyrningsverket i syfte att säkerställa att de uppgifter i registret som ligger till grund för resurstilldelningen blir tillförlitliga, dels med UKÄ och UHR i syfte att säkerställa att uppgifterna i registret uppfyller krav på kvalitet och jämförbarhet mellan olika högskolor.

Skyldigheten att i vissa fall samråda med Ekonomistyrningsverket, UKÄ och UHR tar inte direkt sikte på personuppgiftsbehandling. Någon ändring av fjärde stycket är därmed inte påkallad med anledning av att dataskyddsförordningen ska börja tillämpas.

2 kap. 2 §

I 2 § första stycket anges att ändamålet med studieregistret är att säkra att uppgifter om sökande till utbildning, genomgångna studier,

betyg över utbildningar och examina bevaras. Härutöver ska uppgifterna kunna läggas till grund för uppföljning och utvärdering, för antagning av studenter, för beslut om anmälningsavgift och studieavgift, för avstängning av studieavgiftsskyldiga studenter, för administration inom respektive högskola, för ändamål som anges i 6 och 6 a §§ (i dessa paragrafer regleras utlämnande av uppgifter), för sådan officiell statistik som avses i 3 kap. samt för resurstilldelning. Enligt andra stycket får registret användas även för forskning.

I avsnitt 5.6.2 redovisas utredningens uppfattning att tillämpliga rättsliga grunder för behandling av personuppgifter enligt 2 kap. förordningen om redovisning av studier m.m. vid universitet och högskolor är artikel 6.1 c och första ledet i artikel 6.1 e i dataskyddsförordningen, dvs. rättslig förpliktelse och uppgift av allmänt intresse. Enligt artikel 6.2 och 6.3 andra stycket är det då tillåtet att i en registerförfattning behålla specifika bestämmelser i form av bl.a. ändamålsbegränsningar. Utredningen anser följaktligen att 2 kap. 2 § förordningen om redovisning av studier m.m. vid universitet och högskolor är förenlig med dataskyddsförordningen och att bestämmelsen kan och bör behållas.

2 kap. 3 §

Av 3 § första stycket framgår att det i studieregistret ska dokumenteras uppgifter om behörighet, urvalsgrund, skyldighet att betala och betalning av anmälningsavgift och studieavgift, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet samt examen. Enligt andra stycket ska studieregistret därutöver innehålla sådana uppgifter som krävs för att högskolan ska kunna lämna uppgifter till SCB enligt 3 kap. och UHR enligt 4 kap. Av tredje stycket framgår att studieregistret också får innehålla de uppgifter om studenter som behövs för resultatredovisning.

I fråga om vilka uppgifter som ska och får behandlas i studieregistret gör utredningen motsvarande bedömning som den i 2 kap. 2 § om ändamålsbegränsningar, eftersom det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att i en registerförfattning behålla specifika bestämmelser även i form av vilken typ av uppgifter som ska behandlas. Utredningen bedömer därför att

3 § är förenlig med dataskyddsförordningen och att den kan och bör behållas.

2 kap. 4 §

Enligt 4 § ska uppgifterna i studieregistret om dels deltagande i utbildning, dels studieresultat föras i kronologisk och systematisk ordning. Underlaget för uppgifterna ska behandlas i enlighet med föreskrifterna om verifikationer i förordningen (2000:606) om myndigheters bokföring.

Även i denna del gör utredningen motsvarande bedömning som den i 2 kap. 2 § om ändamålsbegränsningar, eftersom det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att i en registerförfattning behålla specifika bestämmelser även i form av förfaranden för behandling. Utredningen bedömer således att bestämmelserna i 4 § är förenliga med dataskyddsförordningen och att de kan och bör behållas.

2 kap. 5 §

Av 5 § framgår att i studieregistret ska varje students identitet anges med hjälp av namn och personnummer. Om ett svenskt personnummer saknas, anges ett för denna student vid högskolan unikt nummer.

I fråga om att namn ska anges i studieregistret gör utredningen motsvarande bedömning som enligt ovan görs avseende 2 kap. 3 § och de uppgifter som enligt den bestämmelsen ska anges i studieregistret. Bestämmelsen i 5 § är i denna del således förenlig med dataskyddsförordningen.

I fråga om personnummer får, enligt 22 § PUL, uppgifter om personnummer eller samordningsnummer utan samtycke behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Av 50 § c PUL följer att regeringen får meddela närmare föreskrifter om i vilka fall användning av personnummer är tillåten.

Enligt artikel 87 första meningen i dataskyddsförordningen får medlemsstaterna närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt

för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen.

Dataskyddsutredningen föreslår att det i 3 kap. 13 § dataskyddslagen ska införas en bestämmelse med samma ordalydelse som 22 § PUL. Vidare föreslår Dataskyddsutredningen en bestämmelse i 3 kap. 14 § dataskyddslagen som anger att regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten. Bestämmelsen motsvarar således delvis 50 § c PUL.

Utredningen anser att det i aktuellt sammanhang är klart motiverat med hänsyn till ändamålet med behandlingen och vikten av en säker identifiering att personnummer eller annat för studenten vid högskolan unikt nummer används för identifiering. Därtill finns det ett bemyndigande för regeringen i dataskyddslagen att meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten. Sammantaget anser utredningen att 2 kap. 5 § förordningen om redovisning av studier m.m. vid universitet och högskolor även i den del som avser behandling av personnummer eller annat unikt nummer är förenlig med dataskyddsförordningen och dataskyddslagen. Paragrafen kan och bör därför behållas oförändrad.

2 kap. 5 a §

Bestämmelsen reglerar behandling av känsliga personuppgifter. I bestämmelsen anges att en högskola får behandla känsliga personuppgifter som avses i 13 § PUL i antagningsärenden, om den enskilde har lämnat samtycke till detta.

Enligt 13 § första stycket PUL är det förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Av andra stycket framgår att det också är förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. I tredje stycket anges att uppgifter av den art som anges i första och andra styckena betecknas som känsliga personuppgifter.

Från förbudet i 13 § PUL finns ett antal undantag, bl.a. om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen (15 § PUL).

Personuppgiftslagen kommer att upphävas när dataskyddsförordningen ska börja tillämpas. Bestämmelsen i 2 kap. 5 a § förordningen om redovisning av studier m.m. vid universitet och högskolor behöver därför ändras.

Enligt artikel 9.1 i dataskyddsförordningen ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden.

Det är således i artikel 9.1 i dataskyddsförordningen som motsvarande reglering som den i 13 § PUL finns. Utredningen konstaterar att artikel 9.1 skiljer sig från 13 § PUL på så sätt att genetiska och biometriska uppgifter samt uppgifter om sexuell läggning ingår i uppräkningen av vilka kategorier som det enligt huvudregeln är förbjudet att behandla.

Eftersom 2 kap. 5 a § förordningen om redovisning av studier m.m. vid universitet och högskolor anger att känsliga personuppgifter får behandlas om den enskilde har lämnat samtycke till detta, är det utredningens uppfattning att den personuppgiftsansvarige inte kan åberopa några andra grunder för sådan behandling (jfr 1 kap. 1 § andra stycket förordningen och 2 § PUL). Genom bestämmelsen har således möjligheten att behandla känsliga personuppgifter begränsats till de situationer då den registrerade har lämnat sitt samtycke. Utredningen anser därför att motsvarande begränsning av tillämpliga rättsliga grunder ska gälla för behandling av de kategorier av uppgifter som anges i artikel 9.1 i dataskyddsförordningen, dvs. även de som inte anges i 13 § PUL. Utredningen anser därför att 2 kap. 5 a § ska ändras på så sätt att en hänvisning görs till artikel 9.1 i dataskyddsförordningen i stället. Med hänsyn till att den generella reglering som Dataskyddsutredningen föreslår inte gäller om något annat framgår av lag eller förordning kommer inte heller den regleringen i vad den avser känsliga personuppgifter att vara tillämplig på behandling av personuppgifter som faller inom tillämpningsområdet för

2 kap. förordningen om redovisning av studier m.m. vid universitet och högskolor.

2 kap. 6 och 6 a §§

I 6 § regleras under vilka förutsättningar uppgifter från en högskolas studieregister får lämnas ut på medium för automatiserad behandling till andra högskolor, ett lärosäte eller en myndighet i en annan stat inom EES eller i Schweiz, en studentkår eller en nation, en student, CSN, UHR, SCB, Vetenskapsrådet, Verket för innovationssystem, Forskningsrådet för miljö, areella näringar och samhällsbyggande, Forskningsrådet för hälsa, arbetsliv och välfärd, Svenska Institutet, UKÄ och andra myndigheter.

Enligt 6 a § första stycket ska högskolorna utan dröjsmål till Migrationsverket lämna ut uppgift om att en studieavgiftsskyldig student har antagits till en utbildning och om en sådan student inte har registrerat sig på utbildningen. I andra stycket anges att om det, utifrån de uppgifter som finns registrerade om en studieavgiftsskyldig student, finns anledning att anta att studenten har avbrutit sina studier, ska högskolan meddela Migrationsverket detta. Enligt tredje stycket får de uppgifter som avses i första och andra styckena lämnas ut på medium för automatiserad behandling.

I fråga om utlämnande av uppgifter på medium för automatiserad behandling gör utredningen motsvarande bedömning som den i 2 kap. 2 § om ändamålsbegränsningar, eftersom det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att i en registerförfattning behålla specifika bestämmelser om de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, typer av behandling och förfaranden för behandling. Utredningen bedömer därför att bestämmelserna i 6 och 6 a §§ är förenliga med dataskyddsförordningen och att de kan och bör behållas.

2 kap. 7 och 8 §§

I 7 § första stycket anges att för gallring av studieregistret gäller 10 § första och andra styckena arkivlagen (1990:782), om inte något annat föreskrivs i förordningen. Av nämnda bestämmelser i arkivlagen framgår att allmänna handlingar får gallras. Vid gallring ska dock all-

tid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose de ändamål som anges i 3 § tredje stycket arkivlagen, dvs. rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov.

Enligt 2 kap. 7 § andra stycket förordningen om redovisning av studier m.m. vid universitet och högskolor får dock vissa uppgifter inte gallras. Detta gäller för uppgifter om den utbildning som en student har genomgått med godkänt resultat eller fått tillgodoräkna sig vid högskolan, studentens betyg i godkända prov och den eller de examina som studenten har avlagt.

Av tredje stycket framgår att uppgifter om en sökande som inte har antagits till utbildning vid högskolan eller om en sökande som har antagits men inte påbörjat sina studier ska gallras så snart det kan göras med hänsyn till högskolans eget behov av material för uppföljningar och statistiska bearbetningar, kraven på resultatredovisning och kraven på rapportering för den officiella statistiken.

Enligt 8 § ska en uppgift om medborgarskap som högskolan behöver för beslut om skyldighet att betala anmälningsavgift eller studieavgift gallras så snart studieregistret har uppdaterats med uppgift om huruvida studenten tillhör den personkrets som ska betala anmälningsavgift eller studieavgift.

Utredningen gör även i fråga om gallringsbestämmelserna i 7 och 8 §§ motsvarande bedömning som den i 2 kap. 2 § om ändamålsbegränsningar, eftersom det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att i en registerförfattning behålla specifika bestämmelser även i form av lagringstid. Utredningen bedömer därför att bestämmelserna i 7 och 8 §§ är förenliga med dataskyddsförordningen och att de kan och bör behållas.

3 kap. 1 §

Enligt den inledande bestämmelsen i tredje kapitlet ska SCB föra ett universitets- och högskoleregister och där ange uppgifterna individuellt för varje student. Vidare anges att registret får föras med hjälp av automatiserad behandling.

Utredningen bedömer, vilket redovisas i avsnitt 5.6.2, att det genom bestämmelserna i första stycket finns en för SCB fastställd rättslig förpliktelse och uppgift av allmänt intresse att föra ett universitets- och högskoleregister. Utredningen anger också att sådana bestämmelser är möjliga att införa och behålla med stöd av artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen. Bestämmelserna i 3 kap. 1 § är således förenliga med dataskyddsförordningen. Paragrafen kan och bör därmed behållas.

3 kap. 2 §

Ändamålet med SCB:s universitets- och högskoleregister anges i 2 §. Av bestämmelsen framgår att registret får användas av SCB för att ge underlag för att framställa sådan officiell statistik över utbildningen vid landets högskolor som behövs för uppföljning, utvärdering och information samt annan statistik, om ändamålet med behandlingen inte är oförenligt med nämnda ändamål. Vidare anges att registret också får användas för forskning.

I avsnitt 5.6.2 redovisas utredningens uppfattning att tillämpliga rättsliga grunder för behandling av personuppgifter enligt 3 kap. förordningen om redovisning av studier m.m. vid universitet och högskolor är artikel 6.1 c och första ledet i artikel 6.1 e i dataskyddsförordningen, dvs. rättslig förpliktelse och uppgift av allmänt intresse. Utredningen gör därför motsvarande bedömning som i fråga om ändamålsbegränsningarna i 2 kap. 2 §. Utredningen anser följaktligen att ändamålsbestämmelserna i 3 kap. 2 § förordningen om redovisning av studier m.m. vid universitet och högskolor är förenliga med dataskyddsförordningen. Paragrafen kan och bör därför behållas.

3 kap. 3–7 §§

Bestämmelsernas innehåll

Enligt 3 § ska SCB:s universitets- och högskoleregister innehålla uppgifter om samtliga studenter i utbildning på grundnivå och avancerad nivå. Uppgifterna får hämtas från högskolornas studieregister, dvs. Ladok, och ska omfatta identitetsuppgifter, uppgifter om högskola, registrering på kurser per termin eller kalenderhalvår, skyl-

dighet att betala och betalning av anmälningsavgift och studieavgift, eventuellt utbildningsprogram som studenten har antagits till, avklarade högskolepoäng på kurser för varje termin eller kalenderhalvår. För avlagd examen ska uppgifterna i SCB:s register omfatta examens namn och nivå, inriktning, omfattning i högskolepoäng, datum för utfärdande av examensbevis och det huvudsakliga området för utbildningen för en kandidat-, magister- eller masterexamen. För varje kurs ska uppgifterna i registret omfatta om kursen är på grundnivå eller avancerad nivå, kursens ämnesgrupp enligt den definition som SCB använder, utbildningsområde, fördjupning enligt högskolans bedömning och kursens omfattning i högskolepoäng, kurstakt, kurstid och distributionsform, den kommun eller det land där kursen huvudsakligen ges samt termin då kursen ges. För studenter som har avlagt en generell eller konstnärlig examen på avancerad nivå ska uppgifterna i registret omfatta tidigare avlagd examen enligt examenskraven för den aktuella examen på avancerad nivå.

Av 3 kap. 4 § följer att vissa uppgifter från andra register inom SCB får påföras SCB:s universitets- och högskoleregister. Uppgifter som får påföras är genomgången linje, program eller kurs i gymnasieskolan, annan utbildningsbakgrund samt betyg. Även uppgifter om boendekommun före och efter högskolestudierna får tillföras registret, liksom uppgift om det land där studenten har genomgått utbildning som gett behörighet till den sökta utbildningen på grundnivå eller avancerad nivå.

Enligt 3 kap. 5 § får uppgifter från systemen för antagning av studenter vid högskolorna och UHR, dvs. från antagningssystemet NyA, föras in i SCB:s universitets- och högskoleregister. Uppgifter som får föras in är identitetsuppgifter och uppgifter om kurs, utbildningsprogram och högskola som studenten sökt respektive antagits till, studentens prioritering av de sökta utbildningarna, behörighet, skyldighet att betala och betalning av anmälningsavgift och studieavgift.

I 3 kap. 6 § regleras vilka uppgifter från CSN:s register (STIS) som får påföras SCB:s universitets- och högskoleregister. Uppgifter som får påföras är identitetsuppgifter och uppgifter om utbetalade studiemedel fördelade på bidrag och lån per kalenderhalvår samt uppgifter om utlandsstudier.

Av 3 kap. 7 § framgår att registret även ska innehålla uppgifter om samtliga doktorander. Uppgifterna får hämtas från högskolornas

studieregister, dvs. Ladok, och ska omfatta identitetsuppgifter, datum för antagning och termin för studiernas påbörjande, ämne och högskola samt sådan forskarskola som regeringen bestämt, terminsvis registrering och aktivitet, typ av studiefinansiering, tidigare utbildning som gett behörighet till utbildningen på forskarnivå, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet i högskolepoäng och om tillgodoräknandet avser utbildning på grundnivå eller avancerad nivå, högskola i Sverige eller det land där doktoranden har genomgått utbildning, och för avlagd examen: examens namn och ämne samt datum för utfärdande av examensbevis.

Utredningens överväganden

I fråga om vilka uppgifter som ska eller får behandlas i SCB:s universitets- och högskoleregister, med undantag för personnummer, gör utredningen motsvarande bedömning som den i 2 kap. 3 §, där det regleras vilka uppgifter som ska eller får finnas i högskolornas studieregister. Utredningen bedömer därför att 3 kap. 3–7 §§ i dessa delar är förenliga med dataskyddsförordningen och att de kan och bör behållas.

Vad gäller personnummer anges det inte uttryckligen i 3 kap. 3–7 §§ att personnummer ska eller får behandlas i registret. I bestämmelserna anges endast identitetsuppgifter. I gallringsbestämmelserna i 3 kap. 8 § anges dock i andra stycket att uppgift om bl.a. personnummer får gallras efter 30 år. Enligt bestämmelserna i 3 kap. ska eller får således uppgift om personnummer behandlas i SCB:s universitets- och högskoleregister.

I fråga om regleringen av användning av personnummer i SCB:s universitets- och högskoleregister är förenlig med dataskyddsförordningen gör utredningen motsvarande bedömning som den i 2 kap. 5 §. Utredningen bedömer därför att 3 kap. 3–7 §§ i dessa delar är förenliga med dataskyddsförordningen och dataskyddslagen och att de kan och bör behållas.

Sammanfattningsvis anser utredningen att bestämmelserna i 3 kap. 3–7 §§ i sin helhet är förenliga med dataskyddsförordningen och dataskyddslagen. De kan och bör därför behållas.

3 kap. 8 §

Bestämmelser om gallring av uppgifterna i SCB:s universitets- och högskoleregister finns i 8 §. För gallring gäller, enligt första stycket, 10 § första och andra styckena arkivlagen, om inte något annat föreskrivs i förordningen. I första stycket görs således samma hänvisning till arkivlagens bestämmelser som i 2 kap. 7 § första stycket. Som angetts ovan anger aktuella bestämmelser i arkivlagen att allmänna handlingar under vissa förutsättningar får gallras.

Enligt andra stycket i 3 kap. 8 § får uppgifter om personnummer och högskola gallras efter 30 år. Uppgifter om en sökande som inte har antagits till utbildning vid en högskola eller om en sökande som har antagits men inte påbörjat sina studier ska, enligt tredje stycket, gallras efter tio år.

Utredningen gör i fråga om gallringsbestämmelserna i 8 § motsvarande bedömning som den om gallringsbestämmelserna i 2 kap. 7–8 §§. Utredningen bedömer således att bestämmelserna i 3 kap. 8 § är förenliga med dataskyddsförordningen. Paragrafen kan och bör därmed behållas.

3 kap. 9 §

Som framgått ovan ska eller får SCB:s universitets- och högskoleregister, enligt 3 kap. 3–7 §§, innehålla ett stort antal uppgifter. Hur dessa uppgifter ska rapporteras till SCB får SCB, efter samråd med UKÄ och högskolorna, meddela närmare föreskrifter om. Detta framgår av 3 kap. 9 §. Några sådana myndighetsföreskrifter har dock inte meddelats.

Enligt 8 kap. 11 § regeringsformen får regeringen bemyndiga en myndighet under regeringen att meddela föreskrifter enligt 7 §. Dataskyddsförordningen hindrar inte att regeringen i här aktuellt avseende överlåter den normgivningskompetens regeringen har enligt 8 kap. 7 § regeringsformen. Utredningens bedömning är således att 3 kap. 9 § förordningen om redovisning av studier m.m. vid universitet och högskolor är förenlig med dataskyddsförordningen. Paragrafen kan och bör därför behållas.

3 kap. 10 §

Bestämmelserna i 3 kap. reglerar inte bara SCB:s universitets- och högskoleregister. Enligt 10 § första stycket ska SCB även framställa statistik över högskolornas personal. Som underlag för statistiken ska SCB, ur sådana register som finns inom SCB, sammanställa ett antal uppgifter om de personer som är anställda vid en högskola. Uppgifterna avser identitet, högskola, anställningskategori, grupper av ämnen som en lärare och övrig personal huvudsakligen är verksam inom, arbetets omfattning och om personen har en anställning tills vidare eller en tidsbegränsad anställning, utbildningsbakgrund och högskola där examen avlagts. Enligt andra stycket ska uppgifterna sammanställas i ett register som förs med hjälp av automatiserad behandling.

Utredningen redovisar i avsnitt 5.6.2 ställningstagandet att det genom bestämmelserna i 10 § finns en för SCB fastställd rättslig förpliktelse och uppgift av allmänt intresse att föra ett register av här aktuellt slag. Vidare bedömer utredningen att sådana bestämmelser är möjliga att införa och behålla med stöd av artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen.

I fråga om vilka uppgifter som ska behandlas i registret gör utredningen, med undantag för personnummer, motsvarande bedömning som de i 2 kap. 3 § och 3 kap. 3–7 §§, i vilka det regleras vilka uppgifter som ska eller får behandlas i högskolornas studieregister respektive SCB:s universitets- och högskoleregister. Uppräkningen i 3 kap 10 § av vilka uppgifter som ska finnas i SCB:s register över högskolornas personal är således förenlig med dataskyddsförordningen.

I fråga om personnummer anges det inte uttryckligen i 10 § att personnummer ska anges, utan endast identitetsuppgifter. Liksom fallet är med begreppet identitetsuppgifter i 3–7 §§ torde detta även i 10 § omfatta personnummer. Utredningen gör i denna del motsvarande bedömning som i 3–7 §§, dvs. att regleringen om användning av identitetsuppgifter (personnummer) är förenlig med dataskyddsförordningen och dataskyddslagen.

Sammanfattningsvis anser utredningen således att bestämmelserna i 3 kap. 10 § är förenliga med dataskyddsförordningen och att de kan och bör behållas.

4 kap. 1 §

4 kap. förordningen om redovisning av studier m.m. vid universitet och högskolor har getts rubriken ”Antagningsregister”. Personuppgiftsbehandlingen i UHR:s antagningssystem NyA omfattas av regleringen i detta kapitel.

Av 1 § första stycket framgår att UHR får föra ett antagningsregister och där ange uppgifterna individuellt för varje student. Vidare anges att registret får föras med hjälp av automatiserad behandling. Enligt andra stycket är ändamålet med registret att vara till hjälp för högskolor vid antagning av studenter. Uppgifterna får också användas för ändamål som anges i 4 § (där utlämnande av uppgifter regleras), för sådan officiell statistik som avses i 3 kap. och för forskning.

Utredningen redovisar i avsnitt 5.6.2 bedömningen att det genom nu nämnda bestämmelser finns en för UHR fastställd uppgift av allmänt intresse att föra ett antagningsregister. Vidare har utredningen kommit fram till att sådana bestämmelser är möjliga att införa och behålla med stöd av artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen. Enligt nämnda artiklar är det vidare, när den rättsliga grunden är uppgift av allmänt intresse, även tillåtet med särskilda bestämmelser om ändamålsbegränsningar.

Sammanfattningsvis är bestämmelserna i 4 kap. 1 § förordningen om redovisning av studier m.m. vid universitet och högskolor förenliga med dataskyddsförordningens bestämmelser. Paragrafen kan och bör därför behållas.

4 kap. 2 §

Enligt 2 § första stycket får uppgifterna i antagningsregistret hämtas in från högskolornas studieregister, och får då omfatta de uppgifter som anges i 2 kap. 3 § första stycket (se ovan). Vidare får det i antagningsregistret finnas uppgifter om behörighetsgrundande meriter, urvalsgrundande meriter och uppgifter samt de uppgifter i övrigt som en student åberopar i samband med antagning till en utbildning, med undantag för sådana uppgifter som en student lämnar in som underlag för beslut om anmälningsavgift eller studieavgift. Av andra stycket framgår att varje students identitet ska anges på det sätt som föreskrivs i 2 kap. 5 §, dvs. med namn och personnummer eller, om

ett svenskt personnummer saknas, ett för denna student vid högskolan unikt nummer.

Av artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen framgår att det är tillåtet med särskilda bestämmelser om vilken typ av uppgifter som får behandlas när den rättsliga grunden är uppgift av allmänt intresse.

I fråga om regleringen av användning av personnummer eller ett för studenten vid högskolan unikt nummer gör utredningen motsvarande bedömning som den i 2 kap. 5 §, dvs. att bestämmelserna är förenliga med dataskyddsförordningen och dataskyddslagen.

Sammanfattningsvis anser utredningen att 4 kap. 2 § i sin helhet är förenlig med dataskyddsförordningen och att paragrafen kan och bör behållas.

4 kap. 3 §

Enligt 3 § får UHR behandla känsliga personuppgifter som avses i 13 § PUL i antagningsärenden, om den enskilde har lämnat samtycke till det.

Utredningen gör här motsvarande bedömning som i fråga om 2 kap. 5 a §, dvs. att bestämmelsen ska ändras på så sätt den hänvisar till artikel 9.1 i dataskyddsförordningen i stället.

4 kap. 4 §

I 4 § finns bestämmelser om utlämnande av uppgifter. Under vissa där angivna förutsättningar får uppgifter på medium för automatiserad behandling lämnas ut från antagningsregistret till en högskola, CSN, SCB, en student, Svenska institutet och Säkerhetspolisen.

När den rättsliga grunden är uppgift av allmänt intresse är det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen tilllåtet med särskilda bestämmelser om de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, typer av behandling och förfaranden för behandling. Bestämmelserna i 4 § är enligt utredningens bedömning således förenliga med dataskyddsförordningen. Paragrafen kan och bör därför behållas.

4 kap. 5 §

Enligt 5 § får den registrerade ha direktåtkomst till sådana personuppgifter om sig själv i antagningsregistret som får lämnas ut till henne eller honom. Vid sådan direktåtkomst ska den registrerades identitet kontrolleras genom en säker metod för identifiering.

I dataskyddsförordningen finns inga särskilda bestämmelser om direktåtkomst, utan det krävs – i likhet med vad som gäller för all behandling av personuppgifter – att behandlingen uppfyller de krav som dataskyddsförordningen ställer, bl.a. de grundläggande krav som finns i artikel 5. Utredningen gör i denna del därför motsvarande bedömning som i fråga om föregående paragraf. Bestämmelserna i 4 kap. 5 § kan och bör således behållas.

4 kap. 6 §

Fjärde kapitlet i förordningen avslutas med bestämmelser om gallring i 6 §. I första stycket anges, på motsvarande sätt som i gallringsbestämmelserna i 2 kap. 7 § och 3 kap. 8 §, att för gallring av antagningsregistret gäller 10 § första och andra styckena arkivlagen, om inte något annat föreskrivs i förordningen. Enligt andra stycket i 6 § ska uppgifter om en student gallras tio år efter det att uppgifterna senast har påförts. En uppgift om medborgarskap som UHR behöver som underlag för beslut om anmälningsavgift eller studieavgift ska, enligt tredje stycket, gallras så snart antagningsregistret har uppdaterats med uppgift om huruvida studenten tillhör den personkrets som ska betala anmälningsavgift eller studieavgift.

När den rättsliga grunden är uppgift av allmänt intresse är det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen tillåtet med särskilda bestämmelser om lagringstid. Bestämmelserna i 4 kap. 6 § är enligt utredningens mening således förenliga med dataskyddsförordningen. Paragrafen kan och bör därför behållas.

Sammanfattning

Enligt ovan har utredningen kommit fram till att hänvisningen till personuppgiftslagen i 1 kap. 1 § andra stycket ska utgå och att den i en ny paragraf, 1 a §, ska ersättas med en upplysningsbestämmelse

om dataskyddsförordningen samt en reglering om förhållandet till dataskyddslagen.

Utredningen anser vidare att bestämmelserna i 1 kap. 4–6 §§ om information, rättelse och skadestånd samt överklagande ska upphävas. Skälet är att det i fråga om information, rättelse och skadestånd finns direkt tillämpliga bestämmelser i dataskyddsförordningen. I fråga om överklagande är det tillräckligt med den reglering som Dataskyddsutredningen föreslår i dataskyddslagen.

Rubrikerna närmast före 1 kap. 4–6 ska av naturliga skäl därmed också utgå. Även rubriken närmast före 1 kap. 1 §, ”Inledning”, bör då utgå. Under denna rubrik har samtliga de bestämmelser som utredningen anser ska vara kvar, inklusive hänvisningen till personuppgiftslagen, funnits. Enligt utredningens bedömning är det därmed tillräckligt med kapitlets övergripande rubrik, ”Allmänna bestämmelser”.

I fråga om bestämmelserna i 2 kap. bedömer utredningen att bestämmelsen i 1 § tredje stycket ska upphävas, eftersom den omfattas av mer preciserad och långtgående reglering som finns i direkt tillämpliga bestämmelser i dataskyddsförordningen. Vidare bedöms att 5 a § ska ändras på så sätt att den hänvisar till artikel 9.1 i dataskyddsförordningen i stället för som i dagsläget till 13 § PUL, eftersom personuppgiftslagen kommer att upphävas när dataskyddsförordningen ska börja tillämpas.

Slutligen, i fråga om 4 kap., anser utredningen att 3 § ska ändras på motsvarande sätt som 2 kap. 5 a §, dvs. att en hänvisning ska göras till artikel 9.1 i dataskyddsförordningen i stället för som i dagsläget till 13 § PUL.

Ovan nämnda förslag till ändringar är, enligt utredningens bedömning, påkallade med anledning av att dataskyddsförordningen ska börja tillämpas. I övrigt anser utredningen att bestämmelserna är förenliga med dataskyddsförordningen och att de kan och bör behållas. Under utredningens arbete har dock kommit fram att det finns behov av ändringar som inte är motiverade utifrån att dataskyddsförordningen ska börja tillämpas. I följande avsnitt lämnas en redogörelse för vad som kommit fram i nämnda avseende.

5.6.4. Behov av översyn utifrån andra skäl än dataskyddsförordningen

Bedömning: Den tekniska utvecklingen och den praktiska han-

teringen av personuppgifter när det gäller redovisning m.m. vid universitet och högskolor har gjort att det finns ett behov av en omfattande översyn av förordningen. En sådan översyn bör innefatta analyser av bl.a. hur moderna och teknikneutrala registerförfattningar är utformade, hur detaljerat det ska anges vilka uppgifter som får eller ska behandlas, hur utlämnande av uppgifter ska regleras och om och i så fall hur direktåtkomst ska regleras.

En sådan översyn som utredningen bedömer är påkallad krävs dock inte för att anpassa förordningen till dataskyddsförordningen och den reglering som Dataskyddsutredningen har föreslagit.

Att utredningen i föregående avsnitt kommit till slutsatsen att endast ett fåtal bestämmelser i förordningen om redovisning av studier m.m. vid universitet och högskolor behöver ändras med anledning av dataskyddsförordningen innebär inte att det inte finns behov av ytterligare ändringar. Tvärtom har det under utredningens arbete blivit tydligt att det i många avseenden finns ett behov av en omfattande översyn av förordningen.

Vid genomgången av 2 och 4 kap. i förordningen har utredningen kunnat konstatera att bestämmelserna i många fall inte motsvarar de verkliga förhållandena. Exempelvis konstaterar utredningen att de statliga lärosätena för sin studieadministration använder sig av Ladok. Ladok är ett system som består av flera gemensamt tillgängliggjorda uppgiftssamlingar. Förordningens 2 kap. bygger dock på förutsättningen att varje lärosäte för ett eget, i förhållande till övriga separat, studieregister.

I 4 kap. regleras ett särskilt antagningsregister som får föras av UHR. NyA, som UHR använder sig av vid antagningsförfarandet, innehåller de uppgifter som anges i 4 kap. 2 § men systemet används inte enbart som ett register. Systemet används mest som ett handläggningssystem och uppgifterna i systemet har gjorts gemensamt tillgängliga för högskolorna som använder NyA i lika stor utsträckning som UHR.

Vidare följer bestämmelserna i 2 och 4 kap. i förordningen inte heller den lagstiftningsteknik och systematik som tillämpats i motsvarande författningar inom andra sektorer under senare år (jfr exempelvis prop. 2014/15:63 s. 60 f. och s. 78 f. samt prop. 2015/16:65 s. 35 f.). Detta är ägnat att skapa oklarheter och tillämpningssvårigheter. Det kan med fog ifrågasättas om det utifrån ett dataskyddsperspektiv är relevant att med så hög detaljeringsnivå ange exakt vilka uppgifter som lärosätena och UHR får behandla och hur behandlingen ska ske (se 2 kap. 3–5 §§ och 4 kap. 2 §) så länge ändamålen med behandlingen är noga angivet.

En översyn av bestämmelserna om utlämnande av uppgifter i 2 kap. 6 och 6 a §§ kan också vara värdefullt. I dagsläget finns det en osäkerhet om uppräkningen i 2 kap 6 § är uttömmande eller om utlämnande kan ske även till andra aktörer. Även i 4 kap. finns det anledning att se över bestämmelserna om utlämnande av uppgifter (se 4 §), bl.a. med anledning av att uppgifterna i NyA gjorts gemensamt tillgängliga för högskolorna.

Vidare kan konstateras att 4 kap. 5 § innehåller bestämmelser om direktåtkomst medan det i 2 kap. inte finns några motsvarande bestämmelser. I dagsläget har dock studenterna direktåtkomst till uppgifter i Ladok. En analys av behovet av att reglera direktåtkomst och i så fall på vilket sätt är därmed önskvärt.

Det är därför påkallat med en allmän översyn av bestämmelserna i förordningen i syfte att skapa ett tydligare och därmed rättssäkrare stöd för behandling av personuppgifter för lärosätena och UHR. Genom en modernisering av förordningens bestämmelser ökar också möjligheterna för lärosätena och UHR att ha en ändamålsenlig och effektiv personuppgiftshantering. En sådan översyn som utredningen anser är angelägen ligger dock utanför uppdraget i och med att den inte krävs med anledning av dataskyddsförordningen, den generella reglering Dataskyddsutredningen föreslår och utredningens förslag i övrigt. En sådan översyn ryms inte heller inom den tidsram som utredningen har till förfogande för att fullgöra uppdraget. Utredningen lämnar därför inga förslag i dessa delar.

6. Yrkeshögskolan och andra eftergymnasiala utbildningar

6.1. Allmänt

Yrkeshögskolan består av hundratals olika eftergymnasiala utbildningar som enligt 1 § lagen (2009:128) om yrkeshögskolan ska svara mot arbetslivets behov. Enligt 4 § får utbildning inom yrkeshögskolan anordnas av statliga universitet och högskolor, andra statliga myndigheter, kommuner, landsting och enskilda fysiska eller juridiska personer. Utbildning genom yrkeshögskolan bedrivs således av ett flertal olika aktörer på ett stort antal platser. Av Myndigheten för yrkeshögskolans (MYH) statistiska årsrapport 2017 (s. 12) framgår att det 2016 fanns 227 anordnare som bedrev utbildning inom yrkeshögskolan. Drygt hälften av dessa anordnare var privata anordnare. Av rapporten framgår vidare att det 2016 startades 739 utbildningsomgångar och att det var 1 900 omgångar som pågick under hela eller delar av kalenderåret.

Av 2 och 7 §§ lagen om yrkeshögskolan och 1 kap. 2 § förordningen (2009:130) om yrkeshögskolan framgår att yrkeshögskolan består av de utbildningar som MYH prövar och beslutar om genom ett ansökningsförfarande och som inte är utbildningar enligt högskolelagen (1992:1434) eller utbildningar som kan leda fram till en examen enligt lagen (1993:792) om tillstånd att utfärda vissa examina.

I förordningen om yrkeshögskolan finns mer detaljerade bestämmelser om bl.a. vilka krav som ställs för att en utbildning ska få ingå i yrkeshögskolan, utbildnings- och kursplaner, betyg, tillgodoräknande av utbildning och annan verksamhet, examen, tillträde till utbildning, organisation, studerandeinflytande, utvärdering och uppföljning, statlig finansiering, försäkringar och avskiljande från utbildning.

Det finns ytterligare förordningar som kompletterar lagen om yrkeshögskolan, förordningen (2017:13) om behörighetsgivande för-

utbildning inom yrkeshögskolan och förordningen (2009:131) om utbildning inom yrkeshögskolan som uppdragsutbildning. Av 1 § i först nämnda förordning framgår att behörighetsgivande förutbildning inom yrkeshögskolan syftar till att ge den studerande kunskaper som motsvarar de krav på behörighet som är uppställda för den ordinarie yrkeshögskoleutbildningen. Med uppdragsutbildning avses utbildningsverksamhet som anordnas mot ersättning från uppdragsgivare som inte är en fysisk person och där uppdragsgivaren utser den som ska få delta i utbildningen (2 § lagen om yrkeshögskolan). Till skillnad från de flesta andra utbildningar inom yrkeshögskolan saknar uppdragsutbildningar möjligheten till statlig finansiering (3 § förordningen om utbildning inom yrkeshögskolan som uppdragsutbildning).

Som nämnts ovan är det MYH som prövar och beslutar vilka utbildningar som ska ingå i yrkeshögskolan. MYH:s övriga uppgifter framgår av bl.a. förordningen (2011:1162) med instruktion för Myndigheten för yrkeshögskolan. MYH ska bl.a. svara för ett register över uppgifter om de studerande i utbildningarna inom yrkeshögskolan och i de utbildningar inom yrkeshögskolan som bedrivs som uppdragsutbildningar samt de studerandes studieresultat, betyg, examina och utbildningsbevis (2 § 5).

MYH ska också pröva frågor om stöd enligt förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar. MYH ska även svara för ett register över uppgifter om de studerande i utbildningarna och de studerandes studieresultat, betyg, intyg och utbildningsbevis (2 § 6).

Konst- och kulturutbildningar är en eftergymnasial utbildningsform som tidigare omfattades av bestämmelserna i den numera upphävda förordningen (2000:521) om statligt stöd till kompletterande utbildningar. Utbildningarna finns inom exempelvis dans, musik, teater, film, konst och mode. De bedrivs av enskilda fysiska eller juridiska personer men står under statlig tillsyn som, enligt 4 § första stycket 1 förordningen med instruktion för Myndigheten för yrkeshögskolan, utövas av MYH.

Utbildningarna får stöd genom att ställas under statlig tillsyn, förklaras berättiga de studerande till studiestöd eller berättiga till statsbidrag (1 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar). Många av utbildningarna förbereder för fortsatta studier i högskolan, t.ex. på konst-, musik- eller

teaterhögskolor. Andra leder direkt till ett yrke, såsom dansare, designer eller musikalartist. Förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar omfattar även kortare kurser som har som syfte att bevara eller utveckla kulturarvet, t.ex. stickning, smide eller folkdans.

Under 2015 överfördes 120 utbildningar från regelverket för kompletterande utbildningar till det nya regelverket för konst- och kulturutbildningar. Utbildningarna bedrevs av 42 olika organisationer fördelade på 56 skolor. Detta framgår av MYH:s statistiska årsrapport 2017 (s. 36) och MYH:s faktablad med kortfattad statistik om konst- och kulturutbildningar 2016.

6.2. Utbildningsanordnarnas behandling av personuppgifter

Av föregående avsnitt framgår att utbildningarna inom yrkeshögskolan anordnas av ett flertal olika huvudmän, både offentliga och enskilda. 2016 fanns totalt 227 anordnare. Utbildningarna som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har endast enskilda fysiska eller juridiska personer som huvudmän. Av föregående avsnitt framgår att det 2016 fanns totalt 42 organisationer, fördelade på 56 skolor, som anordnade sådana utbildningar.

Det är inte möjligt att här ange samtliga behandlingar av personuppgifter som sker hos de olika utbildningsanordnarna. Utifrån utredningens uppdrag, att det när dataskyddsförordningen ska börja tillämpas ska finnas en reglering som möjliggör en ändamålsenlig behandling inom utbildningsområdet, ges nedan en översiktlig beskrivning endast av utbildningsanordnarnas huvudsakliga behandlingar. Utbildningsanordnarnas behandlingar av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål redogörs för i avsnitt 6.4.2.

6.2.1. Yrkeshögskolan

Enligt 15 § lagen om yrkeshögskolan ska en utbildning inom yrkeshögskolan vara öppen för alla som uppfyller behörighetsvillkoren för utbildningen. Bestämmelser om behörighet finns i 3 kap. 1–4 §§ förordningen om yrkeshögskolan. Av 17 § lagen om yrkeshögskolan framgår att om inte alla behöriga sökande till en utbildning kan tas emot, ska ett urval göras bland de sökande. I 3 kap. 5–7 §§ förordningen om yrkeshögskolan finns mer specificerade bestämmelser om urval. Av dessa framgår bl.a. att tillämpliga urvalsgrunder är betyg, särskilt prov, tidigare utbildning och yrkeserfarenhet. I samband med antagning till utbildning inom yrkeshögskolan behandlas därmed personuppgifter i form av namn, personnummer, kontaktuppgifter och den sökandes olika utbildningar och meriter.

Av 2 kap. 4 § förordningen om yrkeshögskolan framgår att utbildningen ska bedrivas i form av en eller flera kurser. Enligt 2 kap. 10 och 11 §§ ska betyg sättas på en genomförd kurs med något av uttrycken Icke godkänt, Godkänt och Väl godkänt. Av 2 kap. 9 § framgår att det i den obligatoriska kursplanen ska anges vilka principer för betygssättning och former för kunskapskontroll som ska tillämpas. I bedrivandet av själva utbildningen behandlas således personuppgifter i form av i vart fall namn, personnummer och genomförda moment i undervisningen och den studerandes då erhållna resultat.

Enligt 2 kap. 12 § förordningen om yrkeshögskolan ska en studerande, under vissa förutsättningar, för en del av utbildningen kunna få tillgodoräkna sig annan genomgången utbildning eller motsvarande kunskaper, färdigheter och kompetenser som har förvärvats i yrkesverksamhet eller på annat sätt. I fråga om prövning av tillgodoräknande behandlas därmed personuppgifter i form av namn, personnummer och sökandens tidigare meriter.

Enligt 14 § lagen om yrkeshögskolan får utbildningsanordnaren utfärda utbildningsbevis och examensbevis. Av 2 kap. 13 och 14 §§ framgår vilka krav en studerande ska uppfylla för att få avsluta utbildningen med en yrkeshögskoleexamen respektive en kvalificerad yrkeshögskoleexamen. Enligt 2 kap. 15 § ska en studerande som uppfyller kraven för en examen på begäran få ett examensbevis av den ansvariga utbildningsanordnaren. En studerande som inte har fullgjort vad som krävs för en examen eller som inte begär att få ett

examensbevis ska, enligt 2 kap. 16 §, på begäran få ett utbildningsbevis. För att nämnda bevis ska kunna utfärdas behöver det behandlas personuppgifter i form av namn, personnummer, genomförda kurser och betyg.

Av 9 § första stycket lagen om yrkeshögskolan framgår att utbildning inom yrkeshögskolan, för vilken utbildningsanordnaren får statsbidrag eller särskilda medel enligt 8 §, ska vara avgiftsfri för de studerande. Enstaka inslag som de studerande får betala ett obetydligt belopp för får dock förekomma. Av tredje stycket följer att anordnare av utbildningar som inte får statsbidrag eller särskilda medel får ta ut skäliga studerandeavgifter. Behandling av personuppgifter kan därmed förekomma för att fastställa skyldighet att betala vissa avgifter och att betalning har skett.

Vidare finns det i 2 kap. 17 § förordningen om yrkeshögskolan ett bemyndigande för MYH att meddela föreskrifter om att den ansvariga utbildningsanordnaren ska lämna uppgifter till MYH om de studerande och deras studieresultat, betyg och examina. MYH får även meddela föreskrifter om på vilket sätt och när uppgifterna ska lämnas. Med stöd av bemyndigandet har MYH meddelat föreskrifter om studiedokumentation (MYHFS 2016:8).

Av 3 § framgår att utbildningsanordnarna för varje utbildning ska lämna uppgifter om de studerandes fullständiga personnummer, förnamn och efternamn. Enligt 4 § ska uppgifterna rapporteras till myndigheten genom en av myndigheten tillhandahållen digital plattform eller tjänst. För detta ändamål använder MYH sig av ett studiedokumentationssystem. Vidare ska, enligt 5 § i MYH:s föreskrifter, uppgifter om de studerandes resultat rapporteras till MYH löpande och utan dröjsmål. Om betyg inte kan sättas ska detta rapporteras. Om en kurs har tillgodoräknats ska det framgå av rapporteringen (6 §). Enligt 7 § ska kopior på examensbevis och utbildningsbevis skickas in till MYH. Av 8 § framgår att ett examensbevis ska innehålla uppgifter i form av bl.a. den studerandes fullständiga personnummer, förnamn och efternamn, examensarbete, betyg och eventuella tillgodoräknanden. Samma uppgifter, med undantag för uppgift om examensarbete, ska också finnas i ett utbildningsbevis (9 §).

6.2.2. Konst- och kulturutbildningar och vissa andra utbildningar

Enligt 24 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är den behörig att antas till utbildningen som har genomgått gymnasieskolan eller gymnasiesärskolan eller motsvarande utbildning. Behörig att antas är också den som annars bedöms kunna tillgodogöra sig utbildningen. Enligt 13 § ska det för varje utbildning finnas en utbildningsplan. Av denna ska framgå bl.a. de grunder och metoder som ska användas vid urval bland behöriga sökande till utbildningen. Av planen ska även framgå hur bl.a. behörighetsbedömningar, urval och antagning ska dokumenteras. I samband med antagning till utbildning behandlas därmed personuppgifter i form av namn, personnummer, kontaktuppgifter och den sökandes olika utbildningar och meriter.

Enligt 12 § ska utbildningen bedrivas i form av en eller flera kurser. Av 14 § framgår att det för varje kurs ska finnas en kursplan. Av kursplanen ska framgå bl.a. de former för kunskapskontroll som ska tillämpas. Det ska även framgå om betyg ska sättas på kursen och i så fall de principer för betygssättning som ska tillämpas. Enligt 15 och 16 §§ ska det efter en genomförd kurs sättas betyg eller utfärdas ett intyg. En studerande som avslutat en utbildning ska på begäran få ett utbildningsbevis av den ansvariga utbildningsanordnaren där utbildningens innehåll och den studerandes resultat anges. I bedrivandet av själva utbildningen och för utfärdandet av intyg och utbildningsbevis behandlas således personuppgifter i form av i vart fall namn, personnummer och genomförda moment i undervisningen och den studerandes då erhållna resultat.

I 24 a § anges att om det finns särskilda skäl får utbildningsanordnaren i enskilda fall besluta att den som är antagen till utbildningen får anstånd med att påbörja studierna eller fortsätta sina studier efter studieuppehåll. I samband med sådana beslut kan därmed personuppgifter behöva behandlas.

Av 10 § följer att utbildningsanordnarna får ta ut studerandeavgifter. Dessa ska dock vara skäliga i förhållande till utbildningens karaktär och de kostnader som utbildningsanordnaren har för utbildningen. Behandling av personuppgifter kan därmed förekomma för att fastställa skyldighet att betala vissa avgifter och att betalning har skett.

Av 2 § 6 förordningen med instruktion för Myndigheten för yrkeshögskolan framgår att MYH ska svara för ett register över uppgifter om de studerande i utbildningarna och de studerandes studieresultat, betyg, intyg och utbildningsbevis. Behandling av personuppgifter behöver därmed ske när utbildningsanordnarna lämnar nyss nämnda uppgifter till MYH.

6.3. Rättslig grund för personuppgiftsbehandling

6.3.1. Utredningens uppdrag i denna del

Kommittédirektiven

För att personuppgifter ska få behandlas helt eller delvis automatiskt, eller för att annan behandling ska få ske av personuppgifter som ingår i eller kommer att ingå i ett register, krävs att en rättslig grund i artikel 6.1 i dataskyddsförordningen är tillämplig. Enligt artikel 6.3 första stycket ska grunden för den behandling av personuppgifter som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den nationella rätten som den personuppgiftsansvarige omfattas av. Enligt kommittédirektiven behöver det analyseras vad dataskyddsförordningens krav i denna del innebär i fråga om nationell författningsreglering. Dataskyddsutredningen ska analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling och lämna behövliga och lämpliga författningsförslag.

När det gäller behandling av personuppgifter som utförs av myndigheter, kommuner, landsting och enskilda inom utbildningsområdet, förutom forskningsverksamhet, uppdras det åt utredningen att analysera om en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, för att säkerställa att nödvändig behandling av personuppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.

Utredningen ska därför, i fråga om de som anordnar utbildning inom yrkeshögskolan och enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar, undersöka vilken reglering på nationell nivå av personuppgiftsbehandling som är möjlig och kan behövas, utöver dataskyddsförordningen och den

generella reglering som Dataskyddsutredningen kommer att föreslå, samt lämna de författningsförslag som behövs.

Utredningens närmare utgångspunkter

I dagsläget regleras utbildningsanordnarnas personuppgiftsbehandling av personuppgiftslagen (1998:204, PUL). Den 25 maj 2018 kommer personuppgiftslagen att upphävas och dataskyddsförordningen och den av Dataskyddsutredningen föreslagna lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) ska börja tillämpas.

För utbildningsanordnarna innebär detta att de måste ha stöd för sin behandling i en rättslig grund enligt artikel 6.1 i dataskyddsförordningen, om behandlingen helt eller delvis företas på automatisk väg eller om behandlingen avser personuppgifter som ingår i eller kommer att ingå i ett register. Möjliga grunder för behandling av personuppgifter kommer huvudsakligen att vara att den registrerade har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål (6.1 a), att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (6.1 c) eller att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (6.1 e).

För enskilda utbildningsanordnare finns möjligheten att använda sig av ytterligare en grund i dataskyddsförordningen, nämligen för sådan behandling som är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (6.1 f).

Beträffande de rättsliga grunderna i artikel 6.1 c och e i dataskyddsförordningen krävs, enligt artikel 6.3 första stycket, att de är fastställda i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av för att de ska vara tillämpliga. Detta är nytt i jämförelse med personuppgiftslagen. Såsom redogjorts för i avsnitt 3.4.1 bedömer Dataskyddsutredningen att det med grunden för behandlingen i artikel 6.3 första stycket avses den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen. Enligt Dataskyddsutredningens bedömning

innebär kravet på att grunden för behandlingen ska fastställas inte att det krävs en särskild reglering med anledning av att dataskyddsförordningen ska börja tillämpas. Förekomsten av reglering avgör dock i vilken utsträckning personuppgiftsansvariga kan åberopa de rättsliga grunder som avses i artikel 6.1 c och e (SOU 2017:39, avsnitt 8.3.1).

Av artikel 6.3 andra stycket framgår att syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Vidare anges att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

De första frågor som utredningen har att ta ställning till är om det finns en eller flera rättsliga grunder som är tillämpliga för utbildningsanordnarnas behandling av personuppgifter. Om utredningen kommer fram till att utbildningsanordnarna fullgör en rättslig förpliktelse eller utför en uppgift av allmänt intresse eller att det i deras verksamhet finns inslag av myndighetsutövning, måste det även undersökas vilket rättsligt stöd det finns för verksamheterna att utföra dessa uppgifter, dvs. om grunderna är fastställda i svensk rätt. Eftersom utredningen bedömer att uppgift av allmänt intresse är den rättsliga grund som utbildningsanordnarna oftast kan tillämpa vid behandling av personuppgifter, är det utbildningsanordnarnas möjligheter att tillämpa den grunden som först kommer att analyseras.

6.3.2. Uppgift av allmänt intresse

Bedömning: Genom bestämmelser i lagen om yrkeshögskolan

med anslutande föreskrifter och beslut fattade med stöd av dessa är det i svensk rätt fastställt att anordnande och bedrivande av eftergymnasiala yrkesutbildningar är en uppgift av allmänt intresse.

Genom bestämmelser i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med anslutande myndighetsföreskrifter och beslut meddelade med stöd av dessa

är det i svensk rätt fastställt att anordnande och bedrivande av sådana utbildningar också är en uppgift av allmänt intresse.

Artikel 6.1 e i dataskyddsförordningen kan därmed utgöra rättslig grund för nödvändig personuppgiftsbehandling för att utöva verksamhet som har sin grund i nämnda föreskrifter när personuppgiftslagen upphävs. Det finns således inget behov av en särskild reglering för att utbildningsanordnarna ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse.

Är anordnande och bedrivande av eftergymnasiala yrkesutbildningar m.fl. en fastställd uppgift av allmänt intresse?

Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Av första ledet i artikel 6.1 e framgår att en behandling är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse. Artikel 6.1 e är inte begränsad till offentliga aktörer, utan även privaträttsliga organ kan utföra en uppgift av allmänt intresse.

För att nämnda grund ska kunna tillämpas vid personuppgiftsbehandling krävs dock att uppgiften av allmänt intresse är fastställd i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3 första stycket). Dataskyddsutredningen föreslår en bestämmelse i 2 kap. 4 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig bl.a. för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av bl.a. lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning. Det är således inte tillräckligt att konstatera att det generellt föreligger en uppgift av allmänt intresse för att den aktuella grunden ska kunna tillämpas som stöd för behandling av personuppgifter. Av skäl 41 framgår vidare att den rättsliga grunden bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den.

Vad utredningen har att analysera är följaktligen om det för anordnarna av utbildning enligt lagen om yrkeshögskolan med anslutande föreskrifter samt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns en i svensk rätt fast-

ställd uppgift av allmänt intresse. Utredningen ska i så fall även analysera om den reglering där uppgiften fastställs är tydlig och precis och om dess tillämpning är förutsägbar för de personer som omfattas av den.

Yrkeshögskolan

Begreppet allmänt intresse är ett unionsrättsligt begrepp som ännu inte har definierats. I artikel 14.1 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02) anges att var och en har rätt till utbildning och till tillträde till yrkesutbildning och fortbildning. Att yrkesutbildning och fortbildning är en grundläggande rättighet talar för att i vart fall anordnande och bedrivande av eftergymnasiala yrkesutbildningar, på EU-nivå, bedöms vara en uppgift av allmänt intresse.

Av regeringsformen framgår att det allmänna ska trygga rätten till utbildning och svara för att högre utbildning finns (1 kap. 2 § andra stycket och 2 kap. 18 § första stycket). Även av svensk grundlag kan det därmed utläsas att anordnande och bedrivande av eftergymnasiala yrkesutbildningar är en uppgift av allmänt intresse.

Därtill finns lagen om yrkeshögskolan med anslutande föreskrifter som innehåller närmare bestämmelser om utbildning inom yrkeshögskolan. I förarbetena till lagen om yrkeshögskolan uttalas bl.a. följande (prop. 2008/09:68 s. 14 f., 17 f. och 20).

Utbyggnaden av högre utbildning i Sverige har under de senaste åren varit stor och är en viktig del av utbildningspolitiken. Andelen personer med eftergymnasial utbildning som är tre år lång eller längre har sedan 1990 ökat från 11 till 21 procent. Trots detta finns det från arbetslivet en efterfrågan på kvalificerad yrkeskompetens som inte tillgodoses av högskolans nuvarande utbildningsutbud. Denna efterfrågan finns inom samhällets alla sektorer och den har stadigt ökat under de senaste åren. För att möta denna efterfrågan har det inom andra statliga utbildningsformer och utanför det offentliga utbildningsväsendet utvecklats utbildningar som kombinerar teori med praktik och aktivt lärande i arbetslivet. De kunskaper och färdigheter som en studerande förvärvar i sådan utbildning bidrar till utveckling av produktionen av varor och tjänster och därmed till ekonomisk tillväxt. Kunskaperna och färdigheterna ökar även den enskildes möjligheter till ett mera aktivt samhällsliv.

[…] Det är regeringens uppfattning att utbildningssektorn behöver en utbildningsform på eftergymnasial nivå där arbetslivsgenererad kunskap är en huvudkomponent.

[…] En utbildning inom yrkeshögskolan bör normalt ge en specialiserad utbildning med inriktning mot ett definierat yrkesområde och vara grundad på faktiskt definierade behov på kort sikt. Högskoleutbildning har i jämförelse en större bredd och ett större djup, och därmed ett betydligt längre perspektiv i förhållande till arbetsmarknadens behov. Båda utbildningsformerna fyller viktiga funktioner, men på olika nivåer och med olika långa perspektiv.

Utredningen bedömer således att anordnande och bedrivande av eftergymnasiala yrkesutbildningar är en uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e i dataskyddsförordningen. Frågan är då om denna uppgift är fastställd i svensk rätt.

Vad anordnande och bedrivande av eftergymnasiala yrkesutbildningar innebär preciseras i lagen och förordningen om yrkeshögskolan. Med ett fåtal undantag gäller bestämmelserna i nämnda författningar för såväl offentliga som enskilda utbildningsanordnare.

Av 1 § lagen om yrkeshögskolan framgår att dess bestämmelser syftar till att inom yrkeshögskolan bl.a. säkerställa att eftergymnasiala yrkesutbildningar som svarar mot arbetslivets behov kommer till stånd.

Enligt 5 § ska en utbildning inom yrkeshögskolan väsentligen bygga på de kunskaper som eleverna får på nationella program i gymnasieskolan eller motsvarande kunskaper. Av 15 och 17 §§ framgår att en utbildning inom yrkeshögskolan ska vara öppen för alla som uppfyller behörighetsvillkoren för utbildningen. Om inte alla behöriga sökande kan tas emot ska ett urval göras. I förordningen om yrkeshögskolan finns det i 3 kap. mer preciserade bestämmelser om behörighet och urval.

I 6 § lagen om yrkeshögskolan anges de allmänna målen för utbildningen. Enligt lagrummet ska utbildningen ha sin grund i kunskap som genererats dels i produktionen av varor och tjänster, dels i vetenskap och utformas så att en hög kvalitet och yrkesrelevans nås. Utbildningen ska ge sådana teoretiska, praktiska och erfarenhetsbaserade kunskaper som krävs för att självständigt och i arbetslag

kunna utföra kvalificerade uppgifter i arbetslivet. Utbildningen ska präglas av såväl stark arbetslivsanknytning som teoretisk förankring. Utbildningen ska utvecklas och bedrivas i samverkan mellan arbetsliv och utbildningsanordnare. Slutligen ska utbildningen bidra till att bryta traditioner i fråga om könsbundna utbildnings- och yrkesval.

I 2 kap. förordningen om yrkeshögskolan finns mer preciserade bestämmelser om utbildningen. I kapitlet finns reglering om bl.a. utbildningens omfattning och kurser, utbildningsplan, kursplan, betyg, tillgodoräknande, examen, examens- och utbildningsbevis. MYH får utfärda föreskrifter om utbildningsplan och kursplan. MYH har i MYHFS 2009:1 fastställt vad som ska gälla för utbildningsanordnarnas kursplaner.

Genom lagen och förordningen om yrkeshögskolan, anslutande myndighetsföreskrifter samt bl.a. MYH:s beslut att en utbildning ska ingå i yrkeshögskolan, till vilket det ska bifogas bl.a. en utbildningsplan (1 kap. 4 och 5 §§ förordningen om yrkeshögskolan), finns det således tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva eftergymnasiala yrkesutbildningar innebär. Utredningen bedömer därför att det för utbildningsanordnarna finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva eftergymnasiala yrkesutbildningar. Detta innebär att samtliga åtgärder som utbildningsanordnarna företar i syfte att bedriva utbildningsverksamhet som har sin grund i nu nämnda författningar och beslut är att anse som utförande av en uppgift av allmänt intresse enligt dataskyddsförordningen. Någon ytterligare reglering behöver följaktligen inte införas för att utbildningsanordnarna ska kunna tillämpa första ledet i artikel 6.1 e för sådan personuppgiftsbehandling som är nödvändig för att utföra uppgifter och utöva verksamhet enligt lagen och förordningen om yrkeshögskolan med anslutande föreskrifter, t.ex. förordningen om behörighetsgivande förutbildning inom yrkeshögskolan, förordningen om utbildning inom yrkeshögskolan som uppdragsutbildning och Myndigheten för yrkeshögskolans föreskrifter (MYHFS 2016:8) om studiedokumentation.

Av artikel 5.2 i dataskyddsförordningen följer att det är den personuppgiftsansvarige, dvs. utbildningsanordnaren, som ska ansvara för och kunna visa att behandlingen är laglig, dvs. att det finns en rättslig grund som kan tillämpas på behandlingen. Det ankommer således på utbildningsanordnaren att bedöma om behandlingen är

nödvändig för att utföra en uppgift som har sin grund i relevanta författningar, t.ex. för att utfärda examens- eller utbildningsbevis (2 kap. 15 och 16 §§ förordningen om yrkeshögskolan), och beslut meddelade med stöd av sådana författningar. Om behandlingen saknar koppling till uppgifter och verksamhet som har sin grund i för utbildningsanordnarna relevanta författningar och beslut, kan den inte anses nödvändig för att utföra uppgiften att anordna och bedriva eftergymnasiala yrkesutbildningar. Utbildningsanordnarna måste då i egenskap av personuppgiftsansvariga avgöra om första ledet i artikel 6.1 e av annat skäl kan vara tillämplig, eller om någon annan av de rättsliga grunderna i artikel 6.1 kan tillämpas på den avsedda behandlingen.

Konst- och kulturutbildningar och vissa andra utbildningar

I föregående avsnitt redovisas utredningens bedömning att anordnande och bedrivande av eftergymnasiala yrkesutbildningar enligt lagen om yrkeshögskolan med anslutande föreskrifter och beslut meddelade med stöd av dessa är en i svensk rätt fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e och artikel 6.3 första stycket i dataskyddsförordningen. Utredningen anser att nämnda reglering är tydlig och precis samt att dess tillämpning är förutsägbar för de personer som omfattas av den. Frågan utredningen har att ta ställning till är om motsvarande gäller för de som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Av 1 § framgår att det endast är enskilda fysiska och juridiska personer som omfattas av förordningens bestämmelser. Artikel 6.1 e i dataskyddsförordningen är dock inte begränsad till offentliga aktörer, även privaträttsliga organ kan utföra en uppgift av allmänt intresse.

Som konstateras i föregående avsnitt har var och en, enligt artikel 14.1 i Europeiska unionens stadga om de grundläggande rättigheterna, rätt till utbildning och till tillträde till yrkesutbildning och fortbildning. Enligt 1 kap. 2 § andra stycket och 2 kap. 18 § första stycketregeringsformen ska det allmänna trygga rätten till utbildning och svara för att högre utbildning finns.

Av 5 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar framgår bl.a. att utbildningen ska bedrivas på en eftergymnasial nivå. Om det behövs får det dock före-

komma inslag av gymnasial karaktär. Det är således fråga om huvudsakligen eftergymnasiala studier. Av 3 och 4 §§ framgår vidare att en av förutsättningarna för att få stöd enligt förordningen är att utbildningen är en av tre olika typer.

Den första avser utbildningar som förbereder för högskoleutbildningar som kan leda fram till konstnärliga examina. Av avsnitt 5.3.2 framgår att utredningen anser att anordnande och bedrivande av högskoleutbildning är en i svensk rätt fastställd uppgift av allmänt intresse. Av 1 kap. 13 § högskolelagen framgår att ett tillstånd att utfärda examina får lämnas bara om bl.a. det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas. Utbildningar enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska således bl.a. förbereda för högskoleutbildning som kan leda fram till en konstnärlig examina som det enligt svensk rätt finns ett allmänt intresse av att sådana examina utfärdas. I MYH:s statistiska årsrapport 2016 anges bl.a. att konkurrensen om platserna på konstnärliga utbildningar inom högskolan är så hög att de sökande i praktiken måste ha genomgått någon slags förberedande utbildning för att klara antagningsproven som ofta består av arbetsprover eller auditions (s. 90). Enligt utredningens bedömning är anordnande och bedrivande av sådana utbildningar som förbereder för högskoleutbildningar som kan leda fram till konstnärliga examina därmed en uppgift av allmänt intresse.

En annan typ av utbildning som omfattas av förordningens bestämmelser är, enligt 4 §, sådan utbildning som medverkar till att utveckla ett kvalificerat yrkeskunnande inom det konstnärliga eller kulturella området. Det är således en form av eftergymnasial yrkesutbildning som, liksom övriga utbildningar enligt förordningen, står under statlig tillsyn och som kan berättiga till statsbidrag och de studerande till studiestöd. Enligt utredningens bedömning är även anordnande och bedrivande av sådana utbildningar som medverkar till att utveckla ett kvalificerat yrkeskunnande inom det konstnärliga eller kulturella området därmed en uppgift av allmänt intresse.

Den tredje och sista typen av utbildningar som omfattas av bestämmelserna i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är, enligt 4 §, sådana som har ett innehåll som syftar till att bevara eller utveckla kulturarvet. I fråga om kulturarvet uttalar regeringen i förarbetena till förslag till museilag bl.a. följande (prop. 2016/17:116 s. 63 f.).

Utöver dess kollektiva funktioner är kulturarvet också en outtömlig resurs i enskilda människors strävan efter att förstå sig själva i större sammanhang och i tiden. Kulturarvet kan användas för att utveckla kunskaper och förmågor som berikar livet och gör det möjligt att förhålla sig till den egna samtiden på nya sätt. Ett aktivt utbildnings- och bildningsarbete behövs också för att ge enskilda möjlighet att skapa reflekterande förhållningssätt till samhällets kollektiva minnen och till de berättelser om ursprung och tillhörighet vi alla är omgivna av. I kulturarvsarbetet skapas kontinuerligt ny kunskap om det förflutna, om samtiden och om vart vi som samhälle är på väg.

[…] På ett personligt plan framträder kulturarvets värden egentligen först genom försök att tillägna sig det. För att alla ska få förutsättningar att möta kulturarvet på detta sätt är det centralt att barn och unga, oavsett föräldrarnas bakgrund, får en god grund att stå på redan under utbildningstiden. I vuxen ålder är det viktigt att ha förvärvat vissa kunskaper och färdigheter för att det inte ska finnas höga trösklar att ta sig över för att få tillgång till den gemensamma historien. Vidare är det centralt att studenter fortsätter att söka sig till ämnesområden som i särskilt hög grad bidrar till en förståelse av kulturarvets betydelse – typiskt sett de traditionella humanistiska ämnena – vid landets universitet och högskolor.

[…] Ett aktivt förhållningssätt till kulturarvet kan dock bidra till bildning i kvalificerad bemärkelse just genom att det – utöver sakkunskaper om äldre tid – öppnar upp nya perspektiv, vidgar horisonter och sätter det invanda i fråga. På så vis övar det förmågor som för den enskilde är till nytta i många sammanhang och som bidrar till samhällets utveckling.

[…] Det har ofta påpekats att kulturarvet i Sverige inte enbart ligger i svenska medborgares intresse, utan att dessa kulturuttryck snarare måste ses som en del av den samlade kulturella mångfalden och rikedomen i världen.

Av uttalandena framgår det enligt utredningens uppfattning att kulturarvets bevarande och utvecklande är av mycket stort värde och att det är mycket viktigt att studerande söker sig till sådana utbildningar. Även i fråga om anordnande och bedrivande av sådana utbildningar är det därmed fråga om en uppgift av allmänt intresse.

Sammantaget anser utredningen således att anordnande och bedrivande av de tre olika typer av utbildningar som kan få stöd genom

bestämmelserna i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är en uppgift av allmänt intresse. Frågan härefter är om denna uppgift är fastställd i svensk rätt i enlighet med artikel 6.3 första stycket i dataskyddsförordningen.

I förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar preciseras vad det innebär att anordna och bedriva utbildningarna.

Av 5 § framgår att utbildningen bl.a. ska ge en teoretisk förankring inom det konstnärliga eller kulturella området och vila på vetenskaplig eller konstnärlig grund eller på beprövad erfarenhet. Behörig att antas till utbildningen är, enligt 24 §, den som har genomgått gymnasieskolan eller gymnasiesärskolan eller motsvarande utbildning. Behörig att antas är också den som annars bedöms kunna tillgodogöra sig utbildningen. Därutöver får utbildningsanordnaren ställa krav på särskilda förkunskaper.

Vidare ska utbildningen, enligt 12 §, bedrivas i form av en eller flera kurser. För varje utbildning ska det, enligt 13 §, finnas en utbildningsplan. Av planen ska framgå bl.a. utbildningens mål och inriktning samt de kurser som ingår i utbildningen, antalet timmar lärar- eller handledarledd verksamhet som utbildningen omfattar, i förekommande fall de krav på särskilda förkunskaper som ställs upp, de grunder och metoder som ska användas vid urval bland behöriga sökande till utbildningen, hur behörighetsbedömningar, urval, antagning, kunskapskontroll och studieresultat samt arkivering av studieresultat ska dokumenteras. För varje kurs ska det, enligt 14 §, vidare finnas en kursplan. Av kursplanen ska framgå kursens benämning, målen för kursen, kursens huvudsakliga innehåll, om kursen helt eller delvis ges på engelska, de former för kunskapskontroll som ska tillämpas, och om betyg ska sättas på kursen och i så fall de principer för betygssättning som ska tillämpas. I 15–17 §§ finns bestämmelser om betyg, intyg och utbildningsbevis. Avslutningsvis får MYH, enligt 40 §, meddela föreskrifter om utbildningsplaner och kursplaner, betyg, intyg och utbildningsbevis samt verkställigheten av förordningen. Föreskrifter om kurs- och utbildningsplaner har MYH meddelat i MYH 2015:2 och MYH 2016:16.

I förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med anslutande föreskrifter finns det således tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva sådana utbildningar innebär. Utredningens

bedömning är därför att det för utbildningsanordnarna finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva dessa utbildningar. Samtliga åtgärder som utbildningsanordnarna företar i syfte att bedriva utbildningsverksamhet som har sin grund i den nämnda författningen, anslutande myndighetsföreskrifter och beslut meddelade med stöd av dessa är därmed att anse som utförande av en uppgift av allmänt intresse enligt första ledet i artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering behöver följaktligen inte införas för att utbildningsanordnarna ska kunna tillämpa nämnda grund för sådan personuppgiftsbehandling som är nödvändig för att utföra uppgifter eller utöva verksamhet som har sin grund i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med anslutande myndighetsföreskrifter.

Avslutningsvis bör det åter betonas att det av artikel 5.2 i dataskyddsförordningen följer att det är den personuppgiftsansvarige, dvs. utbildningsanordnaren, som ska ansvara för och kunna visa att behandlingen är laglig, dvs. att det finns en rättslig grund som kan tillämpas på behandlingen. Det ankommer således på utbildningsanordnaren att bedöma om behandlingen är nödvändig för att utföra en uppgift eller utöva verksamhet som har sin grund i den aktuella författningen och anslutande föreskrifter. Om behandlingen saknar sådan koppling kan den inte anses nödvändig för att utföra uppgiften att anordna och bedriva den aktuella utbildningen. Utbildningsanordnaren måste då i egenskap av personuppgiftsansvarig avgöra om första ledet i artikel 6.1 e av annat skäl kan vara tillämplig, eller om någon annan av de rättsliga grunderna i artikel 6.1 kan tillämpas på den avsedda behandlingen.

Ändamålet med behandlingen måste vara nödvändigt

Det bör betonas att rättslig grund inte är en tillräcklig förutsättning för att behandling av personuppgifter ska vara tillåten. I artikel 5.1 b i dataskyddsförordningen anges bl.a. att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål. Principen om att ändamålen ska vara berättigade utgör i likhet med principen om laglighet en direkt koppling till de rättsliga

grunderna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte förenligt med artikel 5.1 b.

Kopplingen mellan den rättsliga grunden i artikel 6.1 e och kravet på särskilda, uttryckligt angivna och berättigade ändamål förstärks genom artikel 6.3 andra stycket. Där anges att syftet med behandlingen i fråga om behandling enligt punkt 6.1 e, dvs. bl.a. uppgift av allmänt intresse, ska vara nödvändigt för att utföra uppgiften.

Enligt Dataskyddsutredningen ställer förordningen inte något krav på att ändamålen ska vara fastställda i författning. Dataskyddsutredningen anser följaktligen att ändamålet med behandlingen inte behöver framgå av det sammanhang där uppgiften av allmänt intresse fastställs. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. Bestämmelsen i artikel 6.3 andra stycket uttrycker således det samband som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de särskilda ändamålen för behandlingen, vilket i normalfallet är den personuppgiftsansvarige (SOU 2017:39, avsnitt 8.3.4).

Även om nödvändiga ändamål för utförandet av uppgiften att anordna och bedriva en utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar inte behöver framgå av författning, är det genom bestämmelser i för utbildningarna relevanta författningar nödvändigt att behandla personuppgifter för vissa ändamål. Dessa ändamål är därmed nödvändiga för utförandet av uppgiften att anordna och bedriva aktuella utbildningar.

Som exempel kan nämnas att en utbildning inom yrkeshögskolan ska vara öppen för alla som uppfyller behörighetsvillkoren för utbildningen. Om inte alla behöriga sökande till en utbildning kan tas emot ska ett urval göras. Detta framgår av 15 och 17 §§ lagen om yrkeshögskolan. Vid urval till tillträde till utbildning får, enligt 3 kap. 6 § förordningen om yrkeshögskolan, en eller flera av urvalsgrunderna betyg, särskilt prov, tidigare utbildning och yrkeserfarenhet användas. Mot bakgrund av nämnda bestämmelser måste det därmed kunna anses nödvändigt, i unionsrättslig mening, för utbildningsanordnarna inom yrkeshögskolan att samla in och behandla personuppgifter i syfte att rangordna sökandena. Detta ändamål är där-

med nödvändigt för att utföra uppgiften att anordna och bedriva eftergymnasial yrkesutbildning.

Motsvarande ändamål för de som anordnar och bedriver utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan utläsas av 13 § i nämnda författning. Enligt bestämmelserna där ska det för varje utbildning finnas en utbildningsplan. Av utbildningsplanen ska det framgå bl.a. de grunder och metoder som ska användas vid urval bland behöriga sökande till utbildningen. Även för dessa utbildningsanordnare är det således nödvändigt att samla in och behandla personuppgifter för det nödvändiga syftet att rangordna sökandena.

Vidare ska, enligt 2 kap. 10 § förordningen om yrkeshögskolan, betyg sättas på en genomförd kurs. Enligt 5 § i MYH:s föreskrifter om studiedokumentation ska uppgifter om de studerandes resultat rapporteras till myndigheten genom en av myndigheten tillhandahållen digital plattform eller tjänst. Det måste därmed anses nödvändigt att behandla personuppgifter i syfte att kontrollera att de studerande har genomfört obligatoriska moment, för att mäta och värdera de studerandes prestationer och kunskapsnivå samt för att fullgöra uppgiftsskyldigheten. Dessa ändamål är därmed också nödvändiga för fullgörandet av uppgiften att anordna och bedriva utbildningar inom yrkeshögskolan.

Av 15 och 16 §§ förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar framgår att det efter en genomförd kurs ska sättas ett betyg eller utfärdas ett intyg. Även för dessa utbildningsanordnare är det därmed nödvändigt att behandla personuppgifter för det nödvändiga syftet att kontrollera att de studerande har genomfört obligatoriska moment och för att mäta och värdera de studerandes prestationer och kunskapsnivå.

Ovan beskrivs endast några exempel på sådana behandlingar som kan vara nödvändiga för ändamål som i sin tur är nödvändiga för att utbildningsanordnarna ska kunna utföra de uppgifter och utöva sådan verksamhet som ryms inom ramen för uppgiften av allmänt intresse, dvs. att anordna och bedriva utbildningar inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. En uttömmande uppräkning är av naturliga skäl inte möjlig att presentera. Det är därför viktigt att betona att det, enligt artikel 5.2 i dataskyddsförordningen,

är den personuppgiftsansvarige som ska ansvara för och kunna visa att uppgifter behandlas för berättigade och nödvändiga ändamål.

6.3.3. Myndighetsutövning

Bedömning: Utbildningsanordnarna inom yrkeshögskolan vidtar

vissa åtgärder med stöd av lagen om yrkeshögskolan och anslutande föreskrifter som innefattar myndighetsutövning gentemot en studerande, t.ex. examination. Det är i dessa situationer möjligt för utbildningsanordnarna att tillämpa den rättsliga grunden i andra ledet i artikel 6.1 e i dataskyddsförordningen för sådan behandling som är nödvändig som ett led i myndighetsutövningen. Även första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, kan tillämpas vid sådan behandling. Något behov av ytterligare reglering finns inte.

De som anordnar och bedriver sådan utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har i sin verksamhet inslag som liknar myndighetsutövning. Eftersom bestämmelserna inte finns i lagform utan i en förordning, är det dock inte enligt svensk rätt fastställt att de har myndighetsutövande befogenheter. Dessa utbildningsanordnare kan för sin personuppgiftsbehandling därmed inte tillämpa andra ledet i artikel 6.1 e i dataskyddsförordningen. Anordnarna av utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan i stället tillämpa första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, för sådan behandling. Något behov av ytterligare reglering finns inte.

Enligt andra ledet i artikel 6.1 e i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Av artikel 6.3 första stycket framgår att rätten att utöva myndighet ska vara fastställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Dataskyddsutredningen föreslår en bestämmelse i 2 kap. 4 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig som ett led

i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning. Enligt artikel 6.3 andra stycket i dataskyddsförordningen ska syftet med behandlingen vara nödvändigt som ett led i den personuppgiftsansvariges myndighetsutövning. Ändamålet behöver således inte framgå av det sammanhang där den myndighetsutövande befogenheten fastställs. Ändamålet med behandlingen måste dock vara nödvändigt som ett led i myndighetsutövningen. För tillämpningen av den rättsliga grunden myndighetsutövning gäller således motsvarande krav som för den rättsliga grunden uppgift av allmänt intresse.

Begreppet myndighetsutövning har en unionsrättslig innebörd. Enligt Dataskyddsutredningen bör man till dess annat framkommer kunna utgå från att det som i Sverige brukar anses som myndighetsutövning faller in under begreppet. Myndighetsutövning karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befogenheten till myndighetsutövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de högsta statsorganen. Utanför begreppet myndighetsutövning faller råd, upplysningar och faktiskt handlande som inte innebär tvång mot den enskilde (SOU 2017:39, avsnitt 8.3.3).

Enligt 14 § andra stycket lagen om yrkeshögskolan får utbildningsanordnaren utfärda utbildningsbevis och examensbevis. I samma stycke bemyndigas regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om utbildningsbevis och examensbevis. Av 2 kap. 15 och 16 §§ förordningen om yrkeshögskolan framgår att den studerande under vissa förutsättningar ska få ett examensbevis eller ett utbildningsbevis. Av 4 kap. 2 § framgår att det är ledningsgruppen som ska utfärda dessa bevis. Enligt 8 kap. 2 § första stycket får ett beslut av ansvarig utbildningsanordnare om avslag på en studerandes begäran att få examensbevis eller utbildningsbevis överklagas till Överklagandenämnden för högskolan. Ytterligare exempel på myndighetsutövning är statliga universitets och högskolors prövning av behörighet och tillgodoräknande. Dessa beslut är överklagbara enligt 8 kap. 2 § andra stycket.

Verksamheten hos de som anordnar och bedriver utbildning inom yrkeshögskolan omfattar därmed i vissa delar myndighetsutövning som är fastställd i svensk rätt. Nödvändig personuppgiftsbehandling i samband med dessa moment kan därmed grunda sig på andra ledet i

artikel 6.1 e i dataskyddsförordningen. Det bör åter betonas att en ytterligare förutsättning för att kunna tillämpa myndighetsutövning som rättslig grund för behandlingen är att också syftet med behandlingen är nödvändigt. Det är den personuppgiftsansvarige som ska ansvara för och kunna visa att behandlingen är laglig och att ändamålet är berättigat och nödvändigt (artikel 5.2 i dataskyddsförordningen). Om inte andra ledet i artikel 6.1 e är tillämpligt bedömer utredningen att första ledet i nämnda artikel, dvs. uppgift av allmänt intresse, kan vara tillämpligt eftersom t.ex. examination enligt tilllämpliga författningar omfattas av uppgiften att anordna och bedriva utbildning inom yrkeshögskolan.

De som anordnar och bedriver sådan utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska sätta betyg eller utfärda intyg. De ska vidare utfärda utbildningsbevis om en studerande begär det. Detta framgår av förordningens bestämmelser i 15–17 §§. Även i deras verksamhet finns således inslag som är att likna vid myndighetsutövning.

Av 12 kap. 4 § andra stycket regeringsformen framgår att förvaltningsuppgifter kan överlämnas åt juridiska personer och enskilda individer. Innefattar uppgiften myndighetsutövning får ett överlämnande dock endast göras med stöd av lag. Bestämmelserna om konst- och kulturutbildningar och vissa andra utbildningar finns inte i lagform utan i en förordning. Enligt utredningens uppfattning är det därmed inte i svensk rätt fastställt att anordnarna av sådan utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har getts myndighetsutövande befogenheter. Dessa utbildningsanordnare kan därmed inte tillämpa andra ledet i artikel 6.1 e i dataskyddsförordningen för sin personuppgiftsbehandling. Enligt utredningens mening utgör detta dock inte något problem. Liksom utbildningsanordnarna inom yrkeshögskolan har de som anordnar konst- och kulturutbildningar och vissa andra utbildningar i stället möjlighet att tillämpa första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, även för sådan verksamhet som liknar myndighetsutövning.

6.3.4. Rättslig förpliktelse

Bedömning: I svensk rätt finns det fastställda rättsliga förplik-

telser som åvilar de som anordnar och bedriver utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar och som gör det nödvändigt att behandla personuppgifter. Den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen kan då tillämpas. Något behov av ytterligare reglering finns inte.

I dessa fall kan även den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, vara tillämplig.

Enligt artikel 6.1 c i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Av artikel 6.3 första stycket framgår att den rättsliga förpliktelsen ska vara fastställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Dataskyddsutredningen bedömer att förpliktelsen inte nödvändigtvis måste framgå av en författning eller liknande. Rättsliga förpliktelser kan också framgå av exempelvis förelägganden, myndighetsbeslut och domar som har meddelats med stöd av gällande rätt. Dataskyddsutredningen har därför föreslagit en bestämmelse i 2 kap. 3 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som bl.a. gäller enligt lag eller annan författning eller som följer av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.2).

Enligt artikel 6.3 andra stycket första meningen i dataskyddsförordningen ska syftet med behandlingen fastställas i den rättsliga grunden. Syftet med behandlingen ska alltså vara bestämd av den författning, beslut m.m. som anger eller ger stöd för förpliktelsen.

Dataskyddsutredningen anser att en förpliktelse som är alltför svepande och ger den personuppgiftsansvarige en alltför stor handlingsfrihet i fråga om hur den ska uppfyllas, inte utgör en rättslig grund för behandling av personuppgifter. Den rättsliga förpliktelsen måste således i sig vara tillräckligt tydlig när det gäller den behandling av personuppgifter som krävs (SOU 2017:39, avsnitt 8.3.2).

Enligt 2 kap. 15 och 16 §§ förordningen om yrkeshögskolan ska den studerande på begäran under vissa förutsättningar få ett examensbevis eller ett utbildningsbevis. Av 17 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar framgår att en studerande som avslutat en utbildning på begäran ska få ett utbildningsbevis av den ansvariga utbildningsanordnaren. Nämnda förpliktelser för utbildningsanordnarna förutsätter att i vart fall namn och personnummer behandlas för att respektive bevis ska kunna utfärdas. Detta är enligt utredningens bedömning därmed exempel på rättsliga förpliktelser som är tillräckligt tydliga för att nödvändig personuppgiftsbehandling ska kunna ske med stöd av artikel 6.1 c i dataskyddsförordningen.

Ytterligare exempel på rättsliga förpliktelser finns i MYH:s föreskrifter om studiedokumentation, som MYH föreskrivit med stöd av 2 kap. 17 § andra stycket förordningen om yrkeshögskolan. Av bestämmelserna i föreskrifterna framgår att utbildningsanordnarna inom yrkeshögskolan ska dokumentera ett flertal uppgifter om de studerande och deras studieresultat samt rapportera dessa uppgifter till MYH.

På utbildningsanordnarna inom yrkeshögskolan och de som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar åvilar det därmed vissa rättsliga förpliktelser. Förpliktelserna är fastställda genom bestämmelser i svensk rätt och av dessa framgår det för vilka ändamål det är nödvändigt att behandla personuppgifter. Den rättsliga grunden i artikel 6.1 c är därmed tillämplig på sådana behandlingar.

Även i dessa fall kan, enligt utredningens uppfattning, första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, tillämpas för den nödvändiga personuppgiftsbehandlingen, eftersom fullgörandet av förpliktelserna också ingår i uppgiften att anordna och bedriva utbildningar inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Det torde därför vara i undantagsfall som artikel 6.1 c behöver tillämpas av utbildningsanordnarna.

6.3.5. Intresseavvägning

Bedömning: Enskilda utbildningsanordnare inom yrkeshögsko-

lan och de som anordnar utbildningar som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan för sin personuppgiftsbehandling använda sig av den rättsliga grunden i artikel 6.1 f i dataskyddsförordningen, dvs. för sådan behandling som är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.

Nämnda rättsliga grund skulle kunna vara tillämplig när det är tveksamt om den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, är tillämplig. Eftersom det för ovan nämnda utbildningsanordnare finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva aktuella utbildningar är det endast i undantagsfall som den rättsliga grunden i artikel 6.1 f behöver tillämpas.

Enligt artikel 6.1 f i dataskyddsförordningen är behandling laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.

Av artikel 6.1 andra stycket framgår att denna grund inte gäller för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom offentliga utbildningsanordnare inom yrkeshögskolan är myndigheter som fullgör sina uppgifter när de anordnar och bedriver utbildning enligt lagen om yrkeshögskolan med anslutande föreskrifter, kan de inte tillämpa den rättsliga grunden i artikel 6.1 f för sin personuppgiftsbehandling. Det är således endast de enskilda utbildningsanordnarna inom yrkeshögskolan och de som anordnar utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar som kan använda sig av artikel 6.1 f som grund för sin personuppgiftsbehandling.

Dataskyddsutredningen bedömer att den rättsliga grunden i artikel 6.1 f, intresseavvägning, ofta är möjlig att tillämpa när det är tvek-

samt om den verksamhet som en privaträttslig aktör bedriver är av allmänt intresse (SOU 2017:39, avsnitt 8.3.4).

I avsnitt 6.3.2 bedömer utredningen att anordnande och bedrivande av utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är en i svensk rätt fastställd uppgift av allmänt intresse. Artikel 6.1 e är inte begränsad till offentliga aktörer, även privaträttsliga organ kan utföra en uppgift av allmänt intresse. Enligt utredningens uppfattning bör den rättsliga grunden i artikel 6.1 f därmed sällan bli aktuell att tillämpa av utbildningsanordnarna i sådan verksamhet som omfattas av lagen om yrkeshögskolan med anslutande föreskrifter och förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med anslutande myndighetsföreskrifter.

6.3.6. Samtycke

Bedömning: De som anordnar och bedriver utbildning inom

yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan i viss utsträckning använda sig av samtycke som rättslig grund för sin personuppgiftsbehandling.

Enligt artikel 6.1 a i dataskyddsförordningen är behandling laglig om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

Med samtycke avses enligt artikel 4.11 varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Det kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (se skäl 32 till förordningen).

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör enligt skäl 42 tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

Enligt skäl 43 till dataskyddsförordningen bör samtycke inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.

Någon sådan skrivning finns inte i skälen till dataskyddsdirektivet, men mot bakgrund av att definitionen av samtycke i princip är densamma och de uttalanden som gjorts av bl.a. Artikel 29-gruppen får detta anses gälla enligt befintligt regelverk. Artikel 29-gruppen har yttrat att samtycke i undantagsfall kan vara en giltig grund för stater när de behandlar personuppgifter. Det bör göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig förpliktelse eller utförandet av en arbetsuppgift av allmänt intresse snarare än samtycke.1

Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. Det finns dock en omfattande reglering för verksamheten inom yrkeshögskolan. Även för utbildningar som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns det en tydlig reglering. Behovet av att använda samtycke som rättslig grund torde, enligt utredningens bedömning, därmed vara ytterst begränsat för utbildningsanordnarna. Om behandlingen grundar sig på samtycke ska den personupp-

1 Artikel 29-gruppens yttrande 15/2011 om definitionen av begreppet samtycke s. 16–17.

giftsansvarige, enligt artikel 7.1, kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.

6.3.7. Sammanfattning

Artikel 5 i dataskyddsförordningen innehåller bestämmelser om principerna för behandling av personuppgifter. Enligt 5.1 a ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I artikel 6.1 anges att behandling av personuppgifter är laglig endast om och i den mån som åtminstone ett av de i bestämmelsen angivna villkoren är uppfyllt.

Utredningen har i de föregående avsnitten kommit fram till att de som anordnar och bedriver utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan tillämpa flera olika rättsliga grunder i artikel 6.1 i dataskyddsförordningen till stöd för sin personuppgiftsbehandling. I vissa situationer kan dessutom flera rättsliga grunder vara tillämpliga samtidigt var för sig.

De rättsliga grunder som kan vara tillämpliga är samtycke (a), rättslig förpliktelse (c) eller uppgift av allmänt intresse eller myndighetsutövning (e). De som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan dock inte tillämpa den rättsliga grunden myndighetsutövning. Vidare kan enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådan utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar tillämpa den rättsliga grunden intresseavvägning (f).

Den rättsliga grund som främst blir aktuell för samtliga utbildningsanordnare att tillämpa är dock första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, eftersom uppgiften att anordna och bedriva utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är en i svensk rätt fastställd uppgift av allmänt intresse.

När dataskyddsförordningen ska börja tillämpas kan ändamålsenlig och nödvändig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för utbildningsanordnarnas del därmed ske med stöd av bestämmelserna i artikel 6 i dataskyddsförordningen. Något regleringsbehov aktualiseras följaktligen inte för

att utbildningsanordnarna ska kunna tillämpa ovan nämnda rättsliga grunder.

6.4. Känsliga personuppgifter och uppgifter som rör lagöverträdelser

6.4.1. Utredningens uppdrag i denna del

I utredningens direktiv konstateras att det inom utbildningsområdet i vissa fall är nödvändigt att behandla känsliga personuppgifter. Uppdraget i denna del är därför att analysera om det, utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen föreslagit, finns ett behov av kompletterande regleringar för den behandling av känsliga personuppgifter som utförs av utbildningsanordnarna inom yrkeshögskolan eller av de som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Utredningen ska även lämna de författningsförslag som behövs.

Något specifikt uppdrag i fråga om behandling av uppgifter om lagöverträdelser har inte getts utredningen. Eftersom utredningen ska föreslå kompletterande regleringar som ska möjliggöra en ändamålsenlig behandling som samtidigt skyddar den enskildes fri- och rättigheter, ingår det dock i uppdraget att också analysera behovet av reglering i denna del.

Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör bl.a. fällande domar i brottmål endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Det finns således ett förbud för enskilda att behandla personuppgifter som rör fällande domar i brottmål, om inte behandlingen kan anses stå under en myndighets kontroll eller den nationella rätten medger sådan behandling.

Även om personuppgifter som rör fällande domar i brottmål inte är en känslig uppgift, torde behandling av sådana uppgifter allmänt kunna anses som integritetskänslig. Utredningen anser därför att behovet av reglering i denna del lämpligen bör behandlas i samma avsnitt som behandling av känsliga personuppgifter.

6.4.2. Behov av att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål

Utbildningsanordnarna inom yrkeshögskolan och de som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan behöva behandla känsliga personuppgifter i ett flertal olika sammanhang. Med hänsyn till att det är ett stort antal utbildningsanordnare är det inte möjligt att ge en uttömmande beskrivning av samtliga sådana behandlingar. Nedan lämnas därför en redogörelse för de behandlingar av känsliga personuppgifter som i huvudsak förekommer hos utbildningsanordnarna. Även behandling av personuppgifter som rör fällande domar i brottmål redogörs för nedan.

Studerande med funktionsnedsättning

Enligt 2 kap. 5 § diskrimineringslagen (2008:567) får den som bedriver verksamhet som avses i skollagen eller annan utbildningsverksamhet inte diskriminera något barn eller någon elev, student eller studerande som deltar i eller söker till verksamheten.

Annan utbildningsverksamhet syftar på flera olika former av utbildning, bl.a. eftergymnasiala yrkesutbildningar inom yrkeshögskolan och utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar (prop. 2013/14:198 s. 77).

Med diskriminering avses enligt 1 kap. 4 § bl.a. bristande tillgänglighet. Med bristande tillgänglighet avses att en person med en funktionsnedsättning missgynnas genom att sådana åtgärder för tillgänglighet inte har vidtagits för att den personen ska komma i en jämförbar situation med personer utan denna funktionsnedsättning som är skäliga utifrån krav på tillgänglighet i lag och annan författning och med hänsyn till de ekonomiska och praktiska förutsättningarna, varaktigheten och omfattningen av förhållandet eller kontakten mellan verksamhetsutövaren och den enskilde samt andra omständigheter av betydelse.

Förbudet mot diskriminering innebär att även åtgärder i fråga om annat än den fysiska miljön kan krävas. Sådana åtgärder bör kunna handla om stöd eller personlig service samt om information och kommunikation (prop. 2013/14:198 s. 78 f.).

För utbildningsanordnare inom yrkeshögskolan finns det en bestämmelse i förordningen om yrkeshögskolan som kompletterar bestämmelserna i diskrimineringslagen. Av 2 kap. 3 § framgår att den ansvariga utbildningsanordnaren ska se till att de studerande som behöver särskilt pedagogiskt stöd i utbildningen får sådant stöd. Av 5 § förordningen om utbildning inom yrkeshögskolan som uppdragsutbildning följer att detta även gäller för anordnare av uppdragsutbildningar. Skyldigheten gäller samtliga huvudmän, dvs. även för enskilda utbildningsanordnare. För utbildningar inom yrkeshögskolan får vidare, enligt 5 kap. 2 § förordningen om yrkeshögskolan, statsbidrag lämnas till kommuner, landsting eller enskilda fysiska eller juridiska personer för kostnader för särskilt pedagogiskt stöd till studerande med funktionsnedsättning. För sådana kostnader får enligt samma paragraf särskilda medel lämnas till universitet eller högskolor som har staten som huvudman och som omfattas av högskolelagen. Enligt 5 kap. 4 § är det MYH som beslutar om statsbidrag eller särskilda medel. Av 5 § förordningen om utbildning inom yrkeshögskolan som uppdragsutbildning följer att denna möjlighet att få statsbidrag respektive särskilda medel inte gäller för anordnare av uppdragsutbildningar.

För anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är 30 § i nämnda förordning av intresse. Av bestämmelsen framgår att MYH får lämna extra statsbidrag för nödvändiga stödinsatser för studerande med funktionsnedsättning.

För de som anordnar utbildning inom yrkeshögskolan eller sådan utbildning som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns således en skyldighet att vidta skäliga åtgärder för att se till så att personer med en funktionsnedsättning också kan delta i undervisningen. Ett sätt att uppfylla denna skyldighet är att erbjuda särskilt pedagogiskt stöd. Exempel på sådant stöd kan vara anteckningsstöd, extra handledning, teckenspråkstolkning och anpassade examinationer. I samband med ansökningar om särskilt pedagogiskt stöd och när beslutade stödåtgärder ska verkställas behandlar utbildningsanordnarna därmed känsliga personuppgifter i form av uppgifter om hälsa. Känsliga personuppgifter kan även behöva behandlas i samband med att utbildningsanordnarna hos MYH ansöker om statsbidrag eller särskilda medel för kostnader för stöd till studerande med funktionsnedsättning.

Anstånd och studieuppehåll

I 24 a § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar anges att om det finns särskilda skäl, får utbildningsanordnaren i enskilda fall besluta att den som är antagen till utbildningen får anstånd med att påbörja studierna eller fortsätta sina studier efter studieuppehåll. Med stöd av bestämmelsen kan en utbildningsanordnare således besluta om t.ex. anstånd med hänsyn till hälsoskäl. Känsliga personuppgifter kan därmed behöva behandlas i samband med ärenden om anstånd och studieuppehåll.

För utbildningsanordnare inom yrkeshögskolan saknas det en motsvarande reglering om anstånd och studieuppehåll. Det finns dock inget som hindrar att dessa anordnare har egna regelverk i sådana frågor som innebär att känsliga personuppgifter behöver behandlas.

Trakasserier och sexuella trakasserier

Av 2 kap. 7 § diskrimineringslagen framgår att om en utbildningsanordnare får kännedom om att bl.a. en studerande som deltar i eller söker till utbildningsanordnarens verksamhet anser sig i samband med verksamheten ha blivit utsatt för trakasserier eller sexuella trakasserier, är utbildningsanordnaren skyldig att utreda omständigheterna kring de uppgivna trakasserierna och i förekommande fall vidta de åtgärder som skäligen kan krävas för att förhindra trakasserier i framtiden.

Med utbildningsanordnare avses bl.a. den som bedriver eftergymnasiala yrkesutbildningar enligt lagen om yrkeshögskolan och utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar (jfr prop. 2007/08:95 s. 506 och 509 samt prop. 2013/14:198 s. 77).

Vad som avses med trakasserier framgår av 1 kap. 4 § diskrimineringslagen. Enligt lagens definition är trakasserier ett uppträdande som kränker någons värdighet och som har samband med någon av diskrimineringsgrunderna kön, könsöverskridande identitet eller uttryck, etnisk tillhörighet, religion eller annan trosuppfattning, funktionsnedsättning, sexuell läggning eller ålder. Av samma lagrum framgår att med sexuella trakasserier avses ett uppträdande av sexuell natur som kränker någons värdighet.

Enligt 2 kap. 7 § diskrimineringslagen finns det således en skyldighet för utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar att utreda trakasserier och vidta de åtgärder som skäligen kan krävas för att förhindra trakasserier i framtiden. Mot bakgrund av hur trakasserier och sexuella trakasserier definieras i 1 kap. 4 § kan känsliga personuppgifter behöva behandlas i samband med sådana utredningar och ärenden.

Avskiljande av studerande från utbildning

Enligt 19 § lagen om yrkeshögskolan får en studerande tills vidare avskiljas från en utbildning som anordnas av staten, en kommun eller ett landsting om han eller hon lider av psykisk störning, missbrukar alkohol eller narkotika eller har gjort sig skyldig till allvarlig brottslighet. Som ytterligare förutsättning för ett avskiljande gäller att det, till följd av något av nämnda förhållanden, bedöms finnas en påtaglig risk att den studerande kan komma att skada någon annan person eller värdefull egendom under utbildningen.

I 7 kap. förordningen om yrkeshögskolan finns kompletterande bestämmelser om avskiljande av studerande. Av 1 § framgår bl.a. att frågor om avskiljande prövas av Högskolans avskiljandenämnd enligt 820 §§ förordningen (2007:989) om avskiljande av studenter från högskoleutbildning och 8 § förordningen (2007:990) med instruktion för Högskolans avskiljandenämnd. Vidare framgår att avskiljandenämnden tar upp frågor om avskiljande endast efter skriftlig anmälan från ledningsgruppen för utbildningen.

Som framgår ovan gäller bestämmelserna om avskiljande inte för enskilda utbildningsanordnare inom yrkeshögskolan. I förarbetena till lagen om yrkeshögskolan uttalar regeringen att motsvarande frågor, när det handlar om utbildning med enskild huvudman, bör regleras i civilrättsliga former. Enligt regeringen kan det inom yrkeshögskolan handla om att enskilda utbildningsanordnare tecknar ett skriftligt avtal med motsvarande innebörd med de studerande som antas till en utbildning (prop. 2008/09:68 s. 47). Även enskilda utbildningsanordnare inom yrkeshögskolan kan således ha bestämmelser som till viss del motsvarar ett avskiljande enligt den reglering som gäller för offentliga utbildningsanordnare.

Både offentliga och enskilda utbildningsanordnare kan därmed behöva behandla känsliga personuppgifter i form av hälsa i samband med utredningar och ärenden om avskiljande av studerande från utbildning. I sådana ärenden kan följaktligen också personuppgifter som rör fällande domar i brottmål behöva behandlas.

Anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är endast enskilda fysiska eller juridiska personer. För deras del, i likhet med enskilda utbildningsanordnare inom universitets- och högskolesektorn (se avsnitt 5.4.2) och yrkeshögskolan, saknas det offentligrättslig reglering om avskiljande. Det går dock inte att utesluta att även anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har egna regelverk om avskiljande som kan göra det nödvändigt att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.

Offentlighetsprincipen

Utbildning inom yrkeshögskolan kan anordnas av bl.a. statliga universitet och högskolor, andra statliga myndigheter, kommuner och landsting. Eftersom dessa utbildningsanordnare är myndigheter omfattas de av tryckfrihetsförordningens, offentlighets- och sekretesslagens (2009:400) och förvaltningslagens (1986:223) bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot epost. För att kunna uppfylla de åligganden som följer av att omfattas av offentlighetsprincipen kan det för dessa utbildningsanordnare bli nödvändigt att behandla känsliga personuppgifter.

Sammanfattning

Utbildningsanordnare inom yrkeshögskolan och de som anordnar sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan behöva behandla känsliga personuppgifter vid handläggning av ansökningar om särskilt pedagogiskt stöd, när beslutade stödåtgärder ska verkställas och i samband med ansökningar om statsbidrag eller särskilda medel för kostnader för särskilt pedagogiskt stöd. Behandling av känsliga per-

sonuppgifter kan även förekomma i ärenden om anstånd, studieuppehåll, trakasserier, sexuella trakasserier och avskiljande. I ärenden om avskiljande kan dessutom personuppgifter som rör fällande domar i brottmål behöva behandlas. Vidare kan offentliga utbildningsanordnare inom yrkeshögskolan behöva behandla känsliga personuppgifter med anledning av de åligganden som följer av att de omfattas av offentlighetsprincipen.

6.4.3. Gällande bestämmelser

I fråga om de skyldigheter som offentliga utbildningsanordnare inom yrkeshögskolan har enligt offentlighetsprincipen kan konstateras att enligt 8 § första stycket PUL tillämpas inte bestämmelserna i personuppgiftslagen i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.

Vidare får såväl offentliga som enskilda utbildningsanordnare inom yrkeshögskolan samt anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar i dagsläget behandla känsliga personuppgifter i s.k. ostrukturerat material, förutsatt att behandlingen inte innebär en kränkning av den registrerades personliga integritet (5 a § PUL). Därutöver kan offentliga utbildningsanordnare inom yrkeshögskolan, med stöd av 8 § personuppgiftsförordningen (1998:1191, PUF) behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Om dessa bestämmelser inte är tillämpliga på behandlingen av känsliga personuppgifter måste samtycke inhämtas från den registrerade enligt 15 § PUL för att känsliga personuppgifter ska få behandlas.

I fråga om personuppgifter som rör fällande domar i brottmål är det, enligt 21 § första stycket PUL, förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar bl.a. brott och domar i brottmål. Förbudet gäller således inte för offentliga utbildningsanordnare inom yrkeshögskolan. Med stöd av 5 a § PUL kan dock även enskilda utbildningsanordnare behandla sådana uppgifter i ostrukturerat material.

6.4.4. Dataskyddsförordningen och dataskyddslagen

Känsliga personuppgifter

Med särskilda kategorier av personuppgifter (känsliga personuppgifter) avses enligt artikel 9.1 i dataskyddsförordningen personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Enligt artikel 9.1 är huvudregeln att det är förbjudet att behandla känsliga personuppgifter. Förbudet är dock förenat med en rad viktiga undantag. De som aktualiseras i detta sammanhang är artikel 9.2 a och g.

Enligt 9.2 a ska förbudet i 9.1 inte tillämpas om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa uppgifter för ett eller flera specifika ändamål.

Av 9.2 g framgår att förbudet i 9.1 inte ska tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Utifrån denna möjlighet för medlemsstaterna att skapa förutsättningar för att möjliggöra behandling av känsliga personuppgifter har Dataskyddsutredningen i dataskyddslagen föreslagit tre generella undantag från förbudet att behandla känsliga personuppgifter för myndigheter (SOU 2017:39, avsnitt 10.6.2).

Det första gäller behandling av uppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende (3 kap. 3 § 1 dataskyddslagen). Enligt Dataskyddsutredningen bör begränsningen till löpande text inte utesluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande.

Det andra undantaget gäller om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 3 § 2 dataskyddslagen). Bestämmelsen möjliggör behandling av känsliga personuppgifter som är oundviklig i myndigheternas verksamhet som en direkt följd av tryckfrihetsförordningens, offentlighets- och sekretesslagens

och förvaltningslagens bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot e-post.

Utöver detta föreslås myndigheter få behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § 3 dataskyddslagen). Syftet med paragrafen är att möjliggöra behandling av känsliga personuppgifter i enstaka fall även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte direkt krävs enligt annan lag. Det kan vara fallet t.ex. inom en myndighet i samband med utvärdering. Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Vid bedömningen av om behandlingen utgör ett otillbörligt intrång ska vikt läggas vid t.ex. uppgifternas känslighet och den inställning de registrerade kan antas ha till att uppgiften behandlas.

Som skyddsåtgärd, för att säkerställa den registrerades grundläggande rättigheter och intressen, föreslår Dataskyddsutredningen avslutningsvis, i 3 kap. 4 § dataskyddslagen, ett förbud för myndigheter att vid behandling som sker enbart med stöd av 3 kap. 3 § använda sökbegrepp som avslöjar känsliga personuppgifter.

Personuppgifter som rör fällande domar i brottmål

Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.

Dataskyddsutredningen föreslår bestämmelser om behandling av personuppgifter som rör lagöverträdelser i 3 kap. 9–12 §§ dataskyddslagen.

I 9 § anges att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångs-

medel får enligt artikel 10 i dataskyddsförordningen behandlas av myndigheter.

Enligt Dataskyddsutredningen är det av stor vikt att regleringen i artikel 10 i dataskyddsförordningen, även vad avser myndigheters behandling, tydliggörs så långt möjligt i nationell rätt. Dataskyddsutredningen anser att ett sådant införlivande behövs när det gäller myndigheters behandling av uppgifter om lagöverträdelser, bl.a. för att tydliggöra att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter om lagöverträdelser (SOU 2017:39, avsnitt 11.4).

I 3 kap. 10 § anges att den myndighet som regeringen bestämmer får i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §. Ytterligare ett bemyndigande finns i 12 §. Enligt nämnda bestämmelse får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana uppgifter som avses i 9 §.

I 3 kap. 11 § anges att behandling av sådana personuppgifter som avses i 9 § får ske om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.

I 4 och 5 §§ förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning föreslår Dataskyddsutredningen kompletterande bestämmelser avseende behandling av personuppgifter som rör lagöverträdelser.

Enligt 4 § får personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel behandlas av andra än myndigheter om

1. behandlingen är nödvändig för att rättsliga anspråk ska kunna

fastställas, göras gällande eller försvaras i ett enskilt fall,

2. behandlingen avser enstaka uppgifter och är nödvändig för att till

polisen anmäla misstanke om brott, eller

3. behandlingen avser enstaka uppgifter och är nödvändig för att en

rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.

Enligt Dataskyddsutredningens förslag till 5 § första stycket förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning får Datainspektionen meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som

rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. I andra stycket anges att Datainspektionen även i enskilda fall får besluta om att tillåta behandling av sådana personuppgifter som avses i första stycket.

6.4.5. Behov av särskild reglering

Förslag: I lagen om yrkeshögskolan ska det införas nya bestäm-

melser om personuppgiftsbehandling. Dessa ska upplysa om dataskyddsförordningen och reglera förhållandet till dataskyddslagen. Vidare ska utbildningsanordnare få behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Utbildningsanordnare ska också få behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Offentliga utbildningsanordnare ska få behandla känsliga personuppgifter om uppgifterna har lämnats till denne och behandlingen krävs enligt lag. Enskilda utbildningsanordnare ska få behandla personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande av studerande från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära. Utbildningsanordnare ska inte få använda sökbegrepp som avslöjar känsliga personuppgifter och motsvarande förbud ska även gälla för enskilda utbildningsanordnare i fråga om personuppgifter som rör fällande domar i brottmål. Slutligen ska regeringen få meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen.

I förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska det, med undantag för bestämmelser om behandling som krävs enligt lag och bemyndigande för regeringen, införas bestämmelser med motsvarande innehåll.

Bedömning: Offentliga utbildningsanordnare inom yrkeshög-

skolan kan med stöd av artikel 10 i dataskyddsförordningen behandla personuppgifter som rör fällande domar i brottmål. Dataskyddslagen föreslås innehålla en upplysningsbestämmelse om att myndigheter får behandla sådana uppgifter. Det finns inget behov av att införa någon ytterligare reglering för nämnda utbildningsanordnares behandling av personuppgifter som rör fällande domar i brottmål.

Ovan redovisar utredningen att offentliga utbildningsanordnare inom yrkeshögskolan kan behöva behandla känsliga personuppgifter i samband med att de fullgör sina skyldigheter enligt offentlighetsprincipen. I övrigt kan såväl offentliga som enskilda utbildningsanordnare inom yrkeshögskolan samt anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar behöva behandla känsliga personuppgifter vid handläggning av ansökningar om särskilt pedagogiskt stöd, när beslutade stödåtgärder ska verkställas, i samband med ansökningar om statsbidrag eller särskilda medel för kostnader för stöd till studerande med funktionsnedsättning samt i ärenden om anstånd, studieuppehåll, trakasserier, sexuella trakasserier och avskiljande av studerande från utbildning. I ärenden om avskiljande kan även personuppgifter som rör fällande domar i brottmål behöva behandlas.

Utredningen bedömer att dataskyddsförordningen inte utesluter att samtycke kan användas som rättslig grund för behandling av personuppgifter, även känsliga sådana, av utbildningsanordnarna. En bedömning måste dock göras av vilken slags behandling som samtycket avser för att avgöra om det är lämpligt.

För den behandling av känsliga personuppgifter som behövs för att utbildningsanordnarna ska kunna utföra uppgiften att anordna och bedriva utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar bör dock utbildningsanordnarna inte vara beroende av om den registrerade lämnar sitt samtycke till sådan behandling. Detta eftersom det kan ifrågasättas om den registrerade i många fall har något verkligt val i frågan om behandlingen ska ske eller inte och därmed en reell möjlighet att motsätta sig behandlingen. Därtill är det av naturliga skäl uteslutet att samtycke kan användas som rättslig grund för behandlingar i samband med utredningar eller ärenden om

bl.a. trakasserier. Enligt utredningens bedömning bör det för den behandling av känsliga personuppgifter som är nödvändig därför finnas ytterligare rättsliga grunder som kan användas som stöd för sådan behandling.

I fråga om behandling av personuppgifter som rör fällande domar i brottmål i utredningar och ärenden om avskiljande omfattas inte offentliga utbildningsanordnare inom yrkeshögskolan av förbudet i 21 § PUL. Enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan i dagsläget behandla sådana uppgifter i ostrukturerat material med stöd av 5 a § PUL. När dataskyddsförordningen ska börja tillämpas kommer den bestämmelsen dock att upphävas. Det kan därför vara nödvändigt att införa en rättslig grund som möjliggör för dessa utbildningsanordnare att behandla sådana uppgifter i motsvarande utredningar och ärenden som kan leda till att en studerande tvingas lämna utbildningen.

Behandling i löpande text

Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 1 dataskyddslagen får myndigheter behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Dataskyddsutredningen anser att begränsningen till löpande text inte utesluter att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande (SOU 2017:39, avsnitt 10.6.2).

Enligt artikel 9.2 g får känsliga personuppgifter behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. En myndighet kan således inte tillämpa en sådan bestämmelse som Dataskyddsutredningen föreslår i vilken typ av ärende som helst.

Utredningen bedömer att Dataskyddsutredningens förslag möjliggör för offentliga utbildningsanordnare inom yrkeshögskolan att, i den mån det är nödvändigt, även fortsättningsvis kunna behandla känsliga personuppgifter i ärenden om t.ex. särskilt pedagogiskt stöd, i ärenden om statsbidrag eller särskilda medel för kostnader för särskilt pedagogiskt stöd samt i ärenden om trakasserier, sexuella