Regeringens proposition 2017/18:218

Behandling av personuppgifter på

Prop.

utbildningsområdet

2017/18:218

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 5 april 2018

Stefan Löfven

Gustav Fridolin

(Utbildningsdepartementet)

Propositionens huvudsakliga innehåll

Propositionen innehåller förslag till lagändringar på utbildningsområdet som innebär kompletteringar och anpassningar till

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning),

den i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagna lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, och

föreskrifter som meddelas med stöd av den lagen.

De kompletterande bestämmelser inom utbildningsområdet som här föreslås syftar till att möjliggöra en fortsatt ändamålsenlig behandling av personuppgifter på detta område samtidigt som den enskildes fri- och rättigheter skyddas, oavsett om behandlingen utförs av offentliga eller enskilda aktörer. Ändringar föreslås i

lagen (1993:792) om tillstånd att utfärda vissa examina,

lagen (2009:128) om yrkeshögskolan,

studiestödsdatalagen (2009:287), och

skollagen (2010:800).

Lagändringarna föreslås träda i kraft den 1 augusti 2018.

1

Prop. 2017/18:218

2

Innehållsförteckning

1

Förslag till riksdagsbeslut .................................................................

9

2

Lagförslag .......................................................................................

10

 

2.1

Förslag till lag om ändring i lagen (1993:792) om

 

 

 

tillstånd att utfärda vissa examina ....................................

10

2.2Förslag till lag om ändring i lagen (2009:128) om

yrkeshögskolan.................................................................

13

2.3Förslag till lag om ändring i studiestödsdatalagen

 

 

(2009:287) ........................................................................

15

 

2.4

Förslag till lag om ändring i skollagen (2010:800) ..........

19

3

Ärendet och dess beredning ............................................................

23

4

Ändringar i EU-rätten medför behov av ändringar i den

 

 

svenska regleringen av behandling av personuppgifter ..................

24

4.1Dataskyddsdirektivet ska ersättas av en

dataskyddsförordning .......................................................

24

4.2Dataskyddsförordningen är direkt tillämplig men

kan kompletteras i nationell rätt .......................................

25

4.3Dataskyddsförordningen ska kompletteras av en ny svensk övergripande lag och förordning om

dataskydd..........................................................................

26

4.4Dataskyddsförordningen behöver även kompletteras

 

genom svenska bestämmelser på utbildningsområdet......

27

4.5

Närmare om gällande rätt .................................................

27

4.6Likheter och skillnader mellan dataskyddsdirektivet

och dataskyddsförordningen.............................................

29

4.7Regeringsformen avgör om kompletterande svensk

 

reglering ska införas på lag- eller förordningsnivå...........

33

5 Vad avses med utbildningsområdet?...............................................

33

5.1

Skollagsreglerad verksamhet............................................

33

5.2

Universitet och högskolor ................................................

34

5.3Yrkeshögskolan och andra eftergymnasiala

 

utbildningar ......................................................................

35

5.4

Folkbildningen .................................................................

35

5.5

Studiestödet ......................................................................

37

5.6

Den nationella referensramen för livslångt lärande..........

37

5.7Behandling av personuppgifter hos myndigheter som

 

inte själva bedriver utbildning behandlas med ett

 

 

undantag inte i denna proposition.....................................

39

6 För att personuppgiftsbehandling ska vara laglig krävs en

 

rättslig grund ...................................................................................

40

6.1

Samtycke som rättslig grund ............................................

41

6.2

Uppgift av allmänt intresse som rättslig grund.................

42

6.3

Myndighetsutövning som rättslig grund...........................

47

6.4

Rättslig förpliktelse som rättslig grund ............................

48

6.5

Intresseavvägning som rättslig grund...............................

49

7 Principer som måste följas vid behandling av personuppgifter.......

49

7.1

Allmänna principer för personuppgiftsbehandling ..........

49 Prop. 2017/18:218

7.2Det finns en särskild reglering för s.k. känsliga

personuppgifter................................................................

50

7.3Den finns även en särskild reglering om

 

 

personuppgifter om lagöverträdelser ...............................

51

8

Anordnande av utbildning är både en uppgift av allmänt

 

 

intresse och ett viktigt allmänt intresse ..........................................

52

9

Rättsliga grunder för personuppgiftsbehandling inom

 

 

utbildningsområdet

.........................................................................

54

 

9.1

Skollagsreglerad verksamhet...........................................

54

 

 

9.1.1

Vilka personuppgifter behandlas inom

 

 

 

.........................

skollagsreglerad verksamhet?

54

 

 

9.1.2

Den rättsliga grunden uppgift av allmänt

 

 

 

 

intresse kan användas inom

 

 

 

...........................

skollagsreglerad verksamhet

57

 

 

9.1.3

Den rättsliga grunden

 

 

 

 

myndighetsutövning kan användas i vissa

 

 

 

.............................................................

fall

68

 

 

9.1.4

Den rättsliga grunden rättslig förpliktelse

 

 

 

.................................

kan användas i vissa fall

69

 

 

9.1.5

Intresseavvägning kan användas men blir

 

 

 

...................................................

sällan aktuell

70

 

 

9.1.6

Den rättsliga grunden samtycke kan

 

 

 

.................

användas i begränsad utsträckning

71

 

9.2

Universitets ...................................- och högskolesektorn

73

 

 

9.2.1

Vilka personuppgifter behandlas inom

 

 

 

............................................

högskolesektorn?

73

 

 

9.2.2

Den rättsliga grunden uppgift av allmänt

 

 

 

............

intresse kan användas av högskolorna

77

 

 

9.2.3

Den rättsliga grunden

 

 

 

 

myndighetsutövning kan användas i vissa

 

 

 

.........................................

fall av högskolorna

82

 

 

9.2.4

Den rättsliga grunden rättslig förpliktelse

 

 

 

........

kan användas i vissa fall av högskolorna

83

 

 

9.2.5

Intresseavvägning kan användas men blir

 

 

 

.........................

sällan aktuell för högskolorna

84

 

 

9.2.6

Den rättsliga grunden samtycke kan

 

 

 

 

användas i begränsad utsträckning av

 

 

 

....................................................

högskolorna

85

 

 

9.2.7

De rättsliga grunderna uppgift av allmänt

 

 

 

 

intresse, samtycke och intresseavvägning

 

 

 

.....................

kan användas av studentkårerna

86

9.3Yrkeshögskolan och andra eftergymnasiala

utbildningar .....................................................................

87

9.3.1Vilka personuppgifter behandlas inom yrkeshögskolan och andra

eftergymnasiala utbildningar? ........................

87

9.3.2Den rättsliga grunden uppgift av allmänt

intresse kan användas .....................................

90

3

Prop. 2017/18:218

4

 

9.3.3

Den rättsliga grunden

 

 

 

myndighetsutövning kan användas i vissa

 

 

 

fall ..............................................................

96

 

9.3.4

Den rättsliga grunden rättslig förpliktelse

 

 

 

kan användas i vissa fall ..................................

97

 

9.3.5

Intresseavvägning kan användas men blir

 

 

 

sällan aktuell....................................................

98

 

9.3.6

Den rättsliga grunden samtycke kan

 

 

 

användas i begränsad utsträckning ..................

99

9.4

Folkbildningen ...............................................................

100

 

9.4.1

Behandling av personuppgifter inom

 

 

 

statsbidragsfinansierad folkbildning..............

100

 

9.4.2

Den rättsliga grunden uppgift av allmänt

 

 

 

intresse kan användas vid bedrivandet av

 

 

 

utbildning inom statsbidragsfinansierad

 

 

 

folkbildning ...................................................

102

 

9.4.3

De rättsliga grunderna uppgift av allmänt

 

 

 

intresse eller intresseavvägning kan

 

 

 

användas vid behandling av

 

 

 

personuppgifter inom folkbildning som

 

 

 

finansieras på annat sätt än genom

 

 

 

statsbidrag......................................................

106

9.5

Studiestödsverksamheten ...............................................

107

 

9.5.1

Vilka personuppgifter behandlas inom

 

 

 

studiestödet? ..................................................

107

 

9.5.2

Den rättsliga grunden uppgift av allmänt

 

 

 

intresse kan användas ....................................

108

 

9.5.3

Den rättsliga grunden

 

 

 

myndighetsutövning kan användas för en

 

 

 

rad åtgärder....................................................

111

 

9.5.4

Samtycke ska inte användas som rättslig

 

 

 

grund ............................................................

111

10 Som huvudregel krävs inte lagform för

 

personuppgiftsbehandling på utbildningsområdet ........................

113

11 Det krävs inte fler särskilda registerförfattningar på

 

utbildningsområdet

.......................................................................

119

12 Var ska kompletterande bestämmelser om

 

personuppgiftsbehandling placeras? .............................................

123

13 Sektorslagstiftningen ska kompletteras med bestämmelser om

 

behandling av känsliga personuppgifter........................................

128

13.1

Dataskyddsförordningen tillåter bara behandling av

 

 

känsliga personuppgifter i vissa fall ...............................

128

13.2Det finns kompletterande bestämmelser om känsliga

personuppgifter i dataskyddslagen .................................

129

13.2.1Behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse möjliggörs i

vissa fall.........................................................

129

13.2.2Övriga bestämmelser om behandling av

känsliga personuppgifter ...............................

131

13.3

Kompletterande bestämmelser om känsliga

Prop. 2017/18:218

 

personuppgifter ska införas i skollagen .........................

131

 

13.3.1

Det finns behov av behandling av

 

 

 

känsliga personuppgifter på det

 

 

 

skollagsreglerade området ............................

131

 

13.3.2

Ytterligare reglering av behandling av

 

 

 

känsliga personuppgifter som krävs enligt

 

 

 

lag behövs inte..............................................

135

 

13.3.3

Behandling av känsliga personuppgifter

 

 

 

som är nödvändig för en hantering som

 

 

 

motsvarar handläggningen av ett ärende

 

 

 

ska tillåtas .....................................................

137

 

13.3.4

Behandling av känsliga personuppgifter

 

 

 

ska tillåtas i annat fall om det inte innebär

 

 

 

ett otillbörligt intrång....................................

140

 

13.3.5

Ytterligare rättsligt stöd för behandling av

 

 

 

känsliga personuppgifter om hälsa behövs

 

 

 

inte ...........................................................

142

 

13.3.6

Ytterligare rättsligt stöd för behandling av

 

 

 

känsliga personuppgifter om etniskt

 

 

 

ursprung i sameskolan behövs inte ...............

147

 

13.3.7

Ytterligare rättsligt stöd för

 

 

 

hemkommuners behandling av känsliga

 

 

 

personuppgifter i ärenden behövs inte ..........

148

 

13.3.8

Ytterligare rättsligt stöd för kommuners

 

 

 

behandling av känsliga personuppgifter i

 

 

 

annat fall behövs inte....................................

149

 

13.3.9

Det behövs inte något bemyndigande att

 

 

 

meddela föreskrifter om ytterligare

 

 

 

bestämmelser om behandling av känsliga

 

 

 

personuppgifter.............................................

152

 

13.3.10

Det ska vara förbjudet att utföra vissa

 

 

 

sökningar i syfte att få fram ett

 

 

 

personurval grundat på känsliga

 

 

 

personuppgifter.............................................

153

13.4Kompletterande bestämmelser om känsliga personuppgifter ska införas i lagen om tillstånd att

utfärda vissa examina ....................................................

156

13.4.1Det finns behov av att behandla känsliga

personuppgifter på högskoleområdet............

156

13.4.2Ytterligare reglering av behandling av känsliga personuppgifter som krävs enligt

 

lag behövs inte..............................................

159

13.4.3

Behandling av känsliga personuppgifter

 

 

som är nödvändiga för en hantering som

 

 

motsvarar handläggning av ett ärende ska

 

 

tillåtas ...........................................................

160

13.4.4Behandling av känsliga personuppgifter ska tillåtas i annat fall om det inte innebär

ett otillbörligt intrång....................................

161

5

Prop. 2017/18:218

13.4.5

Det ska vara förbjudet att utföra sökningar

 

 

 

i syfte att få fram ett personurval grundat

 

 

 

på känsliga personuppgifter ...........................

163

13.5

Kompletterande bestämmelser om känsliga

 

 

personuppgifter ska införas i lagen om

 

 

yrkeshögskolan...............................................................

164

 

13.5.1

Det finns behov av att behandla känsliga

 

 

 

personuppgifter inom yrkeshögskolan och

 

 

 

annan eftergymnasial utbildning ...................

164

 

13.5.2

Ytterligare reglering av behandling av

 

 

 

känsliga personuppgifter som krävs enligt

 

 

 

lag behövs inte ...............................................

165

 

13.5.3

Behandling av känsliga personuppgifter

 

 

 

som är nödvändiga för en hantering som

 

 

 

motsvarar handläggning av ett ärende ska

 

 

 

tillåtas ............................................................

166

 

13.5.4

Behandling av känsliga personuppgifter

 

 

 

ska tillåtas i annat fall om det inte innebär

 

 

 

ett otillbörligt intrång .....................................

169

 

13.5.5

Det ska vara förbjudet att utföra sökningar

 

 

 

i syfte att få fram ett personurval grundat

 

 

 

på känsliga personuppgifter ...........................

171

13.6

Folkbildningen bör ges rättsligt stöd för att behandla

 

 

känsliga personuppgifter ................................................

172

13.7

Studiestödsdatalagens bestämmelser om känsliga

 

 

personuppgifter ska hänvisa till

 

 

dataskyddsförordningen .................................................

174

14 Sektorslagstiftningen ska kompletteras med bestämmelser om

 

behandling av personuppgifter som rör lagöverträdelser ..............

177

14.1

Dataskyddsförordningen tillåter bara behandling av

 

 

personuppgifter som rör lagöverträdelser i vissa fall .....

177

14.2

Dataskyddslagen kompletterar

 

 

dataskyddsförordningen .................................................

178

14.3

Kompletterande bestämmelser om lagöverträdelser

 

 

ska införas i skollagen ....................................................

179

 

14.3.1

Det finns behov av behandling av

 

 

 

personuppgifter som rör lagöverträdelser i

 

 

 

skollagsreglerad verksamhet .........................

179

 

14.3.2

Behandling av personuppgifter som rör

 

 

 

lagöverträdelser ska tillåtas i vissa fall ..........

180

14.4

Kompletterande bestämmelser om lagöverträdelser

 

 

ska införas i lagen om tillstånd att utfärda vissa

 

 

examina

..........................................................................

182

 

14.4.1

Det finns behov av behandling av

 

 

 

personuppgifter som rör lagöverträdelser

 

 

.......................................

på högskoleområdet

182

 

14.4.2

Behandling av personuppgifter som rör

 

 

 

fällande domar i brottmål ska tillåtas i

 

 

........

ärenden om avskiljande från utbildning

182

6

 

 

 

14.5Kompletterande bestämmelser om lagöverträdelser

ska införas i lagen om yrkeshögskolan..........................

184

14.5.1Det finns behov av behandling av personuppgifter som rör lagöverträdelser i yrkeshögskolan och annan eftergymnasial

utbildning......................................................

184

14.5.2Behandling av personuppgifter som rör lagöverträdelser m.m. ska tillåtas i

ärenden om avskiljande från utbildning........

185

14.6Någon särskild reglering om lagöverträdelser behövs

 

inte för folkhögskolorna eller studieförbunden .............

186

14.7

Studiestödsdatalagens bestämmelser om

 

 

lagöverträdelser ska hänvisa till

 

 

dataskyddsförordningen ................................................

187

15 Vissa ytterligare anpassningar till dataskyddsförordningen ska

 

göras i studiestödsdatalagen.........................................................

188

15.1Bestämmelser i studiestödsdatalagen som bedöms

 

vara förenliga med dataskyddsförordningen .................

188

15.2

Rätten att göra invändningar ska inte gälla

 

 

behandling av personuppgifter som är tillåten enligt

 

 

studiestödsdatalagen......................................................

189

15.3Studiestödsdatalagens bestämmelse om rättelse och

skadestånd ska upphävas ...............................................

191

15.4Studiestödsdatalagens bemyndigande om gallring ska omfatta samma personuppgifter som

 

 

dataskyddsförordningen ................................................

192

16

Förhållandet till annan dataskyddsreglering ska framgå av

 

 

sektorslagstiftningen ....................................................................

193

17

Hänvisningar till dataskyddsförordningen ska vara dynamiska ...

197

18

Ikraftträdande och övergångsbestämmelser .................................

198

 

18.1

Lagändringarna ska träda i kraft den 1 augusti 2018.....

198

 

18.2

Övergångsbestämmelser behövs inte.............................

199

19

Konsekvenser ...............................................................................

200

20

Författningskommentar ................................................................

203

20.1Förslag till lag om ändring i lagen (1993:792) om

tillstånd att utfärda vissa examina .................................

203

20.2Förslag till lag om ändring i lagen (2009:128) om

yrkeshögskolan..............................................................

207

20.3Förslag till lag om ändring i studiestödsdatalagen

 

(2009:287) .....................................................................

210

20.4

Förslag till lag om ändring i skollagen (2010:800)........

214

Bilaga 1

Dataskyddsförordningen................................................

221

Bilaga 2

Sammanfattning av betänkandet EU:s

 

 

dataskyddsförordning och utbildningsområdet (SOU

 

 

2017:49) ........................................................................

309

Bilaga 3

Betänkandets lagförslag.................................................

321

Prop. 2017/18:218

7

Prop. 2017/18:218 Bilaga 4

Förteckning över remissinstanser ...................................

331

Bilaga 5

Lagrådsremissens lagförslag ..........................................

332

Bilaga 6

Lagrådets yttrande ..........................................................

342

Utdrag ur protokoll vid regeringssammanträde den 5 april 2018 .........

345

8

1

Förslag till riksdagsbeslut

Prop. 2017/18:218

Regeringen föreslår att riksdagen antar regeringens förslag till

1.lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina,

2.lag om ändring i lagen (2009:128) om yrkeshögskolan,

3.lag om ändring i studiestödsdatalagen (2009:287),

4.lag om ändring i skollagen (2010:800).

9

Prop. 2017/18:218 2

Lagförslag

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina

Härigenom föreskrivs i fråga om lagen (1993:792) om tillstånd att utfärda vissa examina1

dels att nuvarande 5 och 6 §§ ska betecknas 6 och 5 §§,

dels att det ska införas fem nya paragrafer, 10–14 §§, och närmast före 10 § en ny rubrik av följande lydelse,

dels att det ska införas en ny rubrik närmast före 1 § som ska lyda ”Tillstånd att utfärda examina”, en ny rubrik närmast före den nya 6 § som ska lyda ”Uppföljning och utvärdering”, en ny rubrik närmast före 7 § som ska lyda ”Återkallelse av tillstånd” och en ny rubrik närmast före 8 § som ska lyda ”Utfärdande av examina utan tillstånd”.

Nuvarande lydelse

Föreslagen lydelse

 

 

 

Behandling av personuppgifter

 

10 §

 

 

 

 

 

Bestämmelserna i 13 och 14 §§

 

tillämpas

vid

behandling

av

 

personuppgifter

i

verksamhet

hos

 

en enskild

utbildningsanordnare

 

som har fått tillstånd att utfärda

 

examina och som bedrivs med stöd

 

av denna lag, bestämmelser för

 

utbildningen som finns i annan

 

författning

eller

beslut

som

 

meddelats med stöd av någon av

 

dessa författningar.

 

11 §

Bestämmelserna i 13 och 14 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om

1 Senaste lydelse av

5 § 2000:1371

6 § 2000:1371.

10

upphävande av direktiv 95/46/EG Prop. 2017/18:218

(allmän dataskyddsförordning), här benämnd EU:s dataskydds- förordning.

Termer och uttryck i 13 och 14 §§ har samma betydelse som i EU:s dataskyddsförordning.

12 §

Bestämmelser om behandling av personuppgifter finns även i lagen (2018:000) med kompletterande bestämmelser till EU:s data- skyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.

13 §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare

1.om behandlingen är nöd- vändig för en hantering som mot- svarar handläggning av ett ärende hos en myndighet, eller

2.i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång

iden registrerades personliga integritet.

Vid behandling som sker med stöd av första stycket är det för- bjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personupp- gifter.

För vissa enskilda utbildnings- anordnare som jämställs med myn-

digheter finns det bestämmelser om behandling av känsliga person- uppgifter och om sökbegräns- ningar i 3 kap. 3 § dataskydds- lagen.

14 §

 

Personuppgifter som rör fäl-

 

lande domar i brottmål får be-

11

Prop. 2017/18:218

handlas av en enskild utbildnings-

 

anordnare

om

behandlingen

är

 

nödvändig för en hantering som

 

motsvarar

handläggning av

ett

 

ärende hos en myndighet om att

 

avskilja en student från utbildning.

 

För enskilda

utbildningsanord-

 

nare som är skyldiga att följa

 

föreskrifter om arkiv finns det även

 

bestämmelser om behandling

av

 

personuppgifter som avses i artikel

 

10 i EU:s dataskyddsförordning i

 

3 kap. 8 § dataskyddslagen.

 

Denna lag träder i kraft den 1 augusti 2018.

12

Prop. 2017/18:218

2.2Förslag till lag om ändring i lagen (2009:128) om yrkeshögskolan

Härigenom föreskrivs att det i lagen (2009:128) om yrkeshögskolan ska införas fem nya paragrafer, 19 a–19 e §§, och närmast före 19 a § en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

 

 

 

Behandling av personuppgifter

 

19 a §

 

 

 

Bestämmelserna

i

19 d och

 

19 e §§ tillämpas vid

behandling

 

av personuppgifter

i

verksamhet

inom yrkeshögskolan som bedrivs med stöd av denna lag, föreskrifter som meddelats med stöd av lagen, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.

19 b §

Bestämmelserna i 19 d och 19 e §§ kompletterar Europaparla- mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska per- soner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskydds- förordning.

Termer och uttryck i 19 d och 19 e §§ har samma betydelse som i EU:s dataskyddsförordning.

19 c §

Bestämmelser om behandling av personuppgifter finns även i lagen (2018:000) med kompletterande bestämmelser till EU:s data- skyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till

den lagen.

13

Prop. 2017/18:218

19 d §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsföror- dning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare

1. om behandlingen är nöd- vändig för en hantering som mot- svarar handläggning av ett ärende hos en myndighet, eller

2. i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga in- tegritet.

Vid behandling som sker med stöd av första stycket är det för- bjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personupp- gifter.

För myndigheter finns det be- stämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.

19 e §

Personuppgifter som rör fäl- lande domar i brottmål får be- handlas av en enskild utbildnings- anordnare om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en studerande från utbild- ning.

För myndigheter finns det be- stämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § första stycket data- skyddslagen.

Denna lag träder i kraft den 1 augusti 2018.

14

2.3

Förslag till lag om ändring i

Prop. 2017/18:218

 

studiestödsdatalagen (2009:287)

 

Härigenom föreskrivs i fråga om studiestödsdatalagen (2009:287) dels att 7 och 15 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 7 och 15 §§ ska utgå,

dels att 2, 5, 6, 8, 10 och 16 §§ och rubriken närmast före 2 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 2 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

 

 

Förhållandet

till personupp-

Förhållandet

till

annan

giftslagen och lagen om den

reglering

 

 

officiella statistiken

 

 

 

 

 

 

2 §

 

 

I den mån

personuppgiftslagen

Denna lag kompletterar Europa-

(1998:204)

innehåller bestäm-

parlamentets och rådets förord-

melser om behandling av person-

ning (EU) 2016/679 av den 27

uppgifter som saknar motsvarighet

april 2016 om skydd för fysiska

i denna lag, ska personuppgifts-

personer med avseende på be-

lagen tillämpas vid behandling av

handling av personuppgifter och

personuppgifter i Centrala studie-

om det fria flödet av sådana

stödsnämndens

studiestödsverk-

uppgifter och om upphävande av

samhet.

 

 

direktiv 95/46/EG (allmän data-

 

 

 

skyddsförordning),

här

benämnd

 

 

 

EU:s dataskyddsförordning.

Vid Centrala studiestödsnämnd-

Termer och uttryck i denna lag

ens behandling av personuppgifter

har samma betydelse som i EU:s

för att framställa statistik ska

dataskyddsförordning.

 

lagen (2001:99) om den officiella

 

 

 

statistiken och anslutande författ-

 

 

 

ningar tillämpas i stället för denna

 

 

 

lag.

 

 

 

 

 

2 a §

Vid behandling av person- uppgifter enligt denna lag gäller lagen (2018:000) med komplette- rande bestämmelser till EU:s dataskyddsförordning, och före- skrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna lag.

Vid Centrala studiestödsnämn- dens behandling av personupp-

gifter för att framställa statistik

15

Prop. 2017/18:218

ska lagen (2001:99) om den

 

officiella statistiken och anslutan-

 

de författningar tillämpas i stället

 

för denna lag.

 

5 §

Behandling av personuppgifter

Artikel 21.1 i EU:s dataskydds-

som enligt denna lag är tillåten

förordning om rätten att göra

utan den registrerades samtycke

invändningar gäller inte vid sådan

får utföras även om den regi-

behandling som är tillåten enligt

strerade motsätter sig behand-

denna lag eller föreskrifter som

lingen.

har meddelats i anslutning till

 

lagen.

 

6 §

Särskilda begränsningar gäller för behandling av personuppgifter som

1.avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller med- lemskap i fackförening,

2.avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberöv- anden, eller

3.rör hälsa eller sexualliv. Uppgifter enligt första stycket får behandlas bara för ändamål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket.

Personuppgifter som avses i artikel 9.1 i EU:s data- skyddsförordning (känsliga personuppgifter) och personupp- gifter som avses i artikel 10 i samma förordning får behandlas av Centrala studiestödsnämnden för ändamål som avses i 4 § första stycket 1 och 6 och andra stycket.

 

 

 

8 §

 

 

 

Som sökbegrepp får inte an-

Det är förbjudet att använda

 

vändas

 

sökbegrepp som avslöjar

 

 

1. uppgifter

som avslöjar ras,

1. känsliga personuppgifter,

 

etniskt ursprung, politiska åsikter,

 

 

 

 

religiös eller filosofisk övertygelse

 

 

 

 

eller medlemskap i fackförening,

2. personuppgifter

som

avses i

 

2. uppgifter som avser lagöver-

 

trädelser som

innefattar brott,

artikel 10 i EU:s dataskydds-

 

domar i brottmål, straffprocess-

förordning,

 

 

 

uella tvångsmedel eller admi-

 

 

 

 

nistrativa frihetsberövanden,

 

 

 

16

3. uppgifter som rör hälsa, sex-

3. uppgifter som

rör

inkomst,

ualliv,

inkomst, förmögenhet eller

förmögenhet

eller

anledning till Prop. 2017/18:218

anledning till studieavbrott, eller

studieavbrott, eller

 

4. uppgift om att det allmänna helt eller till en väsentlig del bekostat en

persons uppehälle.

 

 

 

 

Vid sökning i ett visst ärende om

Sökbegrepp som avslöjar upp-

studiestöd, i en viss handling eller

gifter som anges i första stycket får

i en sådan avskild samling av

dock användas vid sökning i ett

personuppgifter som avses i 4 §

visst ärende om studiestöd, i en

andra stycket andra meningen får

viss handling eller i en sådan av-

dock sökbegrepp som anges i

skild

samling

av

personuppgifter

första stycket användas. Som sök-

som

avses i

4 §

andra stycket

begrepp får också användas upp-

andra meningen.

 

gifter som rör

 

 

 

 

1. hälsa för att ge behörig perso-

 

 

 

 

nal elektronisk tillgång till på-

 

 

 

 

gående ärenden där sjukdom har

 

 

 

 

betydelse, och

 

 

 

 

2. inkomst och förmögenhet för

 

 

 

 

att ge behörig personal elektronisk

 

 

 

 

tillgång till ärenden i syfte att

 

 

 

 

kunna

genomföra kontroller av

 

 

 

 

uppgifter som har legat till grund för ett beslut i ett ärende.

Sökbegrepp får också användas om de avslöjar uppgifter som rör

1.hälsa, om det är nödvändigt för att ge behörig personal elek- tronisk tillgång till pågående ären- den där sjukdom har betydelse, och

2.inkomst och förmögenhet, om det är nödvändigt för att ge behö- rig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.

10 §

Direktåtkomst till och annat el- ektroniskt utlämnande utan den registrerades samtycke av person- uppgifter som behandlas i Centrala studiestödsnämndens studiestöds- verksamhet, är tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att 4 och 6–8 §§ följs.

Direktåtkomst till och annat el- ektroniskt utlämnande av person- uppgifter som behandlas i Centrala studiestödsnämndens studiestöds- verksamhet, är tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att 4, 6 och 8 §§ följs.

17

Prop. 2017/18:218

16 §

Om återbetalning

eller återkrav av studiestöd inte är aktuellt i ett

ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska person- uppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.

Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast

ett år efter det att uppgifterna registrerades.

 

 

 

Regeringen eller den myndighet

Regeringen eller den myndighet

som regeringen bestämmer

får

som regeringen bestämmer får

meddela föreskrifter om att per-

meddela föreskrifter om att per-

sonuppgifter får bevaras för his-

sonuppgifter får bevaras för arkiv-

toriska, statistiska eller veten-

ändamål

av

allmänt

intresse,

skapliga ändamål eller för redo-

vetenskapliga

eller

historiska

visningsändamål, även om före-

forskningsändamål,

statistiska

skrifterna kommer att avvika från

ändamål eller för redovisnings-

första stycket. Centrala studie-

ändamål,

även

om föreskrifterna

stödsnämnden får också,

trots

kommer att avvika från första

första stycket, i enstaka fall besluta

stycket. Centrala studiestödsnämn-

att personuppgifterna i ett ärende

den får också, trots första stycket, i

om studiestöd ska bevaras på

enstaka fall besluta att person-

papper eller annat medium som

uppgifterna i ett ärende om studie-

inte är elektroniskt.

 

stöd ska bevaras på papper eller

 

 

annat medium som inte är elektro-

 

 

niskt.

 

 

 

Denna lag träder i kraft den 1 augusti 2018.

18

2.4Förslag till lag om ändring i skollagen (2010:800)

Härigenom föreskrivs i fråga om skollagen (2010:800) dels att 1 kap. 12 § ska ha följande lydelse,

dels att det ska införas ett nytt kapitel, 26 a kap., av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 kap.

 

12 §2

Lagen är uppdelad i 29 kapitel.

Lagen är uppdelad i 30 kapitel.

Dessa är

inledande bestämmelser (1 kap.),

huvudmän och ansvarsfördelning (2 kap.),

barns och elevers utveckling mot målen (3 kap.),

kvalitet och inflytande (4 kap.),

trygghet och studiero (5 kap.),

åtgärder mot kränkande behandling (6 kap.),

skolplikt och rätt till utbildning (7 kap.),

förskolan (8 kap.),

förskoleklassen (9 kap.),

grundskolan (10 kap.),

grundsärskolan (11 kap.),

specialskolan (12 kap.),

sameskolan (13 kap.),

fritidshemmet (14 kap.),

gymnasieskolan (15–17 a kap.),

gymnasiesärskolan (18 och 19 kap.),

kommunal vuxenutbildning (20 kap.),

särskild utbildning för vuxna (21 kap.),

entreprenad och samverkan (23 kap.),

särskilda utbildningsformer (24 kap.),

annan pedagogisk verksamhet (25 kap.),

tillsyn, statlig kvalitetsgranskning och nationell uppföljning och utvärdering (26 kap.),

behandling av personuppgif- ter (26 a kap.),

Skolväsendets överklagandenämnd och Lärarnas ansvarsnämnd

(27 kap.),

överklagande (28 kap.), och

övriga bestämmelser (29 kap.).

2 Senaste lydelse 2015:482.

Prop. 2017/18:218

19

Prop. 2017/18:218

26 a kap. Behandling av per- sonuppgifter

1 §

Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som bedrivs med stöd av denna lag, föreskrifter som meddelats med stöd av lagen, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.

Detta kapitel ska inte tillämpas på behandling av personuppgifter i elevhälsan som utförs inom hälso- och sjukvården.

Förhållande till annan data- skyddsreglering

2 §

Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskydds- förordning.

Termer och uttryck i detta kapitel har samma betydelse som i EU:s dataskyddsförordning.

3 §

Bestämmelser om behandling av personuppgifter finns även i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.

20

Känsliga personuppgifter

4 §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsföro- rdning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas hos en enskild huvudman enligt 2 kap. eller hos en enskild aktör enligt 24 eller 25 kap.

1.om behandlingen är nödvän- dig för en hantering som mot- svarar handläggning av ett ärende hos en myndighet, eller

2.i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång

iden registrerades personliga integritet.

Vid behandling som sker med stöd av första stycket är det för- bjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga person- uppgifter.

För myndigheter och vissa andra organ finns det bestäm- melser om behandling av känsliga personuppgifter och om sök- begränsningar i 3 kap. 3 § data- skyddslagen.

5 §

Regeringen får meddela före- skrifter om undantag från de sökbegränsningar som avses i 4 § andra stycket denna lag och i 3 kap. 3 § andra stycket data- skyddslagen i fråga om person- uppgifter om hälsa i verksamhet hos en huvudman för

1.grundsärskola,

2.specialskolan,

3.gymnasiesärskola,

4.särskild utbildning för vuxna,

5.gymnasieskola med Rh-anpa- ssad utbildning,

6.utbildning i gymnasieskolan för elever som är döva, hörsel- skadade eller dövblinda eller har

Prop. 2017/18:218

21

Prop. 2017/18:218

en språkstörning, och

 

 

 

 

7. förskola,

förskoleklass

eller

 

skola som har begränsats till att

 

avse elever som är i behov av

 

särskilt stöd.

 

 

 

 

 

 

Regeringen

får

också

meddela

 

föreskrifter om

undantag

från

 

sökbegränsningen i 3 kap. 3 §

 

andra stycket

dataskyddslagen

i

 

fråga om personuppgifter om

 

 

 

1. etniskt ursprung i verksamhet

 

hos en huvudman för sameskolan,

 

och

 

 

 

 

 

 

2. hälsa och etniskt ursprung i

 

verksamhet hos en kommun.

 

 

 

Personuppgifter som rör lagöver-

 

trädelser

 

 

 

 

 

 

6 §

 

 

 

 

 

 

Personuppgifter

som

avses

i

artikel 10 i EU:s dataskyddsför- ordning får behandlas i verk- samhet hos en huvudman för en fristående skola om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet

1. i löpande text inom elev- hälsan, och

2. i skriftlig dokumentation som ska föras enligt 5 kap. 24 §.

För myndigheter finns det bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen. Där finns det även bestämmelser för andra än myndigheter som är skyldiga att följa föreskrifter om arkiv.

Denna lag träder i kraft den 1 augusti 2018.

22

3

Ärendet och dess beredning

Prop. 2017/18:218

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Dataskyddsförordningen, som börjar tillämpas den 25 maj 2018, finns i svensk lydelse i bilaga 1.

Regeringen beslutade den 30 juni 2016 att tillkalla en särskild utredare som bl.a. fick i uppdrag att undersöka vilken reglering av personupp- giftsbehandling inom utbildningsområdet som är möjlig och kan behövas utöver dels regleringen i dataskyddsförordningen, dels den generella reglering som den redan tillsatta Dataskyddsutredningen (Ju 2016:04) hade i uppdrag att föreslå med anledning av dataskyddsförordningen. Den nya utredningen, som tog sig namnet Utbildningsdatautredningen (U 2016:03), överlämnade i juni 2017 betänkandet EU:s dataskydds- förordning och utbildningsområdet (SOU 2017:49). En sammanfattning av betänkandet finns i bilaga 2. Utredningens lagförslag finns i bilaga 3. Betänkandet har remissbehandlats. En förteckning över remissinstans- erna finns i bilaga 4. Remissyttrandena och en sammanställning av dessa finns tillgängliga i Utbildningsdepartementet (U2017/02586/RS).

Datainspektionen har beretts tillfälle yttra sig över ett utkast till lagrådsremiss. Utkastet överensstämmer i allt väsentligt med lagråds- remissen. Vissa myndigheter och enskilda har beretts tillfälle att yttra sig över delar av utkastet till lagrådsremiss. Dessa är Statens skolverk, Statens skolinspektion, Specialpedagogiska skolmyndigheten, Sameskol- styrelsen, Sveriges Kommuner och Landsting, Friskolornas Riksförbund, Lärarförbundet, Lärarnas riksförbund Sveriges skolledarförbund, Riks- förbundet FUB (avsnitt 2.4, 9.1, 13.3) Myndigheten för yrkeshögskolan (avsnitt 2.2, 20.2), Chalmers tekniska högskola AB (avsnitt 2.1, 20.1), Sveriges förenade studentkårer (avsnitt 9.2.7) Statistiska centralbyrån, Folkbildningsrådet, Studieförbunden i samverkan, Studieförbundet SISU Idrottsutbildarna (avsnitt 5, 5.4, 9.4, 13.6) och Centrala Studiestöds- nämnden (avsnitt 9.5, 13.7, 15, 18.2). Yttranden har inkommit från samtliga utom Lärarförbundet, Lärarnas riksförbund, Sveriges skol- ledarförbund, Riksförbundet FUB och Myndigheten för yrkeshögskolan. Chalmers tekniska högskola har avstått från att yttra sig. Synpunkterna behandlas i respektive avsnitt. Inkomna yttranden finns tillgängliga i Utbildningsdepartementet (U2017/02586/RS).

Lagrådet

Regeringen beslutade den 1 mars 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga 6. Lagrådets synpunkter behandlas i avsnitt 16 och i författ-

ningskommentaren. I förhållande till lagrådsremissens

lagförslag

har vissa språkliga och redaktionella ändringar gjorts.

 

Förslaget till följdändring i 1 kap. 12 § skollagen (2010:800) är

författningstekniskt och även i övrigt av sådan beskaffenhet att Lagrådets

hörande skulle sakna betydelse. Regeringen har därför inte inhämtat

Lagrådets yttrande över det förslaget.

23

Prop. 2017/18:218

4

Ändringar i EU-rätten medför behov av

 

 

ändringar i den svenska regleringen av

 

 

behandling av personuppgifter

 

4.1

Dataskyddsdirektivet ska ersättas av en

 

 

dataskyddsförordning

 

När myndigheter och enskilda behandlar personuppgifter inom utbild-

 

ningsområdet sker det i huvudsak med stöd av personuppgiftslagen

 

(1998:204), förkortad PUL. Med utbildningsområdet avses bl.a. skol-

 

väsendet och annan verksamhet som regleras i skollagen (2010:800), den

 

verksamhet som bedrivs av universitet och högskolor, yrkeshögskolan,

 

folkbildningen och studiestödet.

 

PUL är en lag som har tillkommit i syfte att genomföra Europaparla-

 

mentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd

 

för enskilda personer med avseende på behandling av personuppgifter

 

och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Syftet

 

med direktivet är åstadkomma en likvärdig skyddsnivå i alla med-

 

lemsstater i fråga om fysiska personers grundläggande fri- och rättig-

 

heter, särskilt rätten till privatliv, i samband med behandling av person-

 

uppgifter och därigenom eliminera hindren mot det fria flödet av person-

 

uppgifter mellan medlemsstaterna (artikel 1 och skäl 7–9). Direktivet

 

utgör i sin tur en precisering av Europarådets konvention om skydd för

 

enskilda vid automatisk databehandling av personuppgifter (CETS 108),

 

den s.k. dataskyddskonventionen, och dess tilläggsprotokoll. Konven-

 

tionen kompletteras av ett antal rekommendationer som har antagits av

 

ministerkommittén om hur personuppgifter bör behandlas inom olika

 

områden. Sverige har, i likhet med övriga medlemsstater i EU, anslutit

 

sig till dataskyddskonventionen. Under 2010 inledde Europarådet en

 

översyn av dataskyddskonventionen. Hur lång tid det kommer att ta

 

innan översynen är klar är svårt att förutse.

 

Dataskyddsdirektivet har ett begränsat tillämpningsområde. Det är inte

 

tillämpligt på t.ex. behandling som gäller allmän säkerhet, statens säker-

 

het eller statens verksamhet på straffrättens område. PUL har dock, till

 

skillnad från direktivet, gjorts generellt tillämplig och är därför tillämplig

 

även utanför EU-rättens område. Skälet för detta är att den svenska data-

 

skyddsreglering som gällde före införandet av PUL i princip var generellt

 

tillämplig på all automatisk behandling av personregister, med vissa

 

undantag. När den dåvarande datalagen (1973:289) skulle ersättas av

 

PUL, ansågs det lämpligt att även den nya lagen skulle omfatta sådan

 

verksamhet som faller utanför EU-rätten (prop. 1997/98:44 s. 40 f.). PUL

 

ska dock inte tillämpas om avvikande bestämmelser finns i annan lag

 

eller förordning, dvs. PUL är subsidiär i förhållande till annan författ-

 

ningsreglering.

 

Sedan dataskyddsdirektivet beslutades har den ekonomiska och sociala

 

integrationen på EU:s inre marknaden lett till en betydande ökning av

 

gränsöverskridande flöden av personuppgifter. Vidare har den snabba

 

tekniska utvecklingen och globaliseringen skapat nya utmaningar i fråga

24

om skyddet av personuppgifter. Dessa förändringar har av EU:s med-

lemsstater ansetts kräva en stark och mer sammanhängande ram för Prop. 2017/18:218 dataskyddet inom EU. Dataskyddsdirektivet har inte heller förhindrat

bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgifter har ansetts förhindra det fria flödet av personuppgifter och anses därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten.

Av bl.a. ovan nämnda skäl antogs den 27 april 2016 Europaparlamen- tets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning). Den nya rättsakten, som i det följande benämns data- skyddsförordningen, syftar till att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Förordningen syftar även till att skapa rättslig säkerhet och öppenhet för ekonomiska aktörer, ge fysiska personer i alla medlemsstater samma rättigheter och skyldigheter och ålägga dem som ansvarar för personuppgifterna samma ansvar. På så sätt avses övervakningen av behandling av personuppgifter bli enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt (skäl 10 och 13 till dataskyddsförordningen).

Dataskyddsförordningen har i likhet med dataskyddsdirektivet ett be- gränsat tillämpningsområde. Vid sidan av dataskyddsförordningen gäller Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndig- heters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

Dataskyddsförordningen ska tillämpas från och med den 25 maj 2018 då dataskyddsdirektivet upphör att gälla (artikel 99.2 och 94.1 i data- skyddsförordningen). Dataskyddsförordningen kommer alltså att ersätta dataskyddsdirektivet. Denna förändring innebär att PUL kommer att upp- hävas och att det även i övrigt kommer att behöva göras ändringar i svensk rätt.

4.2Dataskyddsförordningen är direkt tillämplig men kan kompletteras i nationell rätt

Dataskyddsförordningen är till alla delar bindande och direkt tillämplig i medlemsstaterna (artikel 99.2 i dataskyddsförordningen). Att en EU- förordning ska ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat framgår också av Fördraget om Europeiska unionens funktionssätt (artikel 288 andra stycket). Till skillnad från EU-direktiv ska alltså EU-förordningar inte implementeras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av en-

25

Prop. 2017/18:218 skilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmelser.

Även om dataskyddsförordningen, till skillnad från dataskyddsdirek- tivet, är direkt tillämplig i medlemsstaterna, innehåller den många be- stämmelser som förutsätter eller ger utrymme för kompletterande natio- nella bestämmelser av olika slag. Sådana bestämmelser måste dock vara förenliga med dataskyddsförordningen och avse en fråga som får regleras genom nationell rätt. Möjligheten till kompletterande nationella bestäm- melser gäller framför allt för bestämmelser som reglerar förhållandena inom den offentliga sektorn i respektive medlemsstat. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen bl.a. när det handlar om behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.2 i dataskyddsförordningen). Förordningen har därmed i vissa delar en direktivliknande karaktär. Om förordningen föreskriver att förtyd- liganden eller begränsningar av dess bestämmelser kan eller ska göras i medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8 till dataskyddsförordningen).

4.3 Dataskyddsförordningen ska kompletteras av en ny svensk övergripande lag och förordning om dataskydd

 

Till följd av att dataskyddsdirektivet upphävs och ersätts av dataskydds-

 

förordningen beslutade regeringen den 15 februari 2018 propositionen

 

Ny dataskyddslag (prop. 2017/18:105). I propositionen, som baseras på

 

ett betänkande från den i avsnitt 3 nämnda Dataskyddsutredningen (SOU

 

2017:39), föreslås att PUL ska upphävas. I stället ska bestämmelser som

 

kompletterar dataskyddsförordningen och är av generell karaktär samlas i

 

en ny övergripande lag om dataskydd. För att betona att lagen inte är hel-

 

täckande, utan endast utgör komplement till dataskyddsförordningen,

 

föreslås den benämnas lagen med kompletterande bestämmelser till EU:s

 

dataskyddsförordning. Den föreslagna nya lagen förkortas i det följande

 

dataskyddslagen.

 

På motsvarande sätt som PUL har ett vidare tillämpningsområde än

 

dataskyddsdirektivet, föreslås en bestämmelse i dataskyddslagen som

 

utsträcker dataskyddsförordningens tillämpningsområde (1 kap. 2 §).

 

Dataskyddslagen innehåller bl.a. bestämmelser som upplyser om inne-

 

hållet i dataskyddsförordningen, förtydligar innehållet i dataskyddsför-

 

ordningens bestämmelser och kompletterar dataskyddsförordningen i

 

vissa delar. Det anges också att bestämmelser i annan lag eller förordning

 

som rör behandling av personuppgifter och som avviker från dataskydds-

 

lagen ska ha företräde framför dataskyddslagen (1 kap. 6 § dataskydds-

 

lagen), dvs. dataskyddslagen är subsidiär till andra författningar. Det

 

innebär att dataskyddslagen, på motsvarande sätt som PUL, kommer att

26

kunna kompletteras av s.k. registerförfattningar, dvs. författningar som

 

reglerar behandling av personuppgifter på ett avgränsat område. För Prop. 2017/18:218 närvarande kompletteras PUL av ca 200 registerförfattningar. På utbild-

ningsområdet gäller t.ex. studiestödsdatalagen (2009:287), studiestöds- dataförordningen (2009:321) och förordningen (1993:1153) om redo- visning av studier m.m. vid universitet och högskolor.

4.4Dataskyddsförordningen behöver även kompletteras genom svenska bestämmelser på utbildningsområdet

För att den behandling av personuppgifter som i dag sker på utbildnings- området ska kunna fortsätta när dataskyddsförordningen och dataskydds- lagen börjar gälla finns det även behov av kompletterande bestämmelser om personuppgiftsbehandling på utbildningsområdet. De frågor som aktualiseras på utbildningsområdet och där regeringen ser behov att lämna förslag till riksdagen eller informera om sin bedömning gäller förekomsten av rättslig grund för att behandla personuppgifter (avsnitt 9), behandling av känsliga personuppgifter (avsnitt 13), behandling av personuppgifter som rör lagöverträdelser (avsnitt 14) och att studie- stödsdatalagen ska anpassas till dataskyddsförordningen (avsnitt 15).

Nedan ges först en kortfattad redogörelse för gällande rätt då den nya dataskyddsförordningen till stor del baseras på dataskyddsdirektivets struktur och innehåll (avsnitt 4.5). Därefter ges en kort beskrivning av vilka nyheter dataskyddsförordningens reglering innebär (avsnitt 4.6).

4.5

Närmare om gällande rätt

 

Dataskyddsdirektivet

 

Dataskyddsdirektivet syftar till att garantera en hög och i alla medlems-

 

stater likvärdig skyddsnivå när det gäller enskilda personers fri- och

 

rättigheter med avseende på behandling av personuppgifter. Det syftar

 

även till att främja ett fritt flöde av personuppgifter mellan medlems-

 

staterna i EU. Medlemsstaterna får inom den ram som ges i direktivet

 

närmare precisera villkoren för när behandling av personuppgifter får

 

förekomma.

 

Huvuddragen i direktivet är följande. Direktivet gäller för sådan be-

 

handling av personuppgifter som helt eller delvis sker på automatisk väg

 

liksom för annan behandling än automatisk av personuppgifter som ingår

 

i eller kommer att ingå i ett register. Med behandling av personuppgifter

 

avses varje åtgärd eller serie av åtgärder som vidtas beträffande person-

 

uppgifter, vare sig det sker på automatisk väg eller inte, till exempel in-

 

samling, registrering, organisering, lagring, bearbetning eller ändring,

 

återvinning, inhämtande, användning, utlämnande genom översändande,

 

spridning eller annat tillhandahållande av uppgifter, sammanställning

 

eller samkörning, blockering, utplåning eller förstöring (artikel 2 b och

 

3.1 i dataskyddsdirektivet).

 

Direktivet är inte tillämpligt på sådan behandling av personuppgifter

 

som faller utanför gemenskapsrätten, t.ex. behandling som gäller allmän

27

Prop. 2017/18:218 säkerhet, statens säkerhet eller statens verksamhet på straffrättens områ-

 

de.

 

Direktivet är inte heller tillämpligt på behandling av personuppgifter

 

som utförs av en fysisk person som ett led i verksamhet av rent privat

 

natur eller som har samband med hans eller hennes hushåll. Behandling

 

av personuppgifter för journalistiska, konstnärliga och litterära ändamål

 

undantas från direktivets materiella bestämmelser (artikel 3.2 och 9).

 

Medlemsstaterna ska enligt direktivet föreskriva vissa principer för

 

uppgifternas kvalitet. Dessa innebär bl.a. följande. Personuppgifter ska

 

behandlas på ett korrekt och lagligt sätt. Uppgifterna får samlas in endast

 

för särskilda, uttryckligt angivna och berättigade ändamål och de får inte

 

senare användas på ett sätt som är oförenligt med ursprungsändamålet.

 

Senare behandling av uppgifter för historiska, statistiska eller veten-

 

skapliga ändamål ska dock inte anses oförenligt med det ursprungliga

 

ändamålet, förutsatt att medlemsstaterna beslutar om lämpliga skydds-

 

åtgärder.

 

Medlemsstaterna ska vidare föreskriva att personuppgifter endast får

 

behandlas i bl.a. följande fall: när samtycke lämnats, när det är nöd-

 

vändigt för att fullgöra ett avtal i vilket den registrerade är part, när det

 

finns en i författning reglerad förpliktelse att behandling av uppgifterna

 

skall ske, när det är nödvändigt för att skydda den enskildes grund-

 

läggande intressen, när det är nödvändigt att utföra en arbetsuppgift i det

 

allmännas intresse eller som ett led i myndighetsutövning eller efter en

 

intresseavvägning mellan de berättigade intressen som finns för behand-

 

lingen och den registrerades rättigheter (artikel 6 och 7).

 

Så kallade känsliga uppgifter, dvs. uppgifter som avslöjar ras eller

 

etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse,

 

medlemskap i fackförening, samt uppgifter som rör hälsa och sexualliv.

 

får som huvudregel inte behandlas. Det finns dock vissa undantag, bl.a.

 

om den enskilde uttryckligen samtycker, för ideella föreningars med-

 

lemsregister, för hälso- och sjukvårdens administration och vid för-

 

fattningsreglerade skyldigheter. Medlemsstaterna får i sin nationella lag-

 

stiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra

 

undantag från förbudet än dem som anges i direktivet, dock endast under

 

förutsättning att det sker av hänsyn till ett viktigt allmänt intresse och att

 

lämpliga skyddsåtgärder vidtas. Medlemsstaterna ska vidare bestämma

 

på vilka villkor nationella identifikationsnummer får behandlas. Vidare

 

får uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder

 

bara behandlas i vissa angivna fall (artikel 8).

 

Med registeransvarig avses den fysiska eller juridiska person, den

 

myndighet, den institution eller det andra organ som ensamt eller

 

tillsammans med andra bestämmer ändamålen och medlen för be-

 

handlingen av personuppgifter. Med registerförare avses den fysiska eller

 

juridiska person, den myndighet, den institution eller det andra organ

 

som behandlar personuppgifter för den registeransvariges räkning (artikel

 

2 d och 2 e).

 

När personuppgifter samlas in ska de registrerade informeras bl.a. om

 

vem som är registeransvarig och vad uppgifterna ska användas till. All

 

behandling av personuppgifter ska enligt huvudregeln anmälas till en

 

tillsynsmyndighet. Behandling av personuppgifter som innebär särskilda

28

integritetsrisker får inte förekomma utan att tillsynsmyndigheten först

gett tillstånd till detta. Den registrerade ska ha rätt att få sina rättigheter Prop. 2017/18:218 enligt den nationella lagen prövad av tillsynsmyndigheten och domstol.

Överföring av personuppgifter till ett tredje land får i princip endast ske om det mottagande landet har en acceptabel skyddsnivå (se bl.a. artikel 10, 18–20, 22 och 25).

Personuppgiftslagen

Dataskyddsdirektivet har, som angetts ovan, genomförts i svensk rätt huvudsakligen genom PUL. Bestämmelserna i PUL har till syfte att skydda människor mot att deras personliga integritet kränks genom be- handling av personuppgifter. PUL följer i princip dataskyddsdirektivets struktur. Liksom direktivet innehåller PUL bestämmelser om behandling av personuppgifter som helt eller delvis är automatiserad, men även annan behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. PUL gäller både myndigheter och enskilda som behandlar personupp- gifter på detta sätt. Lagen gäller dock inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (5 och 6 §§ PUL). Vidare anges att PUL inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihets- grundlagen samt att vissa angivna bestämmelser inte ska tillämpas på sådan behandling av personuppgifter som sker uteslutande för jour- nalistiska ändamål eller konstnärligt eller litterärt skapande (7 §). Det anges även att PUL inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter samt att bestämmelserna inte heller hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkiv- material tas om hand av en arkivmyndighet (8 §).

Liksom direktivet innehåller PUL bl.a. grundläggande krav på behand- ling av personuppgifter, när behandling av personuppgifter är tillåten, förbud mot behandling av känsliga personuppgifter och undantag från detta förbud, begränsningar i fråga om behandling av personuppgifter om lagöverträdelser m.m. och skyldighet att lämna information till den regi- strerade. De som i direktivet benämns som registeransvarig och register- förare motsvaras i PUL av personuppgiftsansvarig och personuppgifts- biträde (3 §).

4.6Likheter och skillnader mellan dataskydds- direktivet och dataskyddsförordningen

Som nämnts baseras dataskyddsförordningen till stor del på dataskydds- direktivets struktur och innehåll. Precis som dataskyddsdirektivet, ska dataskyddsförordningen tillämpas på sådan behandling av person- uppgifter som helt eller delvis företas på automatisk väg och på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1).

29

Prop. 2017/18:218 Definitionerna av begreppen personuppgifter och behandling i data- skyddsförordningen har, jämfört med dataskyddsdirektivets definitioner, endast justerats något redaktionellt och kompletterats med något ytter- ligare exempel på vad som utgör personuppgifter respektive behandling (artikel 4 punkt 1 och 2 i dataskyddsförordningen).

Definitionerna av personuppgiftsansvarig och personuppgiftsbiträde i dataskyddsförordningen motsvarar definitionerna av registeransvarig och registerförare i dataskyddsdirektivet (artikel 4 punkt 7 och 8).

I likhet med dataskyddsdirektivet innehåller dataskyddsförordningen grundläggande principer för behandling av personuppgifter som i stort sett är oförändrade, en reglering av när behandling av personuppgifter är tillåten, förbud mot behandling av känsliga personuppgifter och undantag från detta förbud i vissa fall, begränsningar i fråga om behandling av personuppgifter om lagöverträdelser m.m. och bestämmelser om infor- mation till den registrerade (t.ex. artikel 5, 6, 9 10 och 12–15.)

Jämfört med dataskyddsdirektivet medför dock dataskyddsförord- ningen bl.a. följande förändringar.

Det territoriella tillämpningsområdet utvidgas

Dataskyddsförordningen ska i likhet med dataskyddsdirektivet tillämpas på behandling av personuppgifter som sker inom ramen för den verk- samhet som bedrivs av en personuppgiftsansvarig eller ett personupp- giftsbiträde som är etablerad i unionen. Vidare ska dataskyddsförord- ningen, i likhet med dataskyddsdirektivet, också tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerade i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten (artikel 3.1 och 3.3 i dataskyddsförordningen).

En skillnad jämfört med dataskyddsdirektivets ordalydelse är dock att förordningen under vissa omständigheter även ska tillämpas på behand- ling av personuppgifter som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen. Detta gäller om behandlingen avser registrerade som befinner sig i unionen, under förut- sättning att behandlingen har anknytning till antingen utbjudande av varor eller tjänster till sådana registrerade i unionen eller övervakning av deras beteende, så länge beteendet sker inom unionen (artikel 3.2 i data- skyddsförordningen).

De registrerades rättigheter förstärks

Den registrerades rättigheter har förstärkts i dataskyddsförordningen i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Den information som ska tillhandahållas den registrerade har preciserats och utvidgats och det anges bl.a. uttryckligen att den personuppgiftsansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form (artikel 12–23).

Förordningen innebär även en förstärkning av rätten att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet (artikel 20).

Vidare har en tydligare rätt till radering (”rätt att bli bortglömd”) införts (artikel 17).

30

Ett krav på samtycke införs för situationer när informationssamhällets tjänster erbjuds barn

När det gäller barn införs ett krav på att samtycke ges eller behandlingen godkänns av barnets vårdnadshavare när informationssamhällets tjänster erbjuds direkt till ett barn under 16 år. Medlemsstaterna får dock före- skriva en lägre ålder, men inte under 13 år (artikel 8). I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås en åldersgräns på 13 år (2 kap. 4 § dataskyddslagen). Barns särställning och särskilda utsatthet poängteras också på flera ställen i förordningen.

En skyldighet att anmäla personuppgiftsincidenter införs

Genom dataskyddsförordningen införs en skyldighet för den person- uppgiftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident, dvs. en säkerhetsincident som oavsikt- ligt påverkar behandlingen av personuppgifter. Även den registrerade ska informeras om incidenten om den sannolikt leder till en hög risk för enskildas rättigheter och friheter (artikel 33).

Ett krav på konsekvensanalyser ersätter en allmän anmälningsskyldighet

Genom dataskyddsförordningen införs även ett krav på konsekvens- analyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter (artikel 35). Den allmänna anmälningsskyldigheten till tillsynsmyndigheten tas däremot bort.

Det finns ingen missbruksregel och vissa förändringar görs när det gäller de rättsliga grunderna för personuppgiftsbehandling

När dataskyddsförordningen börjar tillämpas kommer den så kallade missbruksregeln i 5 a § PUL inte längre att finnas kvar. Såväl data- skyddsdirektivet som PUL innebär att behandling av personuppgifter förutsätter tillämpning av ett antal s.k. hanteringsregler. Missbruksregeln innebär att vissa av dessa hanteringsregler inte behöver tillämpas på be- handling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt under- lätta sökning efter eller sammanställning av personuppgifter. Detta gäller dock endast under förutsättning att behandlingen inte innebär en kränk- ning av den registrerades personliga integritet. Bestämmelsen har till- kommit för att förenkla regleringen om personuppgiftsbehandling och bestämmelsen har ett relativt vitt tillämpningsområde (jfr HFD 2015 ref 3). Någon motsvarighet till missbruksregeln finns dock inte i data- skyddsförordningen.

Enligt dataskyddsförordningen är det vidare inte tillåtet för myndig- heter att, när de fullgör sina uppgifter, behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan de berättigade intressen som finns för behandlingen och den registrerades rättigheter och intressen (intresseavvägning, artikel 6.1 i data- skyddsförordningen). I skäl 43 till dataskyddsförordningen förtydligas också att utrymmet för att myndigheter ska kunna basera en behandling av personuppgifter på den rättsliga grunden samtycke är begränsat.

Ett nytt krav är vidare att den rättsliga grund som personuppgifts- behandlingen stödjer sig på i vissa fall ska vara fastställd i enlighet med

Prop. 2017/18:218

31

Prop. 2017/18:218 unionsrätten eller i nationell rätt. Detta gäller om behandlingen är nöd- vändig för att fullgöra en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Hur rättsliga för- pliktelser, uppgifter av allmänt intresse och myndighetsutövning fast- ställs i enlighet med svensk rätt förtydligas i 2 kap. 1–3 §§ i den före- slagna dataskyddslagen. Frågan om rättsliga grunder för behandling av personuppgifter på utbildningsområdet behandlas i avsnitt 9.

Förändringar när det gäller känsliga personuppgifter och lagöverträdelser

Det har också skett vissa ändringar i fråga om vilka uppgifter som om- fattas av förbudet mot behandling av känsliga personuppgifter och i fråga om vilka uppgifter om lagöverträdelser m.m. som får behandlas. Det redogörs närmare för dessa förändringar i avsnitt 13.1 och 14.1.

Kompletterande nationella bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser samt personnummer och samordningsnummer föreslås i 3 kap. dataskyddslagen. Frågan om behandling av känsliga personuppgifter och uppgifter om lagöver- trädelser på utbildningsområdet behandlas i avsnitt 13 och 14.

Förhållandet till offentlighetsprincipen blir tydligare

Utrymmet för att ge offentlighetsprincipen företräde framför dataskydds- regleringen blir tydligare, genom en uttrycklig och direkt tillämplig be- stämmelse i artikel 86 i dataskyddsförordningen. Av bestämmelsen följer att personuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med för- ordningen. Härigenom möjliggörs alltså en tillämpning av tryckfrihets- förordningens reglering om allmänhetens tillgång till handlingar när det gäller allmänna handlingar som innehåller personuppgifter. Ett tydlig- görande av bl.a. detta föreslås i 1 kap. 7 § dataskyddslagen.

Administrativa sanktionsavgifter och andra åtgärder som syftar till en enhetlig tillämpning införs

Genom förordningen införs ett nytt gemensamt system med admini- strativa sanktionsavgifter som ska tas ut vid vissa typer av överträdelser av förordningen. Kompletterande nationella bestämmelser om sanktions- avgifter föreslås i 6 kap. 2–7 §§ dataskyddslagen. Även på andra sätt innebär förordningen ett ökat fokus på en enhetlig tillämpning av data- skyddsreglerna inom EU, till exempel genom åtgärder som godkännande av uppförandekoder och certifiering. Det införs även en skyldighet för de nationella tillsynsmyndigheterna att samarbeta med varandra. Det införs också en ny princip om en enda kontaktpunkt, som ska underlätta för personuppgiftsansvariga som är verksamma i flera medlemsstater genom att de endast ska behöva vara i kontakt med en av de behöriga tillsyns- myndigheterna. Det införs även ett nytt unionsorgan, Europeiska data- skyddsstyrelsen, som får långtgående befogenheter att uttala sig om tolk- ningen av förordningen även i enskilda fall (t.ex. artikel 40, 43, 57, 68– 76 och 83).

32

4.7 Regeringsformen avgör om kompletterande Prop. 2017/18:218 svensk reglering ska införas på lag- eller

förordningsnivå

När det gäller införande av svensk reglering som kompletterar data- skyddsförordningen behöver regeringsformens (RF) grundläggande be- stämmelser till skydd för den personliga integriteten beaktas.

Tidigare gällde att varje medborgare, i den utsträckning som närmare anges i lag, skulle skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling (tidigare 2 kap. 3 § andra stycket RF). Bestämmelsen gav dock inte något individuellt rättighetsskydd för enskilda, utan innebar enbart att lagstiftaren var skyldig att i lag upprätthålla någon form av skydd för den personliga integriteten i fråga om automatiserad behand- ling av personuppgifter.

Till följd av en grundlagsändring som trädde i kraft den 1 januari 2011 gäller numer att var och en är gentemot det allmänna skyddad mot bety- dande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Detta skydd kan dock begränsas genom lag (2 kap. 6 § andra stycket och 20 § första stycket 2 RF).

Vid införandet av nya bestämmelser som avser behandling av person- uppgifter behöver därmed bedömas om regleringen utgör ett sådant be- tydande intrång som kräver lagform, eller om regleringen kan införas på förordningsnivå. Förarbetena till grundlagsbestämmelsen ger ledning vid en sådan bedömning (propositionen En reformerad grundlag [prop. 2009/10:80 s. 171 f.]).

5 Vad avses med utbildningsområdet?

Utbildningsområdet omfattar bl.a. skolväsendet och annan verksamhet som regleras i skollagen, den verksamhet som bedrivs av universitet och högskolor, yrkeshögskolan, folkbildningen och studiestödet. Området omfattar utbildning hos offentliga och enskilda utbildningsanordnare som är erkända av det allmänna, t.ex. genom tillstånd, offentlig finansiering eller genom att utbildningen berättigar till studiestöd. Däremot omfattas inte rent privaträttslig utbildning. I propositionen behandlas inte behandling av personuppgifter på utbildningsområdet som sker med stöd av lagen om den officiella statistiken (2001:99) och förordningen om den officiella statistiken (2001:100). Nedan redogörs närmare för olika delar av utbildningsområdet.

5.1Skollagsreglerad verksamhet

Skolväsendet regleras i skollagen (2010:800) och anslutande förord-

ningar och omfattar skolformerna förskola, förskoleklass, grundskola,

33

Prop. 2017/18:218 grundsärskola, specialskola, sameskola, gymnasieskola, gymnasiesär- skola, kommunal vuxenutbildning och särskild utbildning för vuxna. I skolväsendet ingår också fritidshem som kompletterar utbildningen i förskoleklassen, grundskolan, grundsärskolan, specialskolan, sameskolan och vissa särskilda utbildningsformer (1 kap. 1 § skollagen). I skollagen finns även bestämmelser om vissa särskilda utbildningsformer och annan pedagogisk verksamhet som bedrivs i stället för utbildning inom skol- väsendet (1 kap. 2 §, 24 kap. och 25 kap. skollagen). Som exempel kan nämnas internationella skolor, utbildning vid särskilda ungdomshem, utbildning för barn och elever som vårdas på sjukhus, öppen förskola och omsorg under tid då förskola eller fritidshem inte erbjuds.

Utbildning inom skolväsendet anordnas av både offentliga och en- skilda aktörer. Kommuner är huvudmän för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning, särskild utbildning för vuxna och fritidshem. Staten är huvudman för specialskola och sameskola och för förskoleklass och fritidshem vid en skolenhet inom dessa skolformer. I viss utsträckning får ett landsting vara huvudman för gymnasieskola, gymnasiesärskola, kom- munal vuxenutbildning och särskild utbildning för vuxna. Efter ansökan som prövas av Statens skolinspektion, eller i vissa fall av kommunen där utbildningen ska bedrivas, får en enskild godkännas som huvudman för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gym- nasiesärskola och fritidshem (2 kap. skollagen).

Det finns också vissa möjligheter för huvudmän inom skolväsendet att sluta avtal om att någon annan enskild fysisk eller juridisk person utför vissa uppgifter enligt skollagen, s.k. entreprenad (23 kap. skollagen).

I det följande används begreppet skollagsreglerad verksamhet som samlingsbegrepp för de verksamheter som regleras i skollagen.

Inom den skollagsreglerade verksamheten kan vissa utbildningar både på grundläggande och gymnasial nivå berättiga till studiestöd (se vidare avsnitt 5.5).

5.2Universitet och högskolor

Vid universitet och högskolor ges eftergymnasial utbildning på grund- nivå, avancerad nivå och forskarnivå. Examina utfärdas på grundnivå, avancerad nivå och forskarnivå. I vissa fall krävs tillstånd för att utfärda examina.

De flesta universitet och högskolor har staten som huvudman och om- fattas av högskolelagen (1992:1494) och högskoleförordningen (1993:100). Universitetskanslersämbetet prövar frågor om examenstill- stånd. Tillstånd att utfärda examina kan också ges av regeringen till enskilda utbildningsanordnare enligt lagen (1993:792) om tillstånd att utfärda vissa examina.

I det följande används högskolor som samlingsbegrepp för universitet och högskolor, oavsett om det är fråga om statliga eller enskilda utbild- ningsanordnare.

Statliga högskoleutbildningar och ett stort antal utbildningar vid enskilda utbildningsanordnare som har tillstånd att utfärda examina

34

enligt lagen om tillstånd att utfärda vissa examina berättigar till studie- Prop. 2017/18:218 stöd (se vidare avsnitt 5.5).

5.3Yrkeshögskolan och andra eftergymnasiala utbildningar

Yrkeshögskolan inrättades 2009 som en fristående utbildningsform med ett gemensamt regelverk för eftergymnasiala yrkesutbildningar vid sidan av högskolan. Yrkeshögskolan regleras i lagen (2009:128) om yrkes- högskolan. Myndigheten för yrkeshögskolan (MYH) är förvaltnings- myndighet för yrkeshögskolan och beslutar vilka utbildningar som får ingå där. Utbildning inom yrkeshögskolan får anordnas av statliga uni- versitet och högskolor, andra statliga myndigheter, kommuner, landsting och enskilda fysiska eller juridiska personer. Ett beslut om att en ut- bildning får ingå i yrkeshögskolan kan innebära att anordnaren kan få statsbidrag eller särskilda medel för utbildningen. En yrkeshögskole- utbildning berättigar också de studerande till studiestöd. Det finns också utbildningar där anordnarna i stället för att få statsbidrag eller särskilda medel kan ta ut studerandeavgifter. Även dessa utbildningar berättigar de studerande till studiestöd. En utbildning inom yrkeshögskolan ska svara mot behov av kvalificerad arbetskraft i arbetslivet som inte tillgodoses genom en utbildning enligt högskolelagen (1992:1434) eller en utbild- ning som kan leda fram till en examen enligt lagen (1993:792) om tillstånd att utfärda vissa examina. En anordnare av utbildning inom yrkeshögskolan får efter anmälan bedriva sådan utbildning även som uppdragsutbildning.

Även konst- och kulturutbildningar är en eftergymnasial utbildnings- form. Utbildningarna finns inom exempelvis dans, musik, teater, film, konst och mode. De bedrivs av enskilda fysiska eller juridiska personer men står under statlig tillsyn. MYH prövar frågor om stöd enligt förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Både utbildning inom yrkeshögskolan enligt lagen om yrkeshögskolan som inte är uppdragsutbildning och utbildning som har förklarats berät- tiga till studiestöd genom beslut av Myndigheten för yrkeshögskolan enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar berättigar till studiestöd (se avsnitt 5.5).

5.4 Folkbildningen

Folkbildningen har traditionellt sett innefattat fyra grenar: folkbibliotek,

 

folkhögskolor, föreläsningsföreningar och studieförbund. Folkbiblio-

 

tekets verksamhet regleras i bibliotekslagen (2013:801). Det statliga an-

 

slaget för stöd till folkbildningen tilldelas enbart folkhögskolor och

 

studieförbund och deras verksamhet.

 

De flesta folkhögskolor drivs av folkrörelser eller andra organisationer.

 

Övriga folkhögskolor ägs och drivs av regioner eller landsting. Folkhög-

 

skolan är huvudsakligen en utbildningsform för vuxna. De flesta studie-

35

 

Prop. 2017/18:218 förbunden är ideella organisationer. Studieförbunden driver bl.a. studie- cirkelverksamhet och kulturverksamhet.

Folkbildningen finansieras huvudsakligen. genom statsbidrag enligt förordningen (2015:218) om statsbidrag till folkbildningen. Folkbild- ningsrådet (FBR), som är en ideell organisation där organisationer som företräder folkhögskolor och studieförbund är medlemmar, beslutar vilka folkhögskolor, studieförbund och studerandeorganisationer inom folk- högskolan som ska få del av statsbidraget och fördelar tillgängliga medel mellan dem. Folkhögskolor och studieförbund som FBR fördelar stats- bidrag till enligt den nämnda förordningen kan även få statsbidrag enligt förordningen (2012:140) om statsbidrag för viss utbildning som rör tolkning och teckenspråk och förordningen (2015:521) om statsbidrag till särskilda folkbildningsinsatser för asylsökande och vissa nyanlända in- vandrare. Vidare kan folkhögskolorna ansöka hos Specialpedagogiska skolmyndigheten om statsbidrag för kostnader för särskilt utbildnings- stöd som erbjuds deltagare med funktionsnedsättningar enligt förord- ningen (2011:1163) om statsbidrag för särskilt utbildningsstöd. Special- pedagogiska skolmyndigheten beviljar det statsbidraget enbart till de folkhögskolor som av FBR har tilldelats statsbidrag till folkbildningen. Det finns även andra statsbidrag som folkhögskolor och studieförbund kan ansöka om för att genomföra olika typer av verksamhet. Det är t.ex. fallet med statsbidrag enligt förordningen (2016:1364) om statsbidrag till verksamheter för asylsökande m.fl. som beviljas av länsstyrelsen. Den del av folkbildningsverksamhet som finansieras genom olika former av statsbidrag benämns i denna proposition statsbidragsfinansierad folkbild- ning.

Folkbildningen kan dessutom finansieras på annat sätt. Det kan t.ex. handla om bidrag för uppdragsutbildningar, bidrag från kommun och landsting eller region samt bidrag från privata aktörer. Den delen av folk- bildningsverksamheten benämns i propositionen folkbildning som finan- sieras på annat sätt än genom statsbidrag.

Statsbidrag enligt förordningen om statsbidrag till folkbildningen och förordningen om statsbidrag till särskilda folkbildningsinsatser för asyl- sökande och vissa nyanlända invandrare får också direkt lämnas till Studieförbundet SISU Idrottsutbildarna (SISU) för idrottens studie-, bildnings- och utbildningsverksamhet. SISU beslutar vilka som bedriver sådan verksamhet som ska få statsbidrag och fördelar tillgängliga medel mellan dem. Även SISU mottar andra former av finansiering för sin verksamhet.

Att fördela statsbidrag är en förvaltningsuppgift som innefattar myn- dighetsutövning. En sådan uppgift får bara överlämnas till enskilda med stöd av lag (12 kap. 4 § RF). FBR och SISU fördelar statsbidrag med stöd av lagen (1976:1046) om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde. Av 2 kap. 4 § offentlighets- och sekretesslagen (2009:400, OSL) och bilagan till den lagen framgår att FBR och SISU i deras verksamhet att fördela stats- bidrag ska tillämpa vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter samt att de i den verk- samheten också ska jämställas med myndigheter vid tillämpning av OSL.

36

Kvalifikationer från folkbildningen kan vara behörighetsgivande vid Prop. 2017/18:218 ansökan till t.ex. högskolan eller yrkeshögskolan. Vissa utbildningar som

anordnas av folkhögskolor berättigar till studiestöd (se avsnitt 5.5).

5.5Studiestödet

Till utbildningsområdet hör även studiestödet. Studiestödet består fram- för allt av ekonomiskt stöd till enskilda i form av bl.a. studiehjälp och studiemedel. Sedan den 2 juli 2017 finns också ett nytt studiestöd, studiestartsstöd, som ett komplement till studiemedelssystemet. Studie- stödet administreras av Centrala studiestödsnämnden (CSN).

Bestämmelser som avser studiestödet finns framförallt i studiestöds- lagen (1999:1395), studiestödsförordningen (2000:655), lagen (2017:527) om studiestartsstöd, förordningen (2017:532) om studiestarts- stöd, studiestödsdatalagen (2009:287) och studiestödsdataförordningen (2009:321).

En förteckning över de läroanstalter och utbildningar vid vilka studie- stöd kan lämnas finns i en bilaga till studiestödsförordningen.

5.6 Den nationella referensramen för livslångt lärande

Den 23 april 2008 beslutade Europaparlamentet och rådet en rekommen-

 

dation om en europeisk referensram för kvalifikationer för livslångt

 

lärande (rekommendationen om EQF, EUT C 111, 6.5.2008). Syftet med

 

rekommendationen är att bidra till att modernisera utbildningssystemen

 

inom Europa samt stärka kopplingarna mellan utbildning och arbetsliv

 

(ingresspunkt 13). Syftet med den europeiska referensramen, som finns

 

intagen som bilaga II till rekommendationen, är att främja livslångt

 

lärande och förbättra anställbarhet, rörlighet och social integrering för

 

arbetstagare och studerande inom EU (ingresspunkt 12). Referensramen

 

består av åtta nivåer som beskriver det resultat av lärande i form av

 

kunskaper, färdigheter och kompetenser som är av betydelse för respek-

 

tive nivå. Resultat av lärande är ett centralt begrepp i rekommendationen

 

och kan utryckas som det en individ vet, förstår och kan göra när en

 

lärandeprocess är avslutad. Enligt rekommendationen definieras en kvali-

 

fikation som ett formellt resultat av en bedömnings- och validerings-

 

process som ges när ett behörigt organ fastställer att en person har

 

uppnått resultat av lärande som motsvarar fastställda kriterier (bilaga I

 

till rekommendationen). Med kvalifikation avses således ett dokumen-

 

terat resultat av lärande i form av kunskaper, färdigheter och kompe-

 

tenser, t.ex. utbildningsbevis, examina, certifikat och diplom. Referens-

 

ramen omfattar alla typer av kvalifikationer från såväl utbildningssyste-

 

met som arbetslivet. Referensramen beskriver inte enskilda personers

 

meriter utan ska fungera som ett översättningsverktyg som på systemnivå

 

kan beskriva olika kvalifikationer i form av resultat av lärande. Det inne-

 

bär att den ska underlätta jämförelser mellan de kvalifikationer som ut-

 

färdas i olika medlemsstater. För att bidra till att skapa förtroende för de

37

 

Prop. 2017/18:218 kvalifikationer som utfärdas rekommenderas medlemsstaterna att tilläm- pa de principer för kvalitetssäkring inom högre och yrkesinriktad utbild-

 

ning som är framtagna till stöd för genomförandet av den europeiska

 

referensramen för kvalifikationer (bilaga III till rekommendationen). För

 

att underlätta jämförelse mellan ländernas kvalifikationer bör medlems-

 

staterna införa nationella referensramar som kan kopplas till den euro-

 

peiska referensramen. Detta ska ske genom att medlemsstaterna på ett

 

tydligt sätt hänvisar nivåerna i de nationella referensramarna till de

 

nivåer som anges i den europeiska referensramen i bilaga II till rekom-

 

mendationen om EQF. Medlemsstaterna rekommenderas också att se till

 

att alla nya bevis på kvalifikationer och Europassdokument som utfärdas

 

av behöriga myndigheter innehåller en tydlig hänvisning till den

 

relevanta nivån i den europeiska referensramen för kvalifikationer. På så

 

sätt kan man öka användarvänligheten och underlätta för arbetsgivare att

 

förstå nivån på ett kvalifikationsbevis som en arbetssökande uppvisar.

 

Rekommendationen har ersatts av rådets rekommendation av den 22 maj

 

2017 om den europeiska referensramen för kvalifikationer för livslångt

 

lärande och om upphävande av Europaparlamentets och rådets rekom-

 

mendation av den 23 april 2008 om en europeisk referensram för

 

kvalifikationer för livslångt lärande (EUT C 189, 15.6.2017). Rekom-

 

mendationen syftar till att stärka den europeiska referensramen som

 

gemensam referensram med åtta uttryckta nivåer i form av lärande-

 

resultat, som fungerar som ett verktyg för översättning mellan olika

 

referensramar eller system för kvalifikationer och deras olika nivåer

 

(ingresspunkt 28).

 

I Sverige har den nationella referensramen reglerats i förordningen

 

(2015:545) om referensram för kvalifikationer för livslångt lärande.

 

Syftet med referensramen är enligt 1 § att underlätta jämförelser natio-

 

nellt och internationellt av vilka nivåer sådana kvalifikationer motsvarar i

 

fråga om kunskaper, färdigheter och kompetenser för att därigenom

 

främja livslångt lärande och förbättra anställningsbarhet, rörlighet och

 

social integration för arbetstagare och studerande inom EU. Referens-

 

ramen består av åtta nivåer som finns i bilaga 1 till förordningen. En

 

kvalifikation ska anses motsvara den nivå i referensramen som bäst

 

överensstämmer med de kunskaper, färdigheter och kompetenser som

 

kvalifikationen representerar. Kvalifikationer vars resultat av lärande är

 

författningsreglerade motsvarar de nivåer som anges i bilaga 2 (3 §). Den

 

som utfärdar en kvalifikation som inte anges i bilaga 2 får ansöka om att

 

få ett beslut om vilken nivå kvalifikationen motsvarar i referensramen.

 

En förutsättning för att en kvalifikation ska kunna motsvara en nivå i

 

referensramen är att den som utfärdar kvalifikationen bedriver ett

 

systematiskt kvalitetsarbete där kvalitetssäkring av kvalifikationen ingår.

 

Ansökan prövas av Myndigheten för yrkeshögskolan. Ett beslut gäller i

 

tio år (4 §).

 

I bilaga 2 till förordningen har kvalifikationer, vars resultat av lärande

 

är författningsreglerade, från samtliga i detta avsnitt behandlade delar av

 

utbildningsområdet nivåplacerats. Som exempel kan nämnas att slutbetyg

 

från grundsärskolan och slutbetyg från särskild utbildning för vuxna på

 

grundläggande nivå har placerats på nivå 1. På nivå 2 återfinns bl.a. slut-

 

betyg från grundskolan, specialskolan, kommunal vuxenutbildning på

38

grundläggande nivå, gymnasiesärskolebevis från gymnasiesärskolan,

gymnasiesärskolebevis från särskild utbildning för vuxna på gymnasial Prop. 2017/18:218 nivå, betyg från utbildning i svenska för invandrare kurs D, eller motsva-

rande utbildning som bedrivs vid folkhögskola, betyg från kommunal vuxenutbildning i svenska för invandrare kurs D, eller motsvarande ut- bildning som bedrivs vid folkhögskola samt i intyg om godkänt resultat från allmän kurs på grundskolenivå från folkhögskola. Det finns inga kvalifikationer inplacerade på nivå 3. På nivå 4 finns bl.a. gymnasie- examen från gymnasieskolan, gymnasieexamen från kommunal vuxen- utbildning och intyg om godkänt resultat från allmän kurs på gymnasial nivå från folkhögskola. Nivå 5 innehåller gymnasieingenjörsexamen från gymnasieskolan och yrkeshögskoleexamen från yrkeshögskolan. På nivå 6 har bl.a. examina på grundnivå enligt bilaga 2 till högskoleförord- ningen och kvalificerad yrkeshögskoleexamen från yrkeshögskolan placerats. Examina på avancerad nivå enligt bilaga 2 till högskoleför- ordningen, bilagan till förordningen (1993:221) för Sveriges lantbruks- universitet och bilagan till förordningen (2007:1164) för Försvars- högskolan finns på nivå 7 och slutligen finns på nivå 8 examina på forskarnivå enligt bilaga 2 till högskoleförordningen och bilagan till för- ordningen för Sveriges lantbruksuniversitet.

5.7

Behandling av personuppgifter hos myndig-

 

 

heter som inte själva bedriver utbildning

 

 

behandlas med ett undantag inte i denna

 

 

proposition

 

Behov av behandling av personuppgifter finns hos myndigheter vars

 

verksamhet anknyter till det skollagsreglerade området men som inte

 

själva anordnar eller bedriver utbildning, såsom Statens skolinspektion,

 

Statens skolverk, Skolväsendets överklagandenämnd och Lärarnas

 

ansvarsnämnd.

 

På motsvarande sätt har myndigheter, vars verksamhet anknyter till

 

högskoleområdet men som inte anordnar eller bedriver utbildning, behov

 

av att behandla personuppgifter. Det gäller t.ex. Universitets- och

 

högskolerådet (UHR), Universitetskanslersämbetet, Överklagandenämn-

 

den för högskolan och Högskolans avskiljandenämnd.

 

När det gäller yrkeshögskolan har Myndigheten för yrkeshögskolan

 

(MYH), som är förvaltningsmyndighet för yrkeshögskolan och som är

 

den myndighet som beslutar om stöd enligt förordningen om stöd för

 

konst- och kulturutbildningar och vissa andra utbildningar, behov av att

 

behandla personuppgifter, även om MYH inte själv anordnar eller be-

 

driver utbildning.

 

I propositionen Ny dataskyddslag görs bedömningen att den rättsliga

 

grunden uppgift av allmänt intresse i artikel 6.1. e i dataskyddsförord-

 

ningen är tillämplig på den verksamhet som myndigheterna bedriver

 

inom ramen för sin befogenhet. (prop. 2017/18:105 s. 57). Vidare före-

 

slås i den propositionen generella bestämmelser för behandling av per-

 

sonuppgifter som bl.a. gäller myndigheters behandling av känsliga per-

 

sonuppgifter och lagöverträdelser (3 kap. 3–4 §§ och 8 § dataskydds-

39

Prop. 2017/18:218 lagen). Regeringen bedömer mot denna bakgrund att det i fråga om per- sonuppgiftsbehandling hos ovan nämnda myndigheter redan har lämnats förslag och bedömningar i propositionen Ny dataskyddslag som medför att det saknas anledning att även i denna proposition behandla samma frågor. I de fall det därutöver finns behov av anpassningar till den nya dataskyddsregleringen i fråga om ovan nämnda myndigheter bedöms detta kunna ske inom ramen för det fortsatta förordningsarbetet.

När det gäller studiestödet kan konstateras att CSN visserligen inte bedriver utbildning. Som nämnts i avsnitt 4.3. finns det dock registerförfattningar på studiestödsområdet och dessa behöver anpassas till den nya dataskyddsförordningen och den nya dataskyddslagen. Frågor om studiestödet behandlas därför i denna proposition.

6För att personuppgiftsbehandling ska vara laglig krävs en rättslig grund

Som framgått av avsnitt 4 får behandling av personuppgifter som faller under dataskyddsförordningens tillämpningsområde bara ske om det finns en tillämplig rättslig grund. Dessa är enligt artikel 6.1 att

den registrerade har lämnat sitt samtycke till att dennes person- uppgifter behandlas för ett eller flera specifika ändamål (samtycke, artikel 6.1 a),

behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (avtal, artikel 6.1 b),

behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (rättslig förpliktelse, artikel 6.1 c),

behandlingen är nödvändig för att skydda intressen som är av grund- läggande betydelse för den registrerade eller för en annan fysisk person (skydda intressen, artikel 6.1 d),

behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndig- hetsutövning (uppgift av allmänt intresse och myndighetsutövning, artikel 6.1 e), eller

behandlingen är nödvändig för ändamål som rör den personupp- giftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (intresseavvägning, artikel 6.1.f).

Om inget av dessa villkor är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling.

Som framgått av avsnitt 4 förtydligas i skäl 43 till dataskydds- förordningen att utrymmet för att myndigheter ska kunna basera en

behandling av personuppgifter på den rättsliga grunden samtycke är

40

begränsat. Vidare är skillnaderna mot gällande rätt att det inte är tillåtet Prop. 2017/18:218 för myndigheter att behandla personuppgifter med stöd av den rättsliga

grunden intresseavvägning, och att de rättsliga grunderna rättslig förpliktelse, uppgift av allmänt intresse och myndighetsutövning ska fast- ställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Enligt skäl 41 i dataskyddsförordningen bör den rättsliga grunden vara tydlig och precis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den.

Nedan ges en närmare redogörelse för de rättsliga grunderna samtycke, uppgift av allmänt intresse, myndighetsutövning, rättslig förpliktelse och intresseavvägning.

6.1Samtycke som rättslig grund

Om en behandling grundar sig på samtycke ska den personuppgiftsan- svarige kunna visa att den registrerade har samtyckt till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (artikel 6.1 a och 7.1).

Med samtycke avses varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar be- handling av personuppgifter som rör honom eller henne (artikel 4.11).

Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den regi- strerade godtar den avsedda behandlingen av sina personuppgifter (skäl 32).

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke (skäl 42).

Samtycke bör inte utgöra giltig rättslig grund för behandling av person- uppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den person- uppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43).

Artikel 29-gruppen, som är EU:s oberoende rådgivande instans för dataskydd och skydd för privatlivet bestående av en företrädare för varje nationell tillsynsmyndighet i EU-medlemsstaterna, en företrädare för EU-kommissionen och den europeiske datatillsynsmannen, har yttrat att samtycke i undantagsfall kan vara en giltig grund för stater när de be-

41

Prop. 2017/18:218 handlar personuppgifter. Det bör göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig för- pliktelse eller utförandet av en uppgift av allmänt intresse snarare än samtycke (yttrande 15/2011 om definitionen av begreppet samtycke artikel 29-gruppen s. 13–14 och 16–17).

Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offentlig- rättsligt reglerade. I propositionen Ny dataskyddslag gör regeringen bedömningen att när det är tveksamt om den verksamhet som en privat- rättslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten (s. 58).

6.2Uppgift av allmänt intresse som rättslig grund

Enligt artikel 6.1.e får en personuppgift behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Grunden för be- handlingen ska enligt artikel 6.3 fastställas i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Av artikel 6.3 sista meningen framgår att unionsrätten eller medlems- staternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Vilka uppgifter är av allmänt intresse?

Begreppet allmänt intresse är ett unionsrättsligt begrepp som inte har definierats vare sig i dataskyddsdirektivet eller i dataskyddsförordningen och innebörden har heller inte ännu utvecklats av EU-domstolen.

Rent språkligt kan begreppet uppgift av allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse. Av skäl 45 till dataskyddsförordningen följer att allmänintresset inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster. Det kan konstateras att begreppet förekommer i mot- svarande bestämmelser i dataskyddsdirektivet (artikel 7 e) och per- sonuppgiftslagen (10 § d) och att ledning kan hämtas från hur begreppet tolkats enligt dessa bestämmelser.

Som anförts i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 56) gör regeringen bedömningen att alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är av allmänt in- tresse. Om uppgifterna inte vore av allmänt intresse skulle myndig- heterna inte ha ålagts att utföra dem. På motsvarande sätt är de obliga- toriska uppgifter som ålagts kommuner och landsting att utföra av all- mänt intresse. Detta måste enligt regeringens mening gälla även i data- skyddsförordningens mening, eftersom det är upp till varje medlemsstat

att fastställa de uppgifter som är av allmänt intresse.

42

Begreppet uppgifter av allmänt intresse omfattar inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Till skillnad från vad som gäller enligt artikel 6.1 c i data- skyddsförordningen (den rättsliga grunden rättslig förpliktelse) behöver den personuppgiftsansvarige inte vara skyldig att utföra uppgiften för att den rättsliga grunden uppgift av allmänt intresse ska vara tillämplig. Som en följd av det kommunala självstyret har kommuner och landsting en vidsträckt möjlighet att göra frivilliga åtaganden. Befogenheten är emellertid enligt kommunallagen (2017:725) begränsad till angelägen- heter av just allmänt intresse. Kommuner och landsting får driva närings- verksamhet, men bara om den drivs utan vinstsyfte och syftar till att till- handahålla allmännyttiga anläggningar eller tjänster åt medlemmarna. Som exempel på sådana uppgifter av allmänt intresse som kommunerna utför på frivillig grund kan nämnas tillhandahållande av bostäder och fritids- och idrottsanläggningar, åtgärder för att främja ortens näringsliv och annan kulturell verksamhet än bibliotek (som i stället är en obliga- torisk uppgift).

Vissa myndigheter, t.ex. Lantmäteriet, har av riksdagen eller rege- ringen getts befogenhet att bedriva viss uppdragsverksamhet. Även denna typ av verksamhet måste enligt regeringens mening anses vara motiverad av ett allmänt intresse.

Den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är således av allmänt intresse. Det är därmed den rättsliga grunden uppgift av allmänt intresse som vanligen bör tillämpas av myndigheter. Detta utesluter dock inte att också andra rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer.

Vid tillämpningen av den rättsliga grunden allmänt intresse spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör.

I propositionen Ny dataskyddslag anser regeringen att begreppet upp- gift av allmänt intresse måste ges en vid betydelse (prop. 2017/18:105 s. 56). Detta för att myndigheternas verksamhet ska kunna fungera även i fortsättningen mot bakgrund av dataskyddsförordningens begränsningar för myndigheter att tillämpa såväl samtycke som intresseavvägning som rättsliga grunder för att behandla personuppgifter inom ramen för sin verksamhet. Ytterligare en väsentlig förändring i förhållande till gällande rätt är att det enligt dataskyddsförordningen inte räcker med att en behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse – uppgiften måste också vara fastställd i enlighet med unionsrätten eller nationell rätt.

Vad avses med att den rättsliga grunden ska vara fastställd i nationell rätt?

I propositionen Ny dataskyddslag (prop. 2017/18:105 s. 48 f.) framhålls att kraven i artikel 6.3 på att grunden för behandlingen ska fastställas i unionsrätten eller en medlemsstats nationella rätt som den personupp- giftsansvarige omfattas av, inte innebär att det krävs en reglering i den nationella rätten av den personuppgiftsbehandling som ska ske med stöd av art. 6.1.e utan det som måste ha stöd i rättsordningen i stället är upp- giften av allmänt intresse. Något motsvarande krav på att grunden för

Prop. 2017/18:218

43

Prop. 2017/18:218 behandlingen ska vara fastställd i unionsrätt eller nationell rätt finns inte i dataskyddsdirektivet. Det har därför t.ex. ansetts möjligt att med stöd av

 

10 § d PUL utföra behandling av personuppgifter som är nödvändig för

 

att utföra en arbetsuppgift av allmänt intresse, även om uppgiften inte är

 

fastställd i författning eller liknande. Detta har bl.a. inneburit att grunden

 

uppgift av allmänt intresse har kunnat åberopas av enskilda som utför

 

sådana uppgifter utan författningsstöd. I detta avseende innebär data-

 

skyddsförordningen en väsentlig förändring i förhållande till vad som

 

gäller idag.

 

Att grunden för en behandling ska vara fastställd i nationell rätt är vis-

 

serligen en nyhet i förhållande till dataskyddsdirektivet, men i nämnda

 

proposition konstateras att det inte är någon nyhet när det gäller svenska

 

myndigheters behandling av personuppgifter då legalitetsprincipen är en

 

av de principer som kännetecknar Sverige som rättsstat (s. 50). Lega-

 

litetsprincipen är grundlagsfäst genom 1 kap. 1 § RF, som anger att den

 

offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte

 

bara sådana föreskrifter som riksdagen har beslutat, utan även andra

 

författningar och t.ex. sedvanerätt (prop. 1973:90 s. 397 och KU 1973:26

 

s. 59). Legalitetsprincipen innebär alltså att myndigheternas maktutöv-

 

ning i vidsträckt mening, även i den mån denna förutsätter behandling av

 

personuppgifter, måste ha stöd i någon av de källor som tillsammans

 

bildar rättsordningen.

 

När det gäller den bestämmelse i artikel 6.3 som anger att unionsrätten

 

eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt

 

intresse och vara proportionell mot det legitima mål som eftersträvas

 

konstateras i propositionen Ny dataskyddslag att bestämmelsen mot-

 

svarar det krav som Europakonventionen ställer på lagstiftaren i en rätts-

 

stat. Genom lagen (1994:1219) om den europeiska konventionen an-

 

gående skydd för de mänskliga rättigheterna och de grundläggande fri-

 

heterna har Europakonventionen inkorporerats i svensk rätt. Vidare gäller

 

enligt 2 kap. 19 § RF att lagar och andra föreskrifter inte får meddelas i

 

strid med Sveriges åtaganden enligt Europakonventionen. Det bör därför

 

vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens

 

krav. Mot denna bakgrund bör utgångspunkten vara att dataskyddsför-

 

ordningens krav i artikel 6.3 är uppfyllt i fråga om bl.a. de uppgifter av

 

allmänt intresse som fastställs i enlighet med svensk rätt.

 

Myndigheternas uppdrag och åligganden framgår av författningar,

 

regeringsbeslut och kommunala reglementen, antagna i enlighet med

 

regeringsformens bestämmelser om normgivningskompetens och kom-

 

munalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra

 

dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal

 

grund, som har offentliggjorts genom tydliga, precisa och förutsebara

 

regler. Statliga myndigheter får sina uppdrag och befogenheter av riks-

 

dag och regering – i myndighetsinstruktioner, regleringsbrev och andra

 

regeringsbeslut. På motsvarande sätt följer de kommunala myndighe-

 

ternas obligatoriska uppgifter av åligganden som fastställts i lag eller

 

förordning. Även sådana frivilliga åtaganden som en kommun gör inom

 

ramen för sin allmänna befogenhet ska framgå av gällande rätt, nämligen

 

av det reglemente som fullmäktige utfärdar för den ansvariga nämnden.

 

En behandling av personuppgifter måste dock i det enskilda fallet vara

44

nödvändig i förhållande till uppgiften av allmänt intresse och följa de

grundläggande principer som gäller för personuppgiftsbehandling i art. 5 (se mer om nödvändighetsrekvisitet nedan och om nämnda principer i avsnitt 7.1). Dessutom ankommer det på varje svensk myndighet att i all verksamhet iaktta proportionalitetskravet. Detta krav kommer numera även till uttryck i 5 § i den nya förvaltningslagen (2017:900), där det an- ges att en åtgärd aldrig får vara mer långtgående än vad som behövs och att den får vidtas endast om det avsedda resultatet står i rimligt förhål- lande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot.

Såväl offentliga som privata aktörer kan tillämpa den rättsliga grunden uppgift av allmänt intresse

Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den per- sonuppgiftsansvarige är en offentlig eller en privat aktör. Om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten finns det en rättslig grund för nödvändig behandling enligt artikel 6.1 e. Det saknar då betydelse om en privat aktör utför verksamheten på direkt uppdrag av en myndighet eller på eget initiativ.

Avmonopolisering och konkurrensutsättning av offentlig verksamhet i Sverige har inneburit att privaträttsliga organ numera utför en inte obetydlig del av de uppgifter som sannolikt skulle anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommunala sektorn exempelvis avseende förskoleverksamhet och skola, hälso- och sjukvård samt stöd och service till personer med funktions- nedsättning. Inom den traditionellt statliga sektorn kan nämnas riks- täckande infrastruktur, kommunikation och energiförsörjning. Ibland bedrivs verksamheten alltjämt under kommunal eller statlig styrning, i form av kommunala eller statliga bolag, men på andra områden förekom- mer också eller enbart privata subjekt som är associationsrättsligt helt fri stående från den offentliga sektorn. I flera av dessa fall är verksamheten av kommersiell karaktär och bygger i viss utsträckning på avtal med den registrerade. I den mån behandling av personuppgifter är nödvändig kan den i sådana fall ske med stöd av artikel 6.1 b i dataskyddsförordningen (den rättsliga grunden avtal), även om uppgiften inte skulle vara fast- ställd i lagstiftningen. När det gäller hälso- och sjukvårdsverksamhet, i både offentlig och privat regi, fastställs dock uppgiften i bl.a. hälso- och sjukvårdslagen (2017:30). På motsvarande sätt regleras uppgiften att till- handahålla stöd och service till personer med funktionsnedsättning av lagen (1993:387) om stöd och service till vissa funktionshindrade och uppgiften att tillhandahålla insatser inom socialtjänsten av socialtjänst- lagen (2001:453). Skolväsendets uppgifter fastställs i skollagen, som gäller för både offentliga och enskilda anordnare av utbildning. I avsnitt 5 beskrivs kortfattat på vilket sätt även andra uppgifter på utbildningsområdet har fastställts i svensk rätt.

De uppgifter av allmänt intresse som utförs i syfte att utföra ett uttryck- ligt uppdrag eller till följd av ett åliggande måste anses vara av denna karaktär oavsett om de faktiskt utförs i myndighetens egen regi eller om de genom utkontraktering eller entreprenad utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig

Prop. 2017/18:218

45

Prop. 2017/18:218

46

myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör alltså även den privata utföraren, entreprenören eller det kommunala bolaget anses utföra en uppgift av allmänt intresse. Ett privaträttsligt organ som fullgör ett uppdrag från en myndighet avseende en sådan uppgift som är fastställd i författning, regeringsbeslut eller kom- munalt beslut i fullmäktige kan därför vidta nödvändiga behand- lingsåtgärder på samma rättsliga grund som om myndigheten själv utfört uppgiften, dvs. med stöd av artikel 6.1 e i dataskyddsförordningen.

Det bör noteras att en uppdragstagare som är personuppgiftsbiträde åt myndigheten i stället behandlar personuppgifter med stöd av artikel 28 i dataskyddsförordningen. När det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseavväg- ning i enlighet med artikel 6.1 f i dataskyddsförordningen eller att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten.

Reglering i dataskyddslagen

Av skäl 41 till dataskyddsförordningen kan man dra slutsatsen att den rättsliga grunden inte måste fastställas i en av riksdagen beslutad lag men däremot att grunden måste vara fastställd i laga ordning, dvs. på ett konstitutionellt korrekt sätt. Vad detta konkret innebär i svensk rätt när det gäller uppgift av allmänt intresse har preciserats i förslaget till data- skyddslag (2 kap. 2 § 1). Enligt den bestämmelsen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om be- handlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Av skäl 41 framgår också att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europe- iska domstolen för de mänskliga rättigheterna. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån behandlingens karaktär. En behandling av per- sonuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten kan ske med stöd av en rättslig grund som är allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart.

Nödvändighetsrekvisitet

Som nämnts ovan får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (art. 6 1 e). Syftet med behandlingen ska vara nödvändigt för att utföra en uppgift av allmänt intresse (art. 6.3).

Nödvändighetsrekvisitet gäller redan enligt artikel 7 dataskydds- direktivet och 10 § PUL. Enligt Svenska Akademiens Ordbok betyder det svenska ordet nödvändig att någonting absolut fordras eller inte kan

underlåtas. Det unionsrättsliga begreppet har dock inte denna strikta Prop. 2017/18:218 innebörd. Nödvändighetsrekvisitet i artikel 7 i dataskyddsdirektivet har

t.ex. inte ansetts utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Detta synsätt kommer till uttryck i EU-domstolens dom i målet Huber mot Tyskland, som rörde tolkningen av nödvändighetsrekvisitet i artikel 7 e i direktivet (C-524/06, EU:C:2008:724). EU-domstolen uttalade att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser. Domen bör kunna utgöra stöd även vid tolkningen av dataskyddsförordningen. På motsvarande sätt bör det i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag.

Att det ska vara nödvändigt att behandla en uppgift ska enligt rege- ringens bedömning således inte tolkas som att uppgiften av allmänt intresse måste vara avgränsad så att den bara kan utföras på ett sätt. Den metod som den personuppgiftsansvarige väljer för att utföra sin uppgift måste dock – som all offentlig förvaltning – vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Ju mer detaljerat en viss uppgift har reglerats, desto mindre utrymme torde det finnas för den personuppgiftsansvarige att välja olika tillvägagångssätt. Detta medför i sin tur en större förutse- barhet i fråga om vilken personuppgiftsbehandling som kan aktualiseras. Om ett uppdrag i stället har reglerats på en mer övergripande och resul- tatinriktad nivå kan det sannolikt utföras på många olika sätt, vilka i förhållande till varandra kan vara mer eller mindre nödvändiga i data- skyddsförordningens mening. Kravet på att ändamålet ska vara nödvän- digt för att utföra en uppgift av allmänt intresse innebär alltså i sig en spärr mot helt onödig behandling av personuppgifter eller sådan behand- ling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses (prop. 2017/18:105 s. 60).

6.3Myndighetsutövning som rättslig grund

Enligt dataskyddsförordningen får personuppgifter även behandlas om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. För att grunden ska kunna tillämpas krävs att rätten att utöva myndighet är fastställd i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Den person- uppgiftsansvarige behöver inte vara skyldig att utföra uppgiften för att den rättsliga grunden ska vara tillämplig, men behandlingen måste vara nödvändig (artikel 6.1 e andra ledet och 6.3). Vad som avses med att en rättslig grund ska vara fastställd i nationell rätt och att en behandling ska vara nödvändig har behandlats i avsnitt 6.1.2.

Begreppet myndighetsutövning har en EU-gemensam innebörd. I propositionen Ny dataskyddslag (prop. 2017/18:105) anges att utgångs- punkten i svensk rätt är att det som i Sverige brukar anses som myndig-

47

Prop. 2017/18:218 hetsutövning faller under begreppet och att detta bör gälla även fortsätt- ningsvis (s. 62). Myndighetsutövning karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befogenheten till myndighetsutövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de högsta statsorganen. Utanför begreppet myndighetsutövning faller råd, upplysningar och faktiskt handlande som inte innebär tvång mot den enskilde.

Av naturliga skäl är det i första hand statliga och kommunala myndigheter som ägnar sig åt myndighetsutövning. Även juridiska och fysiska personer kan dock med stöd av lag anförtros förvaltningsupp- gifter som innefattar myndighetsutövning (12 kap. 4 § RF). I proposi- tionen Ny dataskyddslag noteras att den rättsliga grunden myndighets- utövning kan tillämpas av alla personuppgiftsansvariga som har tilldelats myndighetsutövande befogenheter (prop. 2017/18:105, s. 63).

Liksom i fråga om den rättsliga grunden uppgift av allmänt intresse, får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling för att efterleva den rättliga grunden myndighetsutövning. Detta får ske genom att närmare fastställa specifika krav för person- uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling (artikel 6.2 i dataskyddsförordningen).

I propositionen Ny dataskyddslag föreslås att det i dataskyddslagen tydliggörs hur den rättsliga grunden myndighetsutövning kan vara ut- tryckt. Enligt förslaget i 2 kap. 2 § 2 dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om be- handlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.

6.4Rättslig förpliktelse som rättslig grund

Dataskyddsförordningen tillåter även behandling av personuppgifter om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. För att grunden ska kunna tillämpas krävs att den rättsliga förpliktelsen är fastställd i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.1 c och 6.3 första stycket).

Till skillnad från de rättsliga grunderna uppgift av allmänt intresse och myndighetsutövning, ska syftet med behandlingen fastställas i den rättsliga grunden (artikel 6.3 andra stycket). I propositionen Ny data- skyddslag anges att kravet torde innebära att en förpliktelse inte kan läggas till grund för behandling av personuppgifter om syftet med behandlingen inte framgår av den reglering som förpliktelsen grundas på eller det beslut där förpliktelsen anges. Det ska alltså vara möjligt för såväl den personuppgiftsansvarige som den registrerade att förstå varför behandlingen av personuppgifter ska ske (prop. 2017/18:105 s. 54).

I fråga om den rättsliga grunden rättslig förpliktelse gör dataskydds- förordningen inte skillnad på offentliga eller privata organ.

48

Liksom i fråga om de rättsliga grunderna uppgift av allmänt intresse Prop. 2017/18:218 och myndighetsutövning, får medlemsstaterna behålla eller införa mer

specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling för att efterleva den rättliga grunden rättslig förpliktelse. Detta får ske genom att närmare fastställa specifika krav för personuppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling (artikel 6.2 i dataskydds- förordningen).

I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås att det anges i 2 kap. 1 § dataskyddslagen att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen om behandlingen är nöd- vändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som gäller enligt lag eller annan författning, följer av kollek- tivavtal, eller följer av beslut som har meddelats med stöd av lag eller annan författning.

6.5Intresseavvägning som rättslig grund

Behandling av personuppgifter är enligt dataskyddsförordningen även laglig om den är nödvändig för ändamål som rör den personuppgifts- ansvariges eller en tredje parts berättigade intressen, om inte den registre- rades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (artikel 6.1 f första stycket)

Som nämnts tidigare gäller denna grund inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter (artikel 6.1 f andra stycket).

I propositionen Ny dataskyddslag gör regeringen bedömningen att när det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unions- rättslig mening är det i stället ofta möjligt att grunda nödvändig behand- ling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen. Detsamma gäller om verksamhe- ten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten (prop. 2017/18:105 s. 59).

7Principer som måste följas vid behandling av personuppgifter

7.1 Allmänna principer för personuppgifts- behandling

Den omständigheten att behandlingen är laglig enligt artikel 6.1 i data-

 

skyddsförordningen innebär inte att behandling kan ske av vilka upp-

49

 

Prop. 2017/18:218 gifter som helst eller på valfritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen.

Dataskyddsförordningen innehåller ett antal principer som gäller och ska tillämpas vid all behandling av personuppgifter. Dessa principer är i stort sett desamma enligt dataskyddsförordningen som enligt dataskydds- direktivet. Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna efterlevs. Principerna framgår av artikel 5 i dataskyddsförordningen.

För det första ska uppgifterna behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet, artikel 5.1 a).

Uppgifterna ska vidare samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska emellertid inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegräns- ning, artikel 5.1 b).

Uppgifterna ska också vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering, artikel 5.1 c).

Uppgifterna ska dessutom vara korrekta och om nödvändigt uppdatera- de. Alla rimliga åtgärder måste vidtas för att säkerställa att person- uppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet, artikel 5.1.d).

Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forsk- ningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering, artikel 5.1.e).

Slutligen ska uppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisa- toriska åtgärder (integritet och konfidentialitet, artikel 5.1 f).

7.2Det finns en särskild reglering för s.k. känsliga personuppgifter

Dataskyddsförordningen innehåller, i likhet med dataskyddsförordning- en, ett principiellt förbud mot behandling av särskilda kategorier av uppgifter samt flera undantag från detta förbud (artikel 9 i dataskydds- förordningen respektive 8 i dataskyddsdirektivet). I PUL används benäm- ningen känsliga uppgifter för de personuppgifter som omfattas av denna

särskilda reglering. Dessa är enligt dataskyddsdirektivet och PUL upp-

50

gifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös Prop. 2017/18:218 eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter

som rör hälsa och sexualliv. I dataskyddsförordningen utvidgas den sär- skilda kategorierna av uppgifter till att också omfatta behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Förbudet ska enligt artikel 9.2 inte tillämpas i någon av de situationer som beskrivs i artikel 9.2 a–j. Förbudet gäller t.ex. inte om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionslagstiftningen eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g).

Ska uppgifterna benämnas särskilda kategorier av personuppgifter eller känsliga personuppgifter?

I såväl det nuvarande dataskyddsdirektivet som i dataskyddsförordningen benämns de personuppgifter som omfattas av förbudet som särskilda kategorier av personuppgifter i artikeltexten. I dataskyddsförordningens beaktandeskäl omnämns de på ett par ställen som känsliga respektive särskilt känsliga uppgifter (skäl 10 och 51). I PUL har särskilda katego- rier av personuppgifter kallats känsliga personuppgifter utan att detta närmare har kommenterats i förarbetena. I propositionen Ny dataskydds- lag (prop. 2017/18:105) föreslår regeringen att begreppet känsliga personuppgifter fortsatt bör användas som samlingsbenämning i data- skyddslagen för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som anges i artikel 9 i dataskyddsförordningen. Bak- grunden till detta förslag är att begreppet får anses väl inarbetat, även på EU-nivå, och är språkligt enklare att använda och förstå, inte minst i författningstext.

7.3 Den finns även en särskild reglering om personuppgifter om lagöverträdelser

Dataskyddsförordordningen innehåller även en artikel om behandling av

 

personuppgifter som rör fällande domar i brottmål och överträdelser eller

 

därmed sammanhängande säkerhetsåtgärder (artikel 10). Behandling av

 

sådana personuppgifter får endast utföras under kontroll av myndighet

 

eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas

 

nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättig-

 

heter och friheter fastställs. Ett fullständigt register över fällande domar i

 

brottmål får endast föras under kontroll av en myndighet.

 

Artikel 10 i dataskyddsförordningen skiljer sig något från regleringen i

 

artikel 8.5 dataskyddsdirektivet. Förordningens bestämmelse har be-

 

gränsats till enbart fällande brottmålsdomar och överträdelser eller

 

därmed sammanhängande säkerhetsåtgärder. En annan skillnad i förord-

51

 

Prop. 2017/18:218 ningen jämfört med direktivet är att hänvisningen till personuppgifter om avgöranden i tvistemål och administrativa sanktioner har tagits bort.

 

8

Anordnande av utbildning är både en

 

 

uppgift av allmänt intresse och ett viktigt

 

 

allmänt intresse

 

 

 

Regeringens bedömning: Anordnande och bedrivande av utbildning

 

är en uppgift av allmänt intresse enligt artikel 6.1. e i dataskydds-

 

förordningen. Anordnande och bedrivande av utbildning är även ett

 

sådant viktigt allmänt intresse som krävs för behandling av känsliga

 

personuppgifter enligt artikel 9.2 g i dataskyddsförordningen.

 

 

 

 

 

Utredningens bedömning: Överensstämmer med regeringens bedöm-

 

ning att utbildning är en uppgift av allmänt intresse. Utredningen har

 

dock inte redovisat sin bedömning i detta avseende på ett samlat sätt för

 

hela utbildningsområdet. Utredningen har inte heller redovisat någon

 

samlad bedömning i frågan om utbildning är ett viktigt allmänt intresse,

 

utan har redovisat en bedömning i fråga om några delar av utbildnings-

 

området samt lämnat förslag till ändringar i skollagen och lagen om

 

yrkeshögskolan som utgår från att anordnande av utbildning enligt dessa

 

lagar är ett viktigt allmänt intresse.

 

 

Remissinstanserna: Datainspektionen delar bedömningen att anord-

 

nande och bedrivande av utbildning i och för sig kan uppfylla ett allmänt

 

intresse. Remissinstanserna i övrigt har inte haft några synpunkter på om

 

anordnande och bedrivande av utbildning i och för sig utgör en uppgift

 

av allmänt intresse. Det stora flertalet remissinstanser har inte heller

 

några synpunkter på eller har inget att erinra mot utredningens bedöm-

 

ningar rörande utbildning som ett viktigt allmänt intresse.

 

 

Datainspektionen ifrågasätter om utredningens förslag till undantag

 

som möjliggör behandling av känsliga personuppgifter med stöd av

 

artikel 9.2 g i dataskyddsförordningen uppfyller artikelns krav på viktigt

 

allmänt intresse.

 

 

Skälen för regeringen bedömning: Av principerna för behandling av

 

personuppgifter i dataskyddsförordningen framgår att uppgifterna ska

 

behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den

 

registrerade (laglighet, korrekthet och öppenhet, artikel 5.1 a). För att en

 

behandling ska vara laglig krävs att det finns en rättslig grund för

 

behandlingen. Som framgår av avsnitt 6 krävs för att den rättsliga

 

grunden uppgift av allmänt intresse i artikel 6.1 ska kunna åberopas att

 

grunden för behandlingen ska fastställas i unionsrätten eller i nationell

 

rätt som den personuppgiftsansvarige omfattas av.

 

 

I artikel 14.1 i Europeiska unionens stadga om de grundläggande

 

rättigheterna (2010/C 83/02) anges att var och en har rätt till utbildning

 

och till tillträde till yrkesutbildning och fortbildning.

 

 

I Fördraget om Europeiska unionens funktionssätt anges också att EU

52

ska bidra till utvecklingen av en utbildning av god kvalitet genom att

 

 

främja samarbetet mellan medlemsstaterna och genom att vid behov stödja och komplettera deras insatser, och genomföra en yrkesutbild- ningspolitik som ska understödja och komplettera medlemsstaternas insatser (artikel 165.1 och 166.1). På EU-nivå har det även på flera sätt kommit till uttryck att utbildning ur flera perspektiv tillskrivs en viktig roll inom unionen. Några exempel på detta är följande.

En viktig del i Europa 2020-strategin, som är EU:s agenda för tillväxt och jobb fram till 2020, är kvantitativa mål på EU-nivå inom fem områden, varav utbildning utgör ett område. Målen fastställdes av Europeiska rådet i juni 2010 och ska vara uppfyllda senast 2020. Medlemsstaterna har även fastställt nationella mål inom samma områden, dvs. bland annat på utbildningsområdet. Uppnådda framsteg avseende de nationella målen redovisas årligen till EU-kommissionen.

I rådets slutsatser av den 12 maj 2009 om en strategisk ram för europeiskt utbildningssamarbete (Utbildning 2020) betonas dels att utbildning är av avgörande betydelse när det gäller att möta de många socioekonomiska, demografiska, miljömässiga och tekniska utmaningar som Europa och dess medborgare står inför i dag och kommer att stå inför under kommande år, dels att effektiv investering i humankapital genom förbättrade utbildningssystem är en väsentlig del av den euro- peiska strategin för att skapa den höga hållbara och kunskapsbaserade tillväxt och sysselsättning som utgör kärnan i Lissabonstrategin, sam- tidigt som självförverkligande, social sammanhållning och aktivt med- borgarskap främjas (EUT C 119, 28.5.2009).

Som nämnts i avsnitt 5.6 beslutade vidare Europaparlamentet och rådet den 23 april 2008 en rekommendation om en europeisk referensram för kvalifikationer för livslångt lärande (rekommendationen om EQF, EUT C 111, 6.5.2008). Syftet med rekommendationen är att bidra till att modernisera utbildningssystemen inom Europa samt stärka kopplingarna mellan utbildning och arbetsliv (ingresspunkt 13). Med kvalifikation avses ett dokumenterat resultat av lärande i form av kunskaper, färdig- heter och kompetenser, t.ex. utbildningsbevis, examina, certifikat och diplom. För att underlätta jämförelse mellan ländernas kvalifikationer bör medlemsstaterna införa nationella referensramar som kan kopplas till den europeiska referensramen. I Sverige har den nationella referensramen reglerats i förordningen (2015:545) om referensram för kvalifikationer för livslångt lärande. Syftet med referensramen är enligt 1 § att underlätta jämförelser nationellt och internationellt av vilka nivåer sådana kvalifikationer motsvarar i fråga om kunskaper, färdigheter och kompe- tenser för att därigenom främja livslångt lärande och förbättra anställ- ningsbarhet, rörlighet och social integration för arbetstagare och stude- rande inom EU. I bilaga 2 till förordningen har kvalifikationer vars resultat av lärande är författningsreglerade nivåplacerats. Som framgått har kvalifikationer från såväl skollagsreglerad verksamhet, universitet och högskolor, yrkeshögskolan och folkbildningen nivåplacerats i den bilagan. I övrigt kan en kvalifikation nivåplacerats efter beslut av Myn- digheten för yrkeshögskolan.

Vikten av utbildning framhålls också i den svenska grundlagen. I rege- ringsformen (RF) anges att det allmänna särskilt ska trygga rätten till bl.a. utbildning, att alla barn som omfattas av den allmänna skolplikten har rätt till kostnadsfri grundläggande utbildning i allmän skola och att

Prop. 2017/18:218

53

Prop. 2017/18:218 det allmänna också ska svara för att högre utbildning finns (1 kap. 2 § andra stycket och 2 kap. 18 § första stycket RF). I Europeiska konventio- nen till skydd för de mänskliga rättigheterna anges att ingen får förvägras rätten till undervisning (artikel 2 i protokollet till konventionen). Kon- ventionen gäller enligt lagen (1994:1219) om den europeiska konven- tionen angående skydd för de mänskliga rättigheterna och de grundläg- gande friheterna, som svensk lag

Regeringen anser att det redan i EU-rätten finns stöd för att utbildning utgör såväl en uppgift av allmänt intresse som ett viktigt allmänintresse. Det faktum att rätten till utbildning också lyfts fram i svensk grundlag och i Europakonventionen om mänskliga rättigheter bekräftar detta. Även förekomsten av den europeiska referensramen för kvalifikationer för livslångt lärande och de till den referensramen anslutande nationella referensramarna bekräftar detta.

Nedan kommer regeringen i avsnitt 9 att redogöra för andra mer specifika författningar inom de olika delarna av utbildningsområdet som bidrar till att anordnande och bedrivande av utbildning inom respektive del av utbildningsområdet anses vara en fastställd uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. I an- slutning till detta redogörs även för vilka andra rättsliga grunder i artikel 6.1 som skulle kunna vara aktuella att tillämpa inom olika delar av utbildningsområdet.

Frågan vilken kompletterande reglering som behövs i svensk rätt för att känsliga personuppgifter och uppgifter om lagöverträdelser ska kunna behandlas på utbildningsområdet i den utsträckning som är nödvändigt återkommer regeringen till i avsnitt 13 och 14.

9Rättsliga grunder för personuppgifts- behandling inom utbildningsområdet

9.1Skollagsreglerad verksamhet

9.1.1Vilka personuppgifter behandlas inom skollagsreglerad verksamhet?

Nedan ges en översiktlig beskrivning av de huvudsakliga behandlingar av personuppgifter som sker på det skollagsreglerade området. En närmare redogörelse för behandlingar av känsliga personuppgifter och uppgifter om lagöverträdelser ges i avsnitt 13.3.1 och 14.3.1.

Behandling vid mottagande och erbjudande av plats

Inom kommunernas organisation för bl.a. mottagande och erbjudande av plats i de olika skolformerna behandlas bl.a. elevens namn, personnum- mer, adress, vårdnadshavare och kontaktuppgifter till dessa. Sådan be- handling förekommer även när andra huvudmän prövar frågor om mot- tagande, såsom Specialpedagogiska skolmyndigheten som prövar frågor

om mottagande i specialskolan, och Sameskolstyrelsen som prövar frågor

54

om mottagande i sameskolan. Inför mottagandet i vissa skolformer, t.ex. grundsärskolan (som är avsedd för barn med en utvecklingsstörning), specialskolan (som är avsedd för barn med vissa funktionsnedsättningar) och särskild utbildning för vuxna (som är avsedd för vuxna med en utvecklingsstörning) behandlas också känsliga personuppgifter. Inför mottagandet av elever i sameskolan behandlas uppgifter som kan avslöja etniskt ursprung.

Behandling inom skolväsendet

Personuppgifter om barn och elever behandlas i skolväsendet för admi- nistrativa ändamål för att kunna planera, genomföra och följa upp elevernas utbildning. Inom skolornas elevadministration behandlas upp- gifter om bl.a. elevens namn, personnummer, adress, vårdnadshavare och kontaktuppgifter till dessa. Vid skapandet av klasslistor behandlas per- sonuppgifter i form av namn och adress. I skolorna behandlas också ele- vens personuppgifter i samband med registrering av elevers frånvaro respektive närvaro. Personuppgifter behandlas i dokumentation inför bl.a. utvecklingssamtal, vid upprättandet av skriftliga individuella ut- vecklingsplaner i låg- och mellanstadiet och vid upprättande av individu- ella studieplaner i gymnasieskolan, gymnasiesärskolan och vuxenutbild- ningen. Personuppgifter behandlas också under och vid dokumentation av olika typer av utredningar, t.ex. om särskilt stöd eller vid kränkande behandling. Vid upprättandet av t.ex. en lista över elevers ämnesval, såsom språkval och modersmålsundervisning, behöver också personupp- giftsbehandling ske. Även vid dokumentation inför betygssättning och av själva betygssättningen, t.ex. i betygsregister, behandlas elevernas per- sonuppgifter i form av namn, personnummer och betyg i ämnen, kurser och gymnasiearbete (t.ex. 3 kap. 8 och 13 §§, 6 kap. 10 §, 7 kap. 17 §, 10 kap. 7, 12 och 13 §§, 15 kap. 19 och 20 §§ och 16 kap. 25 § skol- lagen).

Även vid lämnande av information till eleven eller elevens vårdnads- havare kan personuppgiftsbehandling bli aktuell beroende på hur infor- mationen lämnas t.ex. genom ett e-postmeddelande (3 kap. 4 § skol- lagen).

Beroende av val av it-lösning kan det administrativa systemet vara integrerat med funktioner för det dagliga pedagogiska och administrativa arbetet för lärarna med t.ex. närvarohantering, betygssättning, provsche- man, planeringar, nyheter, elevinlämningar och kommunikation mellan lärare och elev respektive vårdnadshavare.

Elevernas personuppgifter kan även behandlas automatiskt i undervis- ningen genom att t.ex. en lärare anvisar eleverna till att lämna in en uppsats via en lärplattform eller via e-post. En annan situation där det sker personuppgiftsbehandling är om eleverna får ett konto på skolans server eller får en bärbar dator och eleverna använder dessa till att t.ex. skriva sina elevarbeten eller leta efter information på internet.

Personuppgiftsbehandling förekommer också i form av att eleverna fotograferas av personalen i syfte att dokumentera verksamheten och vid skolfotografering. Personuppgiftsbehandling i form av ljud- och film- inspelningar kan även förekomma i undervisningssammanhang, vid elev- arbeten och för bedömning.

Prop. 2017/18:218

55

Prop. 2017/18:218 Även i skolbiblioteken behandlas elevernas personuppgifter för att personalen ska kunna ha kontroll över vilka böcker som är utlånade till vem.

Skolorna behandlar även elevernas personuppgifter vid resultatupp- följningar som görs för huvudmannens systematiska kvalitetsarbete och för nationell uppföljning och utvärdering (4 kap. 3 § och 26 kap. 25 § skollagen, förordningen [1992:1083] om viss uppgiftsskyldighet för huvudmännen inom skolväsendet m.m. och Skolverkets föreskrifter [SKOLFS 2011:142] om uppgiftsinsamling från huvudmännen inom skolväsendet m.m., ändrad genom [SKOLFS 2017:18]).

Särskilt om behandling i förskolan, fritidshemmet och pedagogisk omsorg

I förskolorna, fritidshemmen och pedagogisk omsorg behandlas barnens och elevernas personuppgifter i form av i vart fall namn för att kunna planera och genomföra respektive uppdrag att stimulera barnens och elevernas utveckling och lärande. Personalen i respektive verksamhet behöver även kunna notera när ett barn eller en elev kommit respektive gått för dagen. Personuppgiftsbehandling förekommer också i form av att barnen fotograferas av personalen i syfte att dokumentera verksamheten och barnens lärande och inför samtal med vårdnadshavare. Även inom dessa verksamheter kan det finnas behov av att kunna behandla känsliga personuppgifter, t.ex. uppgifter om allergier.

Särskilt om fristående förskolors och skolors behandling

Huvudmän för fristående förskolor och skolor har behov av att behandla samma uppgifter som offentliga huvudmän. Därutöver behandlar en- skilda huvudmän även barnens och elevernas personuppgifter i samband med att de informerar kommunen om att de tagit emot ett barn eller en elev för att huvudmannen ska få bidrag från hemkommunen. I de fall en elev har ett omfattande behov av särskilt stöd eller ska erbjudas moders- målsundervisning ska hemkommunen betala ett tilläggsbelopp. I ansökan om tilläggsbelopp förekommer känsliga personuppgifter om eleven, t.ex. uppgift om funktionsnedsättning och behov av tekniska hjälpmedel (9 kap. 19 och 21 §§ och 10 kap. 37 och 39 §§ skollagen). Sådana uppgifter kan även förekomma om en ansökan om tilläggsbelopp över- klagas med stöd av 28 kap. 5 § skollagen.

Särskilt om behandling av känsliga personuppgifter

Känsliga personuppgifter kan förekomma vid vissa personuppgifts- behandlingar, t.ex. i uppgiftssamlingar om allergier inom elevhälsan och i samband med skolmåltider, uppgifter om funktionsnedsättning och olika diagnoser inom elevhälsan, elevhälsoteam och åtgärdsprogram. I elevernas individuella utvecklingsplaner kan integritetskänsliga omdö- men och bedömningar av elevernas möjligheter att nå kunskapskraven förekomma.

När en skola utreder och beslutar om särskilt stöd respektive åtgärds- program behandlas också personuppgifter som kan vara känsliga (3 kap. skollagen). Sådan behandling av personuppgifter kan även förekomma

56

inom elevhälsans psykosociala och specialpedagogiska verksamhet som Prop. 2017/18:218 inte omfattas av patientdatalagen.

Känsliga personuppgifter om hälsa kan även behöva behandlas i samband med att skolbibliotek förfogar över upphovsrättsligt skyddade verk som elever med funktionsnedsättning behöver för att kunna ta del av verken, t.ex. genom att överföra dem till den funktionsnedsatte enligt lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.

Om disciplinära åtgärder vidtas ska dessa dokumenteras skriftligt varvid personuppgiftsbehandling sker (3 kap. 5 a, 8 och 9 §§ och 5 kap. 24 § skollagen).

Som har nämnts ovan behandlas vidare känsliga personuppgifter om hälsa vid prövning av mottagande i grundsärskolan, specialskolan, gymnasiesärskolan, och särskild utbildning för vuxna enligt 7, 18 och 21 kap. skollagen. Även en uppgift om att en elev går i en sådan skola är en känslig uppgift. Motsvarande gäller känsliga personuppgifter om etnicitet vid mottagande och fullgörande av skolplikt i sameskolan.

Behovet av behandling av känsliga personuppgifter på det skollags- reglerade området redogörs för närmare i avsnitt 13.3.

9.1.2Den rättsliga grunden uppgift av allmänt intresse kan användas inom skollagsreglerad verksamhet

Regeringens bedömning: Genom bestämmelser i skollagen med anslutande föreskrifter och beslut fattade med stöd av dessa är till- handahållande, anordnande och bedrivande av utbildning och annan pedagogisk verksamhet en i svensk rätt fastställd uppgift av allmänt intresse. Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i EU:s dataskyddsförordning.

Utredningens bedömning: Överensstämmer med regeringens bedöm-

 

ning.

 

Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Statens

 

skolverk, Statens skolinspektion, Skolväsendets överklagandenämnd,

 

Barnombudsmannen, Askersunds kommun, Eskilstuna kommun, Eslövs

 

kommun och Halmstads kommun har inte några synpunkter på bedöm-

 

ningen. Sveriges Kommuner och Landsting, Friskolornas riksförbund

 

och Specialpedagogiska skolmyndigheten delar uttryckligen utredningens

 

bedömning.

 

Även Stockholms kommun delar bedömningen, men är tveksam till om

 

den rättsliga grunden fullt ut täcker digitala läromedel som är moln-

 

baserade antingen genom olika typer av webbtjänster eller genom

 

applikationer. Vissa av dessa tjänster skulle kunna hanteras på sådant sätt

 

att det innebär att personuppgifter inte behöver behandlas och därmed

 

kan det ifrågasättas om det uppfyller kravet på nödvändighet enligt arti-

 

kel 6.1 e i fördraget. Även Luleå kommun pekar på svårigheten att avgöra

 

om en applikation är nödvändig för att fullgöra en undervisningsuppgift.

 

Datainspektionen anser att utredningens redovisning är bristfällig.

 

Inspektionen anser att den behöver kompletteras med en analys som visar

57

 

Prop. 2017/18:218 vilken behandling som är nödvändig utifrån skolornas verksamhet och en redovisning som visar att skollagen och därtill hörande bestämmelser ger stöd för den behandlingen och att dessa är tydliga, precisa och dess tillämpning förutsägbar för personer som omfattas av den. Inspektionen anser vidare att det inte möjligt att presumera att de åtgärder som myndigheterna vidtar i syfte att utföra sina uppdrag och åligganden och som antagits i enlighet med grundlagens bestämmelser om normgiv- ningskompetens och kommunalt självstyre i sig har en legal grund som offentliggjorts genom tydliga, precisa och förutsägbara regler. Enligt Datainspektionen har utredningen inte visat att det kommer att finnas rättsligt stöd för all behandling av personuppgifter som är av betydelse för skolverksamheterna. Vilhelmina kommun delar bedömningen att det saknas tillräcklig analys.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning

Som framgått av föregående avsnitt finns det behov av att behandla en rad personuppgifter på det skollagsreglerade området. Som anges i avsnitt 6 förutsätter personuppgiftsbehandlingen en i EU-rätten eller nationell rätt fastställd rättslig grund (artikel 6 i dataskyddsförordningen).

Tillhandahållande, anordnande och bedrivande av utbildning är en uppgift av allmänt intresse

Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i data- skyddsförordningen har beskrivits i avsnitt 6.2.

Som framgår av avsnitt 8 anser regeringen att det av såväl EU-rätten som regeringsformen framgår att anordnande och bedrivande av utbild- ning är en uppgift av allmänt intresse. Skolväsendet, som beskrivs i av- snitt 5.1, regleras i skollagen med anslutande föreskrifter. I förarbetena till den nuvarande skollagen anförs att utbildningen är av betydelse både för den enskilda individens utveckling och för samhällsutvecklingen (prop. 2009/10:165 s. 634). Regeringen har i två propositioner från i mars 2017 ansett att undervisning inom skolväsendet får anses vara en uppgift av allmänt intresse i den mening som avses i 10 § PUL (prop. 2016/17:156 s. 43 och prop. 2016/17:161 s. 21).

Skollagen innehåller förutom bestämmelser om skolväsendet och sär- skilda utbildningsformer även bestämmelser om bl.a. annan pedagogisk verksamhet i form av pedagogisk omsorg som erbjuds i stället för förskola eller fritidshem, öppen förskola, öppen fritidsverksamhet och omsorg under tid då förskola eller fritidshem inte erbjuds (25 kap.). Även om annan pedagogisk verksamhet i strikt mening inte skulle inrymmas i begreppet utbildning så erbjuds sådan verksamhet huvudsakligen i stället för eller som komplement till förskola eller fritidshem. Enligt rege- ringens bedömning bör därför även annan pedagogisk verksamhet vara en uppgift av allmänt intresse i dataskyddsförordningens mening. Det- samma gäller för öppen fritidsverksamhet som erbjuds av en huvudman.

58

I egenskap av hemkommun har en kommun enligt skollagen ansvar för en rad viktiga uppgifter i samband med utbildningen. Det handlar t.ex. om att se till att utbildning i olika skolformer kommer till stånd för alla barn i kommunen, att tillhandahålla skolskjuts eller att lämna bidrag till enskilda huvudmän för fristående förskolor och fristående skolor. Dessa uppgifter utgör viktiga förutsättningar för en fungerande skolverksamhet och bör därför enligt regeringens bedömning anses som uppgifter av allmänt intresse i dataskyddsförordningens mening.

Regeringens bedömning är således att tillhandahållande, anordnande och bedrivande av utbildning och annan pedagogisk verksamhet enligt skollagen med anslutande föreskrifter är en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.

Även det förhållandet att vissa utbildningar på grundläggande och gymnasial nivå kan berättiga till studiestöd enligt studiestödslagen och studiestödsförordningen kan enligt regeringens uppfattning läggas till grund för bedömningen om att anordnande och bedrivande av dessa utbildningar är en uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen.

Den rättsliga grunden är fastställd i bl.a. skollagen

Av artikel 6.3 dataskyddsförordningen framgår att när det är fråga om behandling av personuppgifter som är nödvändiga för att utföra en uppgift av allmänt intresse ska grunden för behandlingen fastställas i enlighet med unionsrätten eller nationell rätt. I förslaget till dataskydds- lag tydliggörs att den rättsliga grunden uppgift av allmänt intresse kan vara fastställd i svensk rätt om uppgiften följer av lag eller annan för- fattning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (2 kap. 2 §). Av kommentaren paragrafen framgår att även privaträttsligt bedriven verksamhet av allmänt intresse omfattas av formuleringen (prop. 2017/18:105 s. 190).

Av 2 kap. skollagen framgår att huvudmän inom skolväsendet är kommuner, landsting, staten och, efter godkännande, enskilda. Skol- väsendets, de särskilda utbildningsformernas och annan pedagogisk verksamhets samt hemkommunernas uppdrag och åligganden framgår av skollagen men även av flera förordningar som alla antagits i enlighet med grundlagens bestämmelser om normgivningskompetens.

Skollagen anger vilka ramar som gäller för all skolverksamhet. Där finns de övergripande målen och riktlinjerna för skolan. Vidare framgår att det ska finnas en läroplan för varje skolform och fritidshemmet som utgår från bestämmelserna i skollagen av (1 kap. 11 § skollagen). Läro- planerna, som är förordningar, ska tillsammans med skollagen styra verksamheten i skolan. I ämnes- och kursplanerna står vilket syfte och mål undervisningen i varje ämne ska ha. Kursplanerna talar inte om hur undervisningen ska läggas upp eller vilka arbetssätt som ska användas. Däremot anger kursplanerna vilka kunskapskvalitéer som ska utvecklas hos eleverna.

Av 2 kap. 8 § skollagen framgår att huvudmannen ansvarar för att utbildningen genomförs i enlighet med bestämmelserna i denna lag, före- skrifter som har meddelats med stöd av lagen och de bestämmelser för

Prop. 2017/18:218

59

Prop. 2017/18:218 utbildningen som kan finnas i andra författningar. Detta gäller såväl

 

offentliga som enskilda huvudmän.

 

Skollagen är en omfattande lag som är ca 150 sidor lång. Den närmare

 

innebörden av uppdragen och åliggandena inom olika skolformer

 

framgår av 2–21 kap. skollagen och föreskrifter som har sin grund i

 

lagen. Dessa är t.ex. skolförordningen (2011:185), gymnasieförordningen

 

(2010:2039), förordningen (SKOLFS 2010:37) om läroplan för grund-

 

skolan, förskoleklassen och fritidshemmet, förordningen (SKOLFS

 

2011:144) om läroplan för gymnasieskolan, förordningen (SKOLFS

 

2010:14) om examensmål för gymnasieskolans nationella program,

 

förordningen (SKOLFS 2010:261) om ämnesplaner för de gymnasie-

 

gemensamma ämnena och Skolverkets föreskrifter (SKOLFS 2011:19)

 

om kunskapskrav för grundskolans ämnen.

 

En uppgift som åligger huvudmännen är själva undervisningen. Med

 

undervisning avses sådana målstyrda processer som under ledning av

 

lärare och förskollärare syftar till utveckling och lärande genom inhäm-

 

tande och utvecklande av kunskaper och värden (1 kap. 3 § skollagen).

 

Med utbildning avses enligt samma bestämmelse den verksamhet inom

 

vilken undervisning sker utifrån bestämda mål. Av förarbetena (prop.

 

2009/10:165 s. 217 f.) framgår att begreppet undervisning fått en defini-

 

tion som är anpassad för såväl förskola och fritidshem som skola och

 

vuxenutbildning. Begreppet har getts en vid tolkning i dessa verksam-

 

heter. Med undervisning avses inte bara så kallad katederundervisning,

 

utan även t.ex. förmedlande och undersökande undervisningsmetodik.

 

Det är centralt i den kunskapssyn som genomsyrar skolväsendets

 

samtliga styrdokument att undervisningen syftar till att eleverna ska

 

inhämta samt utveckla både kunskaper och värden. I förskolan bildar

 

omsorg, utveckling och lärande en helhet i undervisningen.

 

I förarbetena anges vidare att begreppet utbildning utgör en över-

 

gripande term som beskriver all den verksamhet som omfattas av de

 

övergripande målen i skolförfattningarna. Begreppet utbildning är ett

 

vidare begrepp än undervisning och kan omfatta annan verksamhet än

 

undervisning både i den inre och den yttre miljön, t.ex. på skolgården, i

 

matsalen eller i form av organiserat lärande förlagt till en arbetsplats.

 

Utbildning kan dessutom omfatta annan verksamhet som äger rum t.ex.

 

vid lägerskolor, utflykter eller olika former av praktik eller annan

 

verksamhetsförlagd verksamhet. I förskolan har utbildningsbegreppet ett

 

brett pedagogiskt perspektiv där omsorg, utveckling och lärande bildar

 

en helhet. I begreppet utbildning omfattas också de frivilliga konfes-

 

sionella inslag som förskolor och skolor med enskild huvudman kan ha

 

(1 kap. 7 § skollagen).

 

De ovannämnda föreskrifterna anger mål med undervisningen, men

 

inte exakt i minsta detalj hur undervisningen ska läggas upp eller vilka

 

arbetssätt som ska användas. Läraren har ett visst mått av bestämmande

 

över undervisningens innehåll men måste hålla sig inom vissa ramar.

 

Kursplanerna tillsammans med de övergripande målen i läroplanen är

 

grunden för planering och genomförande av en lärares undervisning.

 

Enligt läroplanen ska läraren svara för att eleverna får pröva olika

 

arbetssätt och arbetsformer. Av läroplanen framgår att läraren ska svara

 

för att alla elever får ett reellt inflytande på arbetssätt, arbetsformer och

60

undervisningens innehåll samt se till att detta inflytande ökar med

stigande ålder och mognad. En lärare kan dock bestämma t.ex. vilka Prop. 2017/18:218 läromedel eleverna ska använda, vilka uppgifter som de ska lösa och

vilka hjälpmedel som eventuellt ska användas, t.ex. dator eller mini- räknare. Detta innebär emellertid inte att själva undervisningen inte är fastställd i svensk rätt. Den undervisning som bedrivs av lärarna i skolorna har sitt stöd i skollagen med anslutande föreskrifter eftersom dessa sätter ramarna för undervisningen. Även själva undervisningen är enligt regeringens bedömning fastställd genom skollagen och anslutande föreskrifter och därigenom tydlig, precis och förutsägbar (jfr skäl 41 till dataskyddsförordningen).

Som exempel på personuppgiftsbehandling som kan anses nödvändig på grund av huvudmännens uppgifter enligt skollagen kan t.ex. nämnas elevregister för administration av elevernas närvaro (7 kap. 17 § skol- lagen), dokumentation av elevernas kunskaper inför ett utvecklings- samtal, uppgifter i en skriftlig individuell utvecklingsplan (t.ex. 10 kap. 12 och 13 §§ skollagen) och betygssättning (3 kap. 13 § skollagen). Det finns vidare tydliga dokumentationskrav i skollagen. Som exempel kan

nämnas att överenskommelser vid utvecklingssamtal i de obligatoriska

skolformerna ska dokumenteras i elevens skriftliga individuella utveck- lingsplan (10 kap. 13 §, 11 kap. 16 §, 12 kap. 13 § och 13 kap. 13 § skollagen). Om en elev är i behov av särskilt stöd ska det upprättas ett åtgärdsprogram. Av programmet ska framgå hur behovet av särskilt stöd ska tillgodoses, när åtgärderna ska följas upp och utvärderas och vem som är ansvarig för uppföljningen respektive utvärderingen. (3 kap. 9 § skollagen). De disciplinära åtgärder och andra särskilda åtgärder som vidtas för att tillförsäkra trygghet och studiero i skolan ska dokumenteras skriftligen (5 kap. 24 § skollagen). Även planen mot kränkande behand- ling (6 kap. 8 § skollagen) och det systematiska kvalitetsarbetet (4 kap. 6 § skollagen) ska dokumenteras.

Även de övriga skyldigheter som enligt skollagen åligger hemkommu- nen är enligt regeringens bedömning sådana uppgifter av allmänt intresse som är fastställda genom bestämmelserna i skollagen som reglerar just den aktuella uppgiften. Det gäller t.ex. att ansvara för att utbildning i grundskolan kommer till stånd (10 kap. 24 skollagen) och att lämna bidrag till enskilda huvudmän för fristående förskolor och fristående skolor (8 kap. 21 § och 10 kap. 37 § skollagen).

Mot denna bakgrund har enligt regeringens bedömning de åtgärder som huvudmännen och hemkommunerna vidtar i syfte att utföra upp- dragen eller uppfylla åligganden enligt skollagen och anslutande före- skrifter en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler som står i proportion till de mål som eftersträvas. Uppgiften av allmänt intresse, dvs. att tillhandahålla, anordna och bedriva utbildning, är således fastställd genom skollagen med anslutande föreskrifter.

I det följande utvecklas också närmare hur den rättsliga grunden för nödvändig personuppgiftsbehandling är fastställd i fråga om utbildning i särskilda utbildningsformer och annan pedagogisk verksamhet.

61

Prop. 2017/18:218

62

Det finns fastställda uppgifter av allmänt intresse i fråga om utbildning i särskilda utbildningsformer…

I 24 kap. skollagen finns bestämmelser om s.k. särskilda utbildnings- former som bedrivs i stället för utbildning inom skolväsendet. Bestäm- melserna gäller bl.a. utbildning vid särskilda ungdomshem, utbildning för intagna i kriminalvårdsanstalt, internationella skolor, utbildning vid folk- högskola som motsvarar kommunal vuxenutbildning i svenska för in- vandrare, utbildning för barn och elever som vårdas på sjukhus eller en institution som är knuten till ett sjukhus och utbildning i hemmet eller på annan lämplig plats. Nedan redogörs för regeringens bedömning av hur den rättsliga grunden för personuppgiftsbehandling är fastställd i fråga om dessa utbildningsformer.

…i form av särskilda ungdomshem…

Utbildning vid särskilda ungdomshem ska för skolpliktiga barn som vistas där och inte lämpligen kan fullgöra sin skolplikt på annat sätt, anordnas genom försorg av huvudmannen för hemmet. De barn som inte längre är skolpliktiga och inte lämpligen kan fullgöra sin skolgång på annat sätt ska genom huvudmannens försorg ges möjlighet att delta i utbildning (24 kap. 8 och 9 §§ skollagen).

Barn som genom en brottmålsdom dömts till sluten ungdomsvård placeras på särskilt ungdomshem. Dessa barn omfattas också av nämnda bestämmelser (32 kap. 5 § brottsbalken samt 1 och 12 §§ lagen [1998:603] om verkställighet av sluten ungdomsvård). Statens institu- tionsstyrelse (SiS) ansvarar för verkställigheten (3 § lagen om verkstäl- lighet av sluten ungdomsvård). I den del av myndighetens verksamhet som avser verkställighet av sluten ungdomsvård ska enligt Utredningen om 2016 års dataskyddsdirektiv förslaget till brottsdatalag (2018:000) tillämpas, eftersom det är fråga om en straffrättslig påföljd (SOU 2017:29, Brottsdatalag, avsnitt 8.4.2). I lagrådsremissen Brottsdatalag delar regeringen de bedömningar som utredningen gjort när det gäller tillvägagångssätt i gränsdragningsfrågor. I den lagrådsremissen anges också att ytterligare vägledning kring enskilda verksamheter inom myndigheterna kan fås genom de bedömningar som utredningen redo- visar i delbetänkandet (s. 111–112).

Däremot är den föreslagna brottsdatalagens bestämmelser inte tillämp- liga på personuppgiftsbehandling som inte är en följd av att den dömde överlämnats till sluten ungdomsvård, utan sker inom ramen för skol- plikten. Det beror på att det inte är fråga om verkställighet av en påföljd. Detsamma gäller barn vars personuppgifter behandlas med anledning av att de får utbildning vid särskilda ungdomshem och som placerats där med stöd av socialtjänstlagen (2001:453) eller lagen (1990:52) om särskilda bestämmelser om vård av unga. Inte heller då är den föreslagna brottsdatalagens bestämmelser tillämpliga, eftersom det inte är fråga om verkställighet av en påföljd. Det är således dataskyddsförordningens bestämmelser som ska tillämpas på personuppgiftsbehandlingen i dessa fall. Genom bestämmelserna i t.ex. 24 kap. 8 § skollagen är SiS anord- nande av utbildning för skolpliktiga barn som vistas i ungdomshemmet om de inte lämpligen kan fullgöra sin skolplikt på annat sätt en fastställd uppgift av allmänt intresse. Vidare anges i bestämmelsen att relevanta

bestämmelser i skollagen rörande grundskolan eller i förekommande fall grundsärskolan eller specialskolan ska tillämpas med nödvändiga av- vikelser. SiS kan alltså i dess fall grunda nödvändig personuppgifts- behandling på att den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen är fastställd i svensk rätt.

…internationella skolor…

Med en internationell skola avses en skola där utbildningen följer ett annat lands läroplan eller en internationell läroplan och som i första hand riktar sig till elever som är bosatta i Sverige för en begränsad tid 24 kap. 2 § skollagen).

En elev får under vissa förutsättningar fullgöra sin skolplikt i en internationell skola på grundskolenivå (24 kap. 2–4 §§ skollagen). De internationella skolorna på grundskolenivå är ålagda att följa vissa föreskrifter i förordningen (2015:801) om internationella skolor så länge som godkännandet för den enskilde respektive medgivandet för den kommunala huvudmannen gäller. Av föreskrifterna framgår bl.a. att utbildningen ska vara utformad så att den som helhet betraktad är lik- värdig med utbildningen i grundskolan. Elever som är bosatta i Sverige för en begränsad tid ska ges undervisning i svenska och om Sverige i den omfattning som de behöver. Undervisning i svenska för övriga skol- pliktiga elever ska bedrivas enligt läroplanen för grundskolan och kursplanen i svenska (4–6 §§). Av 24 kap. 3 och 4 §§ skollagen framgår att barn under vissa förutsättningar får fullgöra sin skolplikt i en internationell skola på grundskolenivå. Regeringen bedömer mot denna bakgrund att den utbildning som de internationella skolorna på grundskolenivå bedriver är en uppgift av allmänt intresse. Denna uppgift är fastställd i svensk rätt genom bestämmelserna i 24 kap. 2, 3 a och 4 a §§ skollagen, tillsammans med relevanta bestämmelser i förord- ningen om internationella skolor och Statens skolinspektions beslut om antingen ett godkännande eller förklaring som huvudman för en inter- nationell skola på grundskolenivå. Enligt regeringens bedömning kan en internationell skola på grundskolenivå således tillämpa den rättsliga grunden uppgift av allmänt intresse för nödvändig personuppgiftsbehand- ling.

En internationell skola på gymnasienivå har en enskild huvudman och följer en utländsk eller internationell läroplan. Det finns inga bestäm- melser om att huvudmannen ska ha ett godkännande för att få bedriva utbildningen, men för att vara berättigad till bidrag för elever från deras hemkommuner måste huvudmannen få en förklaring om rätt till bidrag från Skolinspektionen (24 kap. 6 och 6 a §§ skollagen). För att en enskild huvudman för en internationell skola på gymnasienivå ska förklaras berättigad till bidrag enligt skollagen krävs bl.a. att utbildningen är ut- formad så att den som helhet betraktad är likvärdig med utbildningen i gymnasieskolan. Dess allmänna mål och värdegrund får inte strida mot de allmänna mål och den värdegrund som gäller för utbildning inom skolväsendet (7 § förordningen [2015:801] om internationella skolor).

Regeringen bedömer att den utbildning som den internationella skolan bedriver är en uppgift av allmänt intresse som är fastställd i svensk rätt genom bestämmelserna i 24 kap. 2, 6 och 6 a §§ skollagen tillsammans

Prop. 2017/18:218

63

Prop. 2017/18:218

64

med relevanta bestämmelser i förordningen om internationella skolor och ett beslut från Skolinspektionen om förklaring om rätt till bidrag. Den internationella skolan är dock inte bunden av t.ex. skollagens bestäm- melser om betygssättning (se 3 kap. 13 § skollagen som särskilt räknar upp vilka skolformer som omfattas). Skolan måste inte heller ansöka om tillstånd att sätta betyg, anordna prövning samt utfärda betyg, gym- nasieexamen och intyg enligt de bestämmelser som gäller för gymnasie- skolan (förordningen [2012:509] om betygsrätt för viss utbildning vid internationella skolor). Att eleverna ska få betyg kan dock framgå av den utländska eller internationella läroplanen som skolan följer. Om behandling av personuppgifter för att kunna betygsätta eleverna inom den internationella skolan är nödvändig för att utföra uppgiften av allmänt intresse, dvs. anordna utbildning, bör sådan behandling kunna ske med stöd av den rättsliga grunden utföra uppgift av allmänt intresse fastställd i skollagen, förordningen om internationella skolor och beslutet från Skolinspektionen.

…folkhögskolans vuxenutbildning i svenska för invandrare…

Om en folkhögskola har getts rätt att sätta betyg, anordna prövning samt utfärda betyg och intyg och förklarat sig ha för avsikt att ta emot den sökande till utbildningen har den som har rätt att delta i kommunal vuxenutbildning i svenska för invandrare rätt att i stället delta i folk- högskolans motsvarande vuxenutbildning i svenska för invandrare (24 kap. 11 § skollagen). En folkhögskola som väljer att bedriva sådan utbildning utför genom anordnandet av just den utbildningen en uppgift av allmänt intresse som är fastställd genom 24 kap. 11 § skollagen. Om folkhögskolan bedömer att behandlingen av personuppgifter är nöd- vändig för att den ska kunna bedriva utbildningen i svenska för invandrare kan den tillämpa den rättsliga grunden i artikel 6.1 e för att behandla personuppgifter som hör till just den delen av folkhögskolans verksamhet.

…barn och elever som vårdas på sjukhus eller annan motsvarande institution…

Skollagen innehåller även bestämmelser om utbildning för barn och elever som vårdas på sjukhus eller annan motsvarande institution. Huvudmannen för institutionen ska svara för att barn som vårdas på sjukhus eller en institution som är knuten till ett sjukhus, får tillfälle att delta i utbildning som så långt det är möjligt motsvarar den som erbjuds i förskola, förskoleklass eller fritidshem (24 kap. 16 § skollagen). Enligt regeringens bedömning kan huvudmannen för institutionen grunda nödvändig personuppgiftsbehandling för att utföra uppgiften utbildning motsvarande den som erbjuds i förskola, förskoleklass eller fritidshem på den rättsliga grunden uppgift av allmänt intresse (artikel 6.1 e). Upp- giften av allmänt intresse är fastställd genom bestämmelsen i 24 kap. 16 § skollagen tillsammans med de bestämmelser om den aktuella utbild- ningen som huvudmannen anordnar.

Under vissa förutsättningar kan en elev t.ex. i grundskolan få särskild undervisning på sjukhus eller på en institution som är knuten till ett sjukhus (24 kap. 17–19 §§ skollagen). Det är kommunen där institu-

tionen finns som ska anordna denna. Undervisningen ska så långt möjligt Prop. 2017/18:218 motsvara den undervisning som eleven inte kan delta i. Regeringen

bedömer att kommunen kan grunda den behandling av personuppgifter som är nödvändig för att utföra uppgiften särskild undervisning på den rättsliga grunden uppgift av allmänt intresse. Uppgiften av allmänt in- tresse är fastställd genom bestämmelserna i 24 kap. 17–19 §§ skollagen tillsammans med bestämmelserna om den aktuella skolformen, t.ex. grundskola.

… och särskild undervisning i hemmet eller annan lämplig plats

En kommun kan enligt regeringens bedömning även på motsvarande vis grunda nödvändig personuppgiftsbehandling för att utföra särskild undervisning i hemmet eller annan lämplig plats på den rättsliga grunden uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom bestämmelserna i 24 kap. 20–22 §§ skollagen tillsammans med bestämmelserna om den aktuella skolformen, t.ex. grundskola.

Rättslig grund för utbildning för intagna på kriminalvårdsanstalt regleras i brottsdatalagen

Kriminalvården ansvarar för utbildning som motsvarar kommunal vuxenutbildning och särskild utbildning för vuxna för intagna på kriminalvårdsanstalt (24 kap. 10 § skollagen). Kriminalvården får enligt 3 kap. 1 och 2 §§ fängelselagen (2010:610) bestämma att en intagen ska ha studier som sysselsättning. Någon åldersgräns gäller inte för sådan verksamhet. När studier är anvisad sysselsättning ingår de som ett led i verkställigheten av utdömda fängelsestraff. Enligt Utredningen om 2016 års dataskyddsdirektiv bör därför den föreslagna brottsdatalagen till- ämpas på behandlingen av personuppgifterna med anledning av studierna (SOU 2017:29, s 217). I lagrådsremissen Brottsdatalag delar regeringen de bedömningar som utredningen gjort när det gäller tillvägagångssätt i gränsdragningsfrågor. I den lagrådsremissen anges också att ytterligare vägledning kring enskilda verksamheter inom myndigheterna kan fås genom de bedömningar som utredningen redovisar i delbetänkandet (s. 111–112). Bestämmelser om rättslig grund för behandling av person- uppgifter som behövs för att en behörig myndighet ska kunna verkställa en straffrättslig påföljd föreslås i 2 kap. 1 § brottsdatalagen.

Det finns fastställda uppgifter av allmänt intresse för annan pedagogisk verksamhet…

I 25 kap. skollagen finns bestämmelser om s.k. annan pedagogisk verk- samhet som bedrivs i stället för utbildning inom skolväsendet. Bestäm- melserna gäller pedagogisk omsorg som erbjuds i stället för förskola eller fritidshem, öppen förskola, öppen fritidsverksamhet och omsorg under tid då förskola eller fritidshem inte erbjuds. Nedan redogörs för rege- ringens bedömning av hur den rättsliga grunden för personuppgifts- behandling är fastställd i fråga om dessa verksamheter.

65

Prop. 2017/18:218

66

…i form av pedagogisk omsorg…

Enligt 25 kap. 2 § skollagen ska kommunen sträva efter att i stället för förskola eller fritidshem erbjuda ett barn pedagogisk omsorg om barnets vårdnadshavare önskar det. Med pedagogisk omsorg avses främst familjedaghem och flerfamiljslösningar. Sådan verksamhet utförs ofta i den privata aktörens egna hem (SOU 2016:62 s. 171). Genom att peda- gogisk verksamhet är reglerad i skollagen bör en sådan verksamhet anses vara en uppgift av allmänt intresse. Uppgiften av allmänt intresse är fast- ställd genom bestämmelsen i 25 kap. 2 § skollagen. Kommunen har så- ledes stöd för den behandling av personuppgifter som är nödvändig för att kunna efterleva bestämmelsen.

…öppen förskola…

Som komplement till förskola och pedagogisk omsorg får en kommun anordna öppen förskola (25 kap. 3 § skollagen). Den öppna förskolan ska erbjuda barn en pedagogisk verksamhet i samarbete med medföljande vuxna samtidigt som de vuxna ges möjlighet till social gemenskap. Barn och föräldrar har ingen formell plats att ta i anspråk och barnen är inte inskrivna i den öppna förskolan. Verksamheten vänder sig till barn och föräldrar som är hemma på dagarna, t.ex. under föräldraledigheten. För dessa är verksamheten en viktig social träffpunkt, där barnen ges tillfälle att tillsammans med en förälder eller annan vuxen delta i en verksamhet i gruppens form, som syftar till att ge pedagogisk stimulans (prop. 2009/10:165 s. 528). Genom bestämmelsen i 25 kap. 3 § skollagen och kommunens beslut att anordna öppen förskola är enligt regeringens bedömning uppgiften av allmänt intresse, dvs. att anordna öppen för- skola, fastställd.

…öppen fritidsverksamhet…

Öppen fritidsverksamhet får erbjudas elever i de utbildningsformer där skolplikt kan fullgöras, i stället för fritidshem från och med höstterminen det år eleven fyller 10 år till och med vårterminen det år eleven fyller 13 år. Verksamheten ska genom pedagogisk verksamhet komplettera utbild- ningen i de olika utbildningsformer i vilka skolplikt kan fullgöras och erbjuda eleven möjlighet till utveckling och lärande samt en meningsfull fritid och rekreation (14 kap. 7 § och 25 kap. 4 § skollagen). Den öppna fritidsverksamheten är en enklare form av verksamhet som inte erbjuder samma grad av omsorg och tillsyn, och elevgrupperna kan vara mer flexibla än på fritidshemmen. Genom att verksamheten regleras i skollagen är den enligt regeringens bedömning en uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom den aktuella bestämmelsen. Huvudmännen har därför stöd för behandling av person- uppgifter som är nödvändig för verksamheten, såsom t.ex. personup- pgifter som behövs för att planera verksamheten.

…omsorg för barn under tid då förskola eller fritidshem inte erbjuds…

Av 25 kap. 5 § skollagen framgår att kommunen ska sträva efter att er- bjuda omsorg för barn under tid då förskola eller fritidshem inte erbjuds i den omfattning det behövs med hänsyn till föräldrars förvärvsarbete och

familjens situation i övrigt. Av förarbetena till bestämmelsen framgår att omsorg för barn under s.k. obekväma arbetstider inte ska betraktas som en skolform, till skillnad från förskolan, och inte heller åläggas de krav som ställs på en sådan verksamhet (prop. 2009/10:165 s. 532). Utgångs- punkten är att omsorgen ska erbjudas i den omfattning det behövs med hänsyn till föräldrarnas förvärvsarbete eller familjens situation i övrigt, om föräldrarna inte själva kan ordna omsorgen. Att ”sträva efter” innebär att kommunen inte utan vidare kan avstå från att tillhandahålla sådan omsorg. Ambitionen måste vara att tillhandahålla omsorg även under s.k. obekväm arbetstid åt familjer som har behov av det. Om kommunen vid en viss tidpunkt inte har någon efterfrågan måste kommunen ändå plane- ra för att tillhandahålla omsorg, när situationen förändras. Eftersom kom- munerna genom bestämmelsen i skollagen ges ett uppdrag att ordna barnomsorg under s.k. obekväm arbetstid får sådan verksamhet anses vara en uppgift av allmänt intresse som är fastställd genom bestäm- melsen. Kommunerna kan således behandla personuppgifter som är nöd- vändiga för att kunna utföra uppgiften att tillhandahålla barnomsorg på obekväm arbetstid.

…och vid entreprenad

Entreprenad enligt skollagen innebär att en huvudman med bibehållet huvudmannaskap sluter avtal med någon annan om att denne utför upp- gifter inom utbildning eller annan verksamhet enligt skollagen (23 kap. 1 § första stycket skollagen). Om en enskild med stöd av bestämmelserna i 23 kap. skollagen och avtal anordnar t.ex. pedagogisk omsorg eller annan verksamhet på entreprenad anses denne utföra uppgiften av all- mänt intresse på uppdrag av kommunen. Även i dessa fall är enligt rege- ringens bedömning uppgiften av allmänt intresse fastställd i författning (se även avsnitt 6.2).

Sammanfattningsvis kan nödvändig personuppgiftsbehandling ske med stöd av den fastställda rättsliga grunden uppgiften av allmänt intresse

Utöver vad som anges ovan om hur den rättsliga grunden är fastställd har regeringen också, som nämnts i avsnitt 6.2, i propositionen Ny data- skyddslag bedömt att den grad av tydlighet och precision som krävs i fråga om den rättsliga grunden enligt skäl 41 i dataskyddsförordningen måste bedömas från fall till fall, utifrån behandlingens karaktär. Det torde stå klart att en behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten, såsom när det gäller behandling av elevers namn i reguljär skolverksamhet, kan ske med stöd av en rättslig grund som är allmänt hållen. Vidare anges att ut- gångspunkten bör vara att dataskyddsförordningens krav på proportio- nalitet i artikel 6.3 andra stycket är uppfyllt i fråga om rättsliga förplik- telser, uppgifter av allmänt intresse och myndighetsutövning som fast- ställs i enlighet med svensk rätt (prop. 2017/18:105 s. 51). Mot denna bakgrund och med stöd av analysen ovan konstaterar regeringen att den verksamhet som sker med stöd av skollagen och anslutande föreskrifter är uppgifter av allmänt intresse som har legala grunder som, till skillnad mot vad Datainspektionen har anfört, har fastställts genom tydliga, precisa och förutsebara regler i nationell rätt som är proportionerliga mot

Prop. 2017/18:218

67

Prop. 2017/18:218 det mål som eftersträvas. Behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på skollagen och anslutande föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.

När det gäller frågan om vilken behandling som är nödvändig, t.ex. vid användningen av sådana digitala läromedel som uppmärksammats av

Stockholms kommun och Luleå kommun, kan konstateras att den personuppgiftsansvarige ansvarar för att bedöma om syftet med behand- lingen är nödvändigt för att utföra en uppgift av allmänt intresse (artikel 5.2 och 6.3 i dataskyddsförordningen), se vidare avsnitt 6.2.

 

9.1.3

Den rättsliga grunden myndighetsutövning kan

 

 

användas i vissa fall

 

 

 

Regeringens bedömning: Huvudmän inom området som regleras av

 

skollagen vidtar vissa åtgärder med stöd av skollagen som innefattar

 

myndighetsutövning, t.ex. betygssättning och beslut om särskilt stöd.

 

Den behandling av personuppgifter som är nödvändig för myndighets-

 

utövningen kan i dessa fall göras med stöd av den rättsliga grunden

 

myndighetsutövning i artikel 6.1 e i dataskyddsförordningen.

 

Utredningens bedömning: Överensstämmer med regeringens bedöm-

 

ning.

 

 

Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Statens

 

skolverk, Statens skolinspektion, Skolväsendets överklagandenämnd,

 

Barnombudsmannen, Askersunds, Eskilstuna, Eslövs och Halmstads

 

kommuner, har inte några synpunkter på bedömningen. Sveriges Kom-

 

muner och Landsting, Friskolornas riksförbund, Specialpedagogiska

 

skolmyndigheten och Stockholms kommun delar utredningens bedöm-

 

ning.

 

 

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts

 

tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning

 

överensstämmer med regeringens bedömning i detta avsnitt. De till-

 

styrker eller har inga synpunkter på bedömningen.

 

Skälen för regeringens bedömning: Den rättsliga grunden myndig-

 

hetsutövning i artikel 6.1 e i dataskyddsförordningen har beskrivits i av-

 

snitt 6.3. Som anges där, framgår det av propositionen Ny dataskyddslag

 

(prop. 2017/18:105) att utgångspunkten i svensk rätt är att det som i

 

Sverige brukar anses som myndighetsutövning faller in under data-

 

skyddsförordningens begrepp och att detta bör gälla även fortsättningsvis

 

(s. 62).

 

 

Den största delen av skolornas verksamhet, undervisning, utgörs av

 

faktiskt handlande. Bara en liten del av verksamheten i förskolor och

 

skolor utgör ärendehandläggning som innebär myndighetsutövning mot

 

enskild. Det kan handla om ärenden som rör mottagande av elever, sär-

 

skilt stöd, avstängning av elever eller befrielse från sådana inslag i under-

 

visningen som är obligatoriska (t.ex. 3 kap. 9 §, 5 kap. 14 § och 7 kap. 5

 

och 19 §§ skollagen). Även betygssättning av elevernas kunskaper är en

68

form av myndighetsutövning. De allmänna bestämmelserna om betyg-

 

 

sättning finns i bl.a. 3 kap. 13 § skollagen, de olika skolformskapitlen i Prop. 2017/18:218 skollagen och i förordningarna för de olika skolformerna såsom t.ex. gymnasieförordningen (2010:2039).

Enligt regeringens bedömning är grunden för behandlingen redan i dag fastställd i skollagen och anslutande föreskrifter. Det behövs därför inte någon ytterligare reglering för att skolorna ska kunna utföra nödvändig behandling av personuppgifter som ingår i myndighetsutövningen med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i data- skyddsförordningen.

När det gäller frågan om vilken behandling som är nödvändig kan konstateras att det ankommer på den personuppgiftsansvarige att bedöma om syftet med behandlingen är nödvändigt för att utföra en uppgift av allmänt intresse (artikel 5.2 och 6.3 i dataskyddsförordningen), se vidare avsnitt 6.2.

Regeringen anser vidare att även artikel 6.1 e i dataskyddsförord- ningen, dvs. uppgift av allmänt intresse, är tillämplig som rättslig grund för ovan nämnda moment, eftersom dessa ingår i uppgiften att anordna utbildning.

9.1.4

Den rättsliga grunden rättslig förpliktelse kan

 

 

användas i vissa fall

 

 

 

Regeringens bedömning: Skollagen innehåller bestämmelser som

 

gör det nödvändigt för verksamhetsutövarna att behandla personupp-

 

gifter. Behandlingen kan i dessa fall göras med stöd av den rättsliga

 

grunden rättslig förpliktelse i artikel 6.1 c i dataskyddsförordningen.

 

 

 

Utredningens bedömning: Överensstämmer med regeringens bedöm-

 

ning.

 

 

Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Statens

 

skolverk, Statens skolinspektion, Skolväsendets överklagandenämnd,

 

Barnombudsmannen, Askersunds, Eskilstuna, Eslövs och Halmstads

 

kommuner har inte några synpunkter på bedömningen. Sveriges Kom-

 

muner och Landsting, Friskolornas riksförbund, Specialpedagogiska

 

skolmyndigheten och Stockholms kommun delar utredningens bedöm-

 

ning.

 

 

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts

 

tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning

 

överensstämmer med regeringens bedömning i detta avsnitt. De till-

 

styrker eller har inga synpunkter på bedömningen.

 

Skälen för regeringens bedömning: Den rättsliga grunden rättslig

 

förpliktelse i artikel 6.1 c i dataskyddsförordningen har beskrivits i av-

 

snitt 6.4.

 

 

Utredningen om offentlighet och sekretess i skolan (2002:10) ansåg att

 

skolmyndigheter enligt den då gällande skollagen och andra författningar

 

hade en rättslig skyldighet i PUL:s mening att fullgöra sina åligganden

 

gentemot eleverna i fråga om såväl undervisning som elevvård (SOU

 

2003:103 s. 199).

 

Datainspektionen har ansett att den skyldighet för myndigheter som

 

följer av offentlighetsprincipen är en sådan rättslig skyldighet som avses

69

 

 

Prop. 2017/18:218 i motsvarande bestämmelse i PUL (Datainspektionens rapport 2005:3 Övervakning i arbetslivet. Kontroll av de anställdas Internet och e- postanvändning m.m., s. 15.)

En skillnad mellan PUL och dataskyddsförordningen är dock att data- skyddsförordningen kräver att den rättsliga förpliktelsen ska vara fast- ställd i svensk rätt och att syftet med behandlingen ska vara fastställt i den rättsliga grunden.

Skollagen innehåller många rättsliga förpliktelser för de huvudmän som bedriver skolverksamhet enligt lagen. Exempel på sådana är att eleven och elevens vårdnadshavare fortlöpande ska informeras om ele- vens utveckling (3 kap. 4 §), ett åtgärdsprogram ska utarbetas för en elev som ska ges särskilt stöd (3 kap. 9 §), att elevens kunskaper ska betygsättas i vissa skolformer (3 kap. 13 §), att grundskolan och gymnasieskolan och motsvarande skolformer ska erbjuda modersmåls- undervisning under vissa förutsättningar (10 kap. 7 §, 11 kap. 10 §, 12 kap. 7 §, 13 kap. 7 §, 15 kap. 19 § och 18 kap. 19 §), och att rektorn ska se till att vårdnadshavaren till en elev i vissa skolformer, t.ex. grundskolan, samma dag informeras om eleven utan giltigt skäl uteblir från den obligatoriska verksamheten (7 kap. 17 §). Det behövs därför inte någon ytterligare reglering för att skolorna ska kunna tillämpa den rättsliga grunden i artikel 6.1 c för sin nödvändiga personuppgiftsbehand- ling.

Regeringen bedömer att även artikel 6.1 e i dataskyddsförordningen, dvs. uppgift av allmänt intresse, är tillämplig som rättslig grund för ovan nämnda moment, eftersom dessa ingår i uppgiften att anordna utbildning.

9.1.5Intresseavvägning kan användas men blir sällan aktuell

Regeringens bedömning: Enskilda huvudmän inom området som regleras av skollagen kan behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskydds- förordningen. Den förutsätter att

behandlingen är nödvändig för ändamål som rör den person- uppgiftsansvariges eller en tredje parts berättigade intressen, och

att inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Eftersom även den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 f i dataskyddsförordningen är tillämplig, behöver dock intresseavvägning sällan eller aldrig användas.

 

Utredningens bedömning: Överensstämmer med regeringens bedöm-

 

ning.

 

Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Statens

 

skolverk, Statens skolinspektion, Skolväsendets överklagandenämnd,

 

Sveriges Kommuner och Landsting, Barnombudsmannen, Askersunds,

 

Eskilstuna, Eslövs, Halmstads och Stockholms kommuner har inte några

 

synpunkter på bedömningen. Friskolornas riksförbund och Special-

70

pedagogiska skolmyndigheten delar utredningens bedömning.

 

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts Prop. 2017/18:218 tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning

överensstämmer med regeringens bedömning i detta avsnitt. De till- styrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Den rättsliga grunden intresse- avvägning i artikel 6.1 f i dataskyddsförordningen har beskrivits i avsnitt 6.5. Grunden gäller inte för behandling av personuppgifter som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom skolor med staten, en kommun eller ett landsting som huvudman är myndigheter som fullgör sina uppgifter när de tillhandahåller utbildning enligt skol- lagen, är det endast skolor med enskild huvudman som kan tillämpa grunden intresseavvägning till stöd för sin personuppgiftsbehandling.

Som framgått ovan i avsnitt 8, är bedömer regeringen att artikel 6.1 e i dataskyddsförordningen, dvs. uppgift av allmänt intresse, är tillämplig som rättslig grund för anordnande av utbildning enligt skollagen och anslutande föreskrifter, oavsett om huvudmannen är offentlig eller enskild. Enligt regeringens uppfattning bör enskilda skolhuvudmän i skollagsreglerad verksamhet därför sällan eller aldrig behöva använda den rättsliga grunden intresseavvägning i artikel 6.1 f. Den enskilda huvudman som avser att tillämpa den rättsliga grunden intresseavvägning har dock vid intresseavvägningen särskilt att beakta barns rätt till inte- gritetsskydd (artikel 6.1 f i dataskyddsförordningen).

9.1.6

Den rättsliga grunden samtycke kan användas i

 

 

begränsad utsträckning

 

 

 

Regeringens bedömning: Huvudmän inom det skollagsreglerade om-

 

rådet kan i begränsad utsträckning använda sig av den rättsliga

 

grunden samtycke i artikel 6.1 a i dataskyddsförordningen för sin

 

personuppgiftsbehandling.

 

 

 

Utredningens bedömning: Överensstämmer med regeringens bedöm-

 

ning.

 

 

Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Statens

 

skolverk, Statens skolinspektion, Skolväsendets överklagandenämnd,

 

Barnombudsmannen, Askersunds, Eskilstuna, Eslövs och Halmstads

 

kommuner har inte några synpunkter på bedömningen. Datainspektionen,

 

Sveriges Kommuner och Landsting, Friskolornas riksförbund, Special-

 

pedagogiska skolmyndigheten och Stockholms kommun delar utred-

 

ningens bedömning.

 

Datainspektionen framhåller dock att samtycke förutsätter att det rör

 

sig om sådant som inte är relaterat till själva kärnverksamheten och där

 

vårdnadshavaren eller eleven faktiskt kan säga nej utan problem.

 

Friskolornas riksförbund och Sveriges Kommuner och Landsting anser

 

att det, utöver de situationer som utredningen nämnt, även finns andra

 

likartade situationer där samtycke bör kunna utgöra rättslig grund. Stock-

 

holms kommun anger digitala läromedel och tjänster som exempel, då

 

det i dessa fall finns risk för att det saknas annan rättslig grund.

 

Förvaltningsrätten i Linköping bedömer att det i praktiken kan uppstå

 

gränsdragningssvårigheter för den personuppgiftsansvariga i den dagliga

71

 

 

Prop. 2017/18:218 verksamheten, såsom svårigheter att bedöma om en viss personuppgifts- behandling, som är nödvändig för elevers deltagande i en viss aktivitet på skolan, även är nödvändig enligt artikel 6.1 c eller e i dataskyddsförord- ningen. Likaså innebär det svårigheter för den personuppgiftsansvariga att i ett sådant skede bedöma om ett samtycke kan användas på ett lag- enligt sätt. Införandet av en uppförandekod är därför enligt förvaltnings- rätten av stor betydelse för efterlevnaden av regleringen. Uppsala universitet framför också att det är oklart i vilken utsträckning barn, utan vårdnadshavares inblandning, kan samtycka till personuppgiftsbehand- ling och anser att det bör utredas ytterligare. Möjligen bör det även övervägas om inte regleringen av de rättsliga grunderna, däribland sam- tycke inom utbildningsverksamhet, och eventuellt principerna för tillåten personuppgiftsbehandling bör tas in i det nya kapitel som föreslås i skol- lagen.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyr- ker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen har beskrivits i avsnitt 6.1. När det gäller uppgifter om barn och specialfallet skolor har artikel 29-gruppen uttalat sig i ett yttrande. I yttrandet anges beträffande behandling av barns personuppgifter i skolan bl.a. att samtycke till behandling av alla uppgifter som kan ge upphov till diskriminering måste vara otvetydigt och att överföring till tredje part i marknadsföringssyfte är beroende av om vårdnadshavarna på förhand har underrättats och gett sitt samtycke. (Yttrande 2/2009 om skydd för uppgifter om barn [Allmänna riktlinjer och specialfallet skolor] s. 12 f.) Artikel 29-gruppen synes således anse att samtycke kan användas som rättslig grund för personuppgiftsbehand- ling inom skolor, i vart fall i vissa fall.

Enligt regeringens bedömning är det möjligt att för viss personupp- giftsbehandling använda sig av samtycke även i förhållandet mellan ett barns vårdnadshavare och en förskola samt mellan en elevs vårdnads- havare, eller eleven själv beroende på ålder, och en skola. Ett exempel på när samtycke skulle kunna vara lämplig grund för behandling av personuppgifter är inför fotografering av eleverna i syfte att skapa elek- troniska skolkataloger eller för att dokumentera verksamheten i förskola och skola, inte minst i syfte att kunna redogöra för den för barnens vård- nadshavare. I sammanhanget kan även nämnas att artikel 29-gruppen anser att samtycke från vårdnadshavarna ska inhämtas om en skola har för avsikt att t.ex. lägga ut individuella foton av eleverna med uppgift om deras identitet på internet (Yttrande 2/2009 om skydd för uppgifter om barn [Allmänna riktlinjer och specialfallet skolor] s. 18). Genom att sam- tycke hämtas in har berörda parter möjlighet att säga nej till att eleverna tas med på fotona.

Såsom Friskolornas riksförbund, Sveriges Kommuner och Landsting och Stockholms kommun framfört skulle det kunna även uppstå andra lik- artade situationer där samtycke skulle kunna användas som rättslig grund. Denna möjlighet är dock något som får bedömas från fall till fall av huvudmannen.

72

När det gäller gränsdragningen mellan olika rättsliga grunder, som Prop. 2017/18:218 Förvaltningsrätten i Linköping uppmärksammar, menar regeringen att

det varken finns anledning eller är möjligt att hämta in samtycke om be- handlingen av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse eller för myndighetsutövning eller om behandlingen är en rättslig förpliktelse, eftersom samtycke enligt skäl 43 inte bör utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Det gäller särskilt om den personuppgifts- ansvarige är en offentlig myndighet och det därför är osannolikt att sam- tycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Detta får anses gälla även fristående skolor när behandlingen är nödvändig för att utföra en uppgift av allmänt in- tresse eller myndighetsutövning eller behandlingen är en rättslig förplik- telse, se vidare avsnitt 6.1.

Att personuppgifter som rör barn anses särskilt skyddsvärda framgår av flera av dataskyddsförordningens bestämmelser och betonas i skälen. En närmare redogörelse för detta finns i dataskyddsutredningens betänkande SOU 2017:39 s. 140 f. Som nämnts i avsnitt 4.6 föreslås vidare i proposi- tionen Ny dataskyddslag (prop. 2017/18:105) att det ska införas en bestämmelse i 2 kap. 4 § dataskyddslagen som innebär att vid erbjudande av informationssamhällets tjänster direkt till ett barn som bor i Sverige ska behandling av personuppgifter vara tillåten med stöd av barnets samtycke om barnet är minst 13 år. Som regeringen återkommer till i avsnitt 11 avser också regeringen att ge en lämplig myndighet i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en upp- förandekod för skolväsendet. Regeringen bedömer att några ytterligare åtgärder som rör barns samtycke specifikt i utbildningssammanhang inte är påkallade för närvarande.

När det gäller Uppsala universitets synpunkt att det möjligen bör över- vägas om regleringen av de rättsliga grunderna, däribland samtycke inom utbildningsverksamhet, bör tas in i skollagen kan det konstateras att frågan i vilken utsträckning de rättsliga grunderna i dataskyddsförord- ningen bör återges i svensk rätt redan har behandlats i avsnitt 8 i pro- positionen Ny dataskyddslag (prop. 2017/18:105). Det saknas därför anledning att här ytterligare överväga frågan.

9.2Universitets- och högskolesektorn

9.2.1Vilka personuppgifter behandlas inom högskolesektorn?

Nedan ges en översiktlig beskrivning av de huvudsakliga behandlingar av personuppgifter som sker inom högskolesektorn. En beskrivning av behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål m.m. på området lämnas i avsnitt 13.4.1 och 14.4.1.

73

Prop. 2017/18:218

74

Behandling i studieadministrativt syfte

För behandling av personuppgifter på högskoleområdet gäller, utöver PUL, även förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor. Av förordningen följer att varje högskola ska dokumentera uppgifter om studenter och föra ett studieregister där upp- gifter anges individuellt för varje student. I studieregistret behandlas uppgifter om namn, personnummer, behörighet, urvalsgrund, skyldighet att betala och betalning av anmälningsavgift och studieavgift, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet, examen och sådana uppgifter som krävs för att uppgifter ska kunna lämnas till Statistiska centralbyrån (SCB) och UHR. Registret får också innehålla de uppgifter om studenter som behövs för resultatredovisning.

Ändamålet med studieregistret är att säkra att uppgifter om sökande till utbildning, genomgångna studier, betyg över utbildningar och examina bevaras. Utöver det ska uppgifterna kunna ligga till grund för uppföljning och utvärdering, för antagning av studenter, för beslut om an- mälningsavgift och studieavgift, för avstängning av studieavgiftsskyldiga studenter, för administration inom respektive högskola, för utlämnande i vissa fall till andra myndigheter, för sådan officiell statistik som avses i 3 kap. samt för resurstilldelning (2 kap. 1–3, och 5–6 och 8 §§ förord- ningen om redovisning av studier m.m. vid universitet och högskolor).

För studieadministration använder samtliga statliga högskolor och några av de enskilda utbildningsanordnarna sig bl.a. av det nationella systemet Ladok. Ladok används även för utbyte av information mellan högskolor och andra myndigheter.

Behandling vid antagning till utbildning

I förordningen om redovisning av studier m.m. vid universitet och hög- skolor finns även bestämmelser om ett antagningsregister. Ett sådant register, där uppgifter anges individuellt för varje student, får föras av UHR. Ändamålet med registret är att vara till hjälp för högskolor vid an- tagning av studenter. Uppgifterna i antagningsregistret får hämtas in från högskolornas studieregister. Antagningsregistret får, precis som studie- registret, omfatta uppgifter om namn, personnummer, behörighet, urvals- grund, skyldighet att betala och betalning av anmälningsavgift och studieavgift, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet och examen. Registret får även omfatta behörighetsgrundande meriter, urvalsgrundande meriter och uppgifter och, med vissa undantag, de uppgifter i övrigt som en student åberopar i samband med antagning till en utbildning (4 kap. 1 och 3 §§ förordningen om redovisning av studier m.m. vid universitet och högskolor).

För handläggningen vid antagningsförfarandet använder sig UHR av ett system som heter NyA. UHR registrerar, granskar och bedömer de sökandes meriter. Bedömningen leder till att sökande blir antagna, reservplacerade eller strukna om de är obehöriga. En högskolas beslut om att en sökande inte uppfyller kraven på behörighet för att bli antagen till utbildning får överklagas (12 kap. 2 § 2 högskoleförordningen).

Behandling i samband med högskoleprovet

En möjlighet att antas till högskoleutbildning på grundnivå och avan- cerad nivå är genom resultat på högskoleprovet. UHR ansvarar för att provet tas fram och beslutar om resultat på provet. De statliga högskolor som ska använda provet som urvalsgrund ska genomföra provet. Provet får även genomföras av UHR (7 kap. 12, 20 och 26 §§ högskoleför- ordningen).

För genomförandet av högskoleprovet finns det två webbplatser, dels hogskoleprov.nu där provdeltagare anmäler sig och då anger namn, personnummer, adress och telefonnummer, dels hpadmin.uhr.se, som är ett system där handläggare på lärosätena administrerar lokaler, personal och provdeltagare samt skickar placeringsbesked till personalen och kallelser till provdeltagare. UHR förvaltar webbplatserna men det är lärosätena som är personuppgiftsansvariga. UHR är dock personuppgifts- ansvarig för det register där resultaten från högskoleprovet finns sam- lade, HP-registret.

Behandling i utbildningen

Som hjälpmedel i undervisningen används s.k. läroplattformar. Plattfor- marna är webbaserade och i dessa samlats sådana specifika moment som krävs för genomförandet av en kurs, t.ex. hämtning av kursmaterial och inlämnande av uppgifter. Genom plattformarna underlättas dessutom kommunikationen mellan lärare och studenter och information kan spri- das på ett snabbt och enkelt sätt. I plattformarna behandlas person- uppgifter som hämtas från det aktuella lärosätets Ladoksystem. I läro- plattformarna behandlas personuppgifter i form av t.ex. namn, e-post, personnummer, användar-id kopplat till lärosätets övriga it-system, uppgifter om betyg och uppgifter över studentens användning av läro- plattformen.

Behandling i samband med tillgodoräknande av tidigare utbildning och verksamhet

En student kan under vissa förutsättningar få tillgodoräkna sig tidigare utbildning eller verksamhet. En högskolas beslut om tillgodoräknande av utbildning eller yrkesverksamhet kan överklagas (6 kap. 6–8 §§ och 12 kap. 2 § 3 högskoleförordningen [1993:100]). När en person ansöker om tillgodoräknande ska denne ange namn, personnummer och aktuella kontaktuppgifter. Sökanden ska även lämna en utförlig beskrivning av hur denne uppfyller lärandemålen.

Behandling i högskolebibliotekens verksamhet

Vid alla universitet och högskolor som omfattas av högskolelagen (1992:1434) ska det finnas tillgång till bibliotek. Dessa bibliotek ska svara för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid högskolan. Ett högskolebibliotek ska avgiftsfritt ställa litteratur ur de egna samlingarna till andra högskole- biblioteks förfogande (12 § bibliotekslagen och 2 kap. 16 § högskole- förordningen). I denna verksamhet behandlas personuppgifter i syfte att hålla reda på utlånade böcker. Känsliga personuppgifter om hälsa kan

Prop. 2017/18:218

75

Prop. 2017/18:218 även behöva behandlas i samband med att biblioteket förfogar över upphovsrättsligt skyddade verk som personer med funktionsnedsättning behöver för att kunna ta del av verken, t.ex. genom att överföra dem till den funktionsnedsatte enligt lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.

Behandling som avser alumner

Hos lärosätena finns databaser där tidigare studenter, s.k. alumner, kan registrera sig. Genom registreringen kan alumner t.ex. komma i kontakt med andra alumner eller högskolan. Genom alumnverksamheten kan även kontakterna med näringslivet öka och förbättras. Vid registreringen förs personuppgifter i form av namn, personnummer och utbildning över från Ladok. Därutöver kan alumnen lägga till uppgifter om sitt nuvarande arbete m.m. Alumnen kan själv välja i vilken omfattning vissa uppgifter ska synas. Att registrera sig i en alumndatabas vid ett lärosäte är helt frivilligt och vid registreringen godkänner alumnen att dennes person- uppgifter behandlas.

Studentkårernas behandling

Vissa bestämmelser som rör studentkårer finns i högskolelagen (1992:1434). Ett statligt universitet eller en statlig högskola ska besluta att en sammanslutning av studenter vid högskolan får ställning som studentkår för en viss tid, om sammanslutningen uppfyller vissa i lagen angivna krav. En studentkår ska ha som huvudsakligt syfte att bevaka och medverka i utvecklingen av utbildningen och förutsättningarna för studier vid högskolan. Verksamhetsområdet för en studentkår får inte täcka mer än en högskola och ska sammanfalla med minst en organisatorisk eller geografiskt avgränsad del av högskolan. En student- kår ska vara demokratiskt uppbyggd och kunna representera studenterna inom kårens verksamhetsområde. Alla studenter inom en studentkårs verksamhetsområde ska ha rätt att vara medlemmar i kåren, om de uppfyller de krav som ställs för medlemskap i kåren. Den student som är medlem i studentkåren ska ha rösträtt vid val till studentkårens högsta beslutande organ (4 kap. 8–12 §§ högskolelagen).

En studentkår vid ett statligt universitet eller en statlig högskola får utse sådana ledamöter i högskolans styrelse som studenterna enligt 2 kap. 4 § högskolelagen (1992:1434) har rätt att utse. En studentkår vid en högskola får också utse och entlediga sådana representanter som har rätt att vara representerade när beslut fattas eller beredning sker som har betydelse för utbildningen eller studenternas situation vid högskolan. Statliga universitet och högskolor får meddela föreskrifter om hur en studentkår vid högskolan ska redovisa sin verksamhet och sitt medlems- antal (6 och 7 §§ studentkårsförordning [2009:769]).

Av ovannämnda följer att studentkårerna har visst behov av att hantera uppgifter om studenter som är medlemmar i kåren, t.ex. i form av ett medlemsregister. Såvitt regeringen kan bedöma har studentkårerna inte något omedelbart behov av att behandla känsliga personuppgifter.

76

9.2.2

Den rättsliga grunden uppgift av allmänt intresse Prop. 2017/18:218

 

kan användas av högskolorna

Regeringens bedömning: Genom bestämmelser i högskolelagen med anslutande föreskrifter, lagen om tillstånd att utfärda vissa examina och beslut fattade med stöd av dessa är anordnande och bedrivande av utbildning och annan pedagogisk verksamhet en i svensk rätt fastställd uppgift av allmänt intresse. Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda före- skrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.

Utredningens bedömning: Överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Karlstads universitet, Göteborgs universitet, Högskolan i Skövde, Stiftelsen Hög- skolan i Jönköping och Överklagandenämnden för högskolan, har inte några synpunkter på eller har inget att erinra mot bedömningen. Luleå tekniska universitet delar utredningens bedömning.

Stiftelsen Högskolan i Jönköping efterfrågar dock ett förtydligande av om även enskilda utbildningsanordnare kan utföra personuppgifts- behandling motsvarande den som statliga lärosäten är rättsligt förpliktade att göra enligt förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor, men med tillämpning av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförord- ningen.

Datainspektionen saknar en analys som visar vilken behandling som är nödvändig utifrån universitet och högskolors verksamhet, särskilt i själva utbildningsverksamheteten. Datainspektionen noterar att den digitala tekniken är en självklar del av utbildningen, men att det inte fördjupas vad detta kan innehålla. Enligt Datainspektionen har utredningen inte visat att det finns en i nationell rätt fastställd grund som uppfyller kraven i dataskyddsförordningen. Karlstads universitet anser att det hade varit värdefullt med en grundlig genomgång av studenters behandling av personuppgifter.

Skälen för regeringens bedömning

Som framgår av avsnitt 9.2.1 finns det behov av att behandla en rad personuppgifter på högskoleområdet. Regeringen anser, till skillnad mot Datainspektionen, att den redogörelse som lämnats av utredningen och som motsvaras av avsnitt 9.2.1 utgör en i detta sammanhang tillräcklig analys av universitets och högskolors behov av att behandla person- uppgifter.

Som anges i avsnitt 6 förutsätter personuppgiftsbehandlingen en i EU- rätten eller nationell rätt fastställd rättslig grund (artikel 6 i dataskydds- förordningen). Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.2.

77

Prop. 2017/18:218

78

Anordnande och bedrivande av statlig högskoleutbildning är en uppgift av allmänt intresse

Som framgår av avsnitt 8 anser regeringen att det såväl av EU-rätten som svensk rätt framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intresse. Därtill finns högskolelagen (1992:1434) med anslutande författningar, såsom högskoleförordningen (1993:100) som innehåller närmare bestämmelser om högskoleutbildning. Av högskole- lagen framgår t.ex. att ett tillstånd att utfärda examina bara lämnas om det bl.a. i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas (1 kap. 10 a och 13 §§). Vidare uttalas bl.a. följande i förarbetena till högskolelagen (prop. 1992/93:1 s. 9 f.).

Genom högre utbildning och forskning kan de kulturella och huma- nistiska värden som är en del av det goda samhället förstärkas. Det är också bara genom en avancerad utbildning och forskning som Sverige kan hävda sig i en hårdnande internationell konkurrens. Att både öka antalet högskoleutbildade och att höja kvaliteten inom utbildningen och forskningen blir i detta perspektiv avgörande för Sveriges framtida utveckling.

[…] I ökande utsträckning kommer vi att leva i en internationell miljö där kunskapsmässig kompetens är avgörande för vårt lands välstånd.

Regeringens bedömning är således att statliga högskolors anordnande och bedrivande av högskoleutbildning är en uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. Även det förhål- landet att högskoleutbildningar hos både offentliga och privata utbild- ningsanordnare berättigar till studiestöd enligt studiestödslagen och studiestödsförordningen kan enligt regeringens uppfattning läggas till grund för bedömningen om att anordnande och bedrivande av dessa utbildningar är en uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen.

Den rättsliga grunden för statliga högskolor är fastställd i svensk rätt

Vad anordnande och bedrivande av högskoleutbildning innebär för statliga högskolor preciseras i högskolelagen och högskoleförordningen. För Sveriges lantbruksuniversitet och Försvarshögskolan finns ytterligare bestämmelser i förordningen (1993:221) för Sveriges lantbruksuniversi- tet och förordningen (2007:1164) för Försvarshögskolan.

Enligt högskolelagen ska staten som huvudman anordna högskolor för utbildning och forskning. I högskolornas uppgift ingår även att samverka med det omgivande samhället och informera om sin verksamhet samt verka för att forskningsresultat tillkomna vid högskolan kommer till nytta (1 kap. 2 § högskolelagen).

I 1 kap. högskolelagen preciseras ytterligare vad uppgiften att anordna och bedriva högskoleutbildning innebär. Av bestämmelserna där framgår bl.a. följande. Utbildningen ska ges på grundnivå, avancerad nivå och forskarnivå. Utbildning på t.ex. grundnivå ska väsentligen bygga på de kunskaper som eleverna får på nationella program i gymnasieskolan eller motsvarande kunskaper. Utbildningen ska utveckla studenternas förmåga att göra självständiga och kritiska bedömningar samt deras förmåga att

självständigt urskilja, formulera och lösa problem. Utbildningen ska även utveckla studenternas beredskap att möta förändringar i arbetslivet. Inom det område som utbildningen avser ska studenterna, utöver kunskaper och färdigheter, utveckla förmåga att söka och värdera kunskap på vetenskaplig nivå, följa kunskapsutvecklingen och utbyta kunskaper även med personer utan specialkunskaper inom området.

Ytterligare precisering av vad uppgiften att anordna och bedriva hög- skoleutbildning innebär framgår av 6 kap. högskoleförordningen. All utbildning på grundnivå och avancerad nivå ska bedrivas i form av kurser. För en kurs ska det finnas en kursplan. I kursplanen ska anges kursens nivå, antal högskolepoäng, mål, krav på särskild behörighet, formerna för bedömning av studenternas prestationer och de övriga före- skrifter som behövs (6 kap. 13–15 §§). I kursplanerna finns således den mest konkreta preciseringen av vad en specifik utbildning innebär i form av bl.a. former för undervisning och bedömning. Vidare får kurser sam- manföras till utbildningsprogram. För utbildningsprogrammen ska det finnas en utbildningsplan. Utbildningsplanen ska ange de kurser som programmet omfattar, kraven på särskild behörighet och de övriga före- skrifter som behövs (6 kap. 13, 16 och 17 §§). De angivna bestämmel- serna i högskoleförordningen gäller även för Sveriges lantbruksuniver- sitet och Försvarshögskolan (se 5 kap. 2 § förordningen för Sveriges lantbruksuniversitet och 4 kap. 2 § förordningen för Försvarshögskolan).

Enligt 6 kap. 4 § högskoleförordningen får det inom utbildningen vidare bara avläggas de examina som anges i bilaga 2 till högskole- förordningen (examensordningen). I examensordningen anges det på vilken nivå en viss examen ska avläggas och vilka krav som ska upp- fyllas för en viss examen (6 kap. 5 §). Motsvarande bestämmelser finns i 5 kap. 1 § förordningen för Sveriges lantbruksuniversitet och 4 kap. 1 § förordningen för Försvarshögskolan.

I examensordningen i bilagan till högskoleförordningen finns således en förteckning över vilka examina som får avläggas på grundnivå, avancerad nivå och forskarnivå. För respektive examen finns också en beskrivning av vilka krav som ska uppfyllas i fråga om t.ex. antal hög- skolepoäng, kunskaper och färdigheter samt självständiga arbeten. I examensbeskrivningarna anges vidare att också de preciserade krav som varje högskola själv bestämmer inom ramen för kraven i examens- beskrivningen ska gälla. Motsvarande bestämmelser finns i bilagorna till förordningen för Sveriges lantbruksuniversitet och förordningen för För- svarshögskolan.

På en genomgången kurs ska det vidare sättas ett betyg och en student som har fått en kurs godkänd ska på begäran få ett kursbevis av högskolan. En student som uppfyller fordringarna för en examen ska på begäran få ett examensbevis av högskolan (6 kap. 9, 18 och 20 §§ hög- skoleförordningen). Även dessa bestämmelser gäller för Sveriges lant- bruksuniversitet och Försvarshögskolan enligt 5 kap. 2 § respektive 4 kap. 2 § i de förordningar som särskilt reglerar deras verksamhet.

Härutöver kan uppgifter och åligganden för de statliga högskolorna även framgå av andra författningar, t.ex. förordningen om redovisning av studier m.m. vid universitet och högskolor. Som angetts i avsnitt 6.2 föreslås i propositionen Ny dataskyddslag (prop. 2017/18:105) en bestämmelse i 2 kap. 2 § 1 dataskyddslagen som anger att personupp-

Prop. 2017/18:218

79

Prop. 2017/18:218 gifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen bl.a. om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer beslut som meddelats med stöd av lag eller annan författning. Uppgifter och åligganden kan således även framgå av t.ex. regleringsbrev till de statliga högskolorna. Som nämnts ovan ska det för en kurs och ett utbildningsprogram vidare finnas en kursplan respektive en utbildningsplan. Beslut om fastställande av sådana planer ska fattas av personer med vetenskaplig eller konstnärlig kompetens (2 kap. 5 § högskolelagen och prop. 2009/10:149 s. 35 f.).

I avsnitt 6.2 finns det en redogörelse för regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105) i fråga om kraven på den rättsliga grundens tydlighet, precision och förutsägbarhet i skäl 41 och proportionalitetsbedömningen i artikel 6.3 i dataskyddsförordningen. Med stöd av analysen ovan konstaterar regeringen att det genom hög- skolelagen, högskoleförordningen och förordningarna för Sveriges lant- bruksuniversitet och Försvarshögskolan, men även genom andra författningar och beslut, finns tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva högskoleutbildning innebär för statliga högskolor och som är proportionerliga mot de mål som eftersträvas.

Till skillnad mot Datainspektionen bedömer därför regeringen att det för statliga högskolor finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva högskoleutbildning, och att nödvändig personuppgiftsbehandling därmed kan ske med stöd av artikel 6.1 e i dataskyddsförordningen.

Även enskilda utbildningsanordnares anordnande och bedrivande av högskoleutbildning är en uppgift av allmänt intresse som är fastställd i svensk rätt

Som framgår av avsnitt 8 anser regeringen att det såväl av EU-rätten som svensk rätt framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intresse. I förarbetena till högskolelagen uttalar rege- ringen också att statligt huvudmannaskap i myndighetsform bara är en av många möjliga verksamhetsformer för universitet och högskolor. Det behövs också alternativ till den statliga verksamheten om mångfald och konstruktiv konkurrens ska befordras (prop. 1992/93:1 s. 24).

Även enskilda utbildningsanordnare kan få tillstånd att utfärda sådana examina som regeringen, enligt vad som anges i högskolelagen, meddelat föreskrifter om. Tillstånd lämnas av regeringen, men endast om utbild- ningen vilar på vetenskaplig eller konstnärlig grund och på beprövad er- farenhet samt bedrivs så att den i övrigt uppfyller de krav som ställs på utbildning i 1 kap. högskolelagen. Detta innebär bl.a. att en förutsättning för tillstånd att utfärda examina är att det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas. För varje examen som tillståndet avser ska utbildningen också svara mot de särskilda krav som enligt förordningsbestämmelser gäller för denna examen vid de universitet och högskolor som omfattas av högskolelagen (1, 2 och 6 §§ lagen [1993:792] om tillstånd att utfärda vissa examina). Regeringen bedömer således att även högskoleutbildning som anordnas och bedrivs

av enskilda utbildningsanordnare med tillstånd att utfärda examen enligt

80

lagen om tillstånd att utfärda vissa examina är en uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningens som i enlighet med artikel 6.3 är fastställd i svensk rätt.

Som nämnts tidigare föreslås i propositionen Ny dataskyddslag (prop. 2017/18:105) en bestämmelse i dataskyddslagen som anger att en uppgift av allmänt intresse även kan framgå av ett beslut förutsatt att beslutet har meddelats med stöd av lag eller annan författning. Detta innebär att även de preciserade krav som enskilda utbildningsanordnarna beslutar fast- ställer den rättsliga grunden uppgift av allmänt intresse. Uppgifter och åligganden för enskilda utbildningsanordnares kan även framgå av reger- ingens beslut att bevilja tillstånd att utfärda examina. Som exempel kan nämnas att ett examenstillstånd får förenas med villkor om rätt för enskilda att ta del av handlingar hos utbildningsanordnaren (4 § lagen om tillstånd att utfärda vissa examina). Av 2 kap. 4 § offentlighets- och sekretesslagen (2009:400, OSL) och lagens bilaga framgår att vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos bl.a. Chalmers tekniska högskola AB och Stiftelsen Högskolan i Jönköping, som är en enskild utbildningsanordnare. Dessa ska vid tillämpningen av OSL då jämställas med myndigheter.

I avsnitt 6.2 har redogjorts för regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105) i fråga om kraven på den rättsliga grundens tydlighet, precision och förutsägbarhet i skäl 41 och propo- rtionalitetsbedömningen i artikel 6.3 i dataskyddsförordningen. Med stöd av analysen ovan anser regeringen att det genom lagen om tillstånd att utfärda vissa examina, med dess hänvisningar till bestämmelser i hög- skolelagen och högskoleförordningen, men även andra författningar och beslut, finns tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva högskoleutbildning innebär för en- skilda utbildningsanordnare och som är proportionerliga mot de mål som eftersträvas.

Regeringen bedömer därför, till skillnad från Datainspektionen, att det även för enskilda utbildningsanordnare med tillstånd enligt lagen om tillstånd att utfärda vissa examina finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva högskoleutbildning, och att nödvändig personuppgiftsbehandling därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen.

Det kan dock konstateras att regleringen av de statliga högskolornas verksamhet är mer omfattande än den som finns för de enskilda utbild- ningsanordnarnas verksamhet. Som Stiftelsen Högskolan i Jönköping noterar gäller t.ex. inte förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor för enskilda utbildnings- anordnare. För enskilda utbildningsanordnare saknas också preciserade bestämmelser om t.ex. antagningsförfarandet, studieadministration, till- godoräknande av tidigare utbildning och verksamhet, disciplinära åtgär- der och avskiljande. Men detta utesluter enligt regeringens bedömning inte att artikel 6.1 e i dataskyddsförordningen kan tillämpas av enskilda på behandling för sådana uppgifter och ändamål. Enligt dataskydds- förordningen ska behandlingen vara nödvändig för att utföra en uppgift av allmänt intresse (artikel 6.3 andra stycket första meningen). Till skillnad mot vad som gäller grunden rättslig förpliktelse, behöver

Prop. 2017/18:218

81

Prop. 2017/18:218 ändamålet således inte framgå av den författning eller det beslut där själva uppgiften har fastställts. Av artikel 5.2 i dataskyddsförordningen följer också att det är den personuppgiftsansvarige som ska kunna visa att uppgifter behandlas för nödvändiga ändamål.

9.2.3Den rättsliga grunden myndighetsutövning kan användas i vissa fall av högskolorna

Regeringens bedömning: Statliga högskolor kan vidta vissa åtgärder med stöd av högskolelagen som innefattar myndighetsutövning gentemot en student, t.ex. vid beslut om antagning, tillgodoräknande av utbildning eller yrkesverksamhet, examination och disciplinära åtgärder. Den be- handling av personuppgifter som är nödvändig för myndighetsutöv- ningen kan i dessa fall göras med stöd av den rättsliga grunden myn- dighetsutövning i artikel 6.1 e i EU:s dataskyddsförordning.

Även enskilda utbildningsanordnare kan vidta åtgärder som innefattar myndighetsutövning, nämligen utfärdande vissa examina enligt lagen om tillstånd att utfärda sådan. Den behandling av personuppgifter som ingår i myndighetsutövningen kan i dessa fall göras med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen

Utredningens bedömning: Överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Remissinstanserna har inte några synpunkter på eller har inget att erinra mot bedömningen.

Skälen för regeringens bedömning

Den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsför- ordningen har beskrivits i avsnitt 6.3.

Statliga högskolor kan i vissa fall använda den rättsliga grunden myndighetsutövning

Statliga högskolor ska sätta betyg på en student som genomgått en kurs, om inte högskolan föreskriver något annat. Betyget ska beslutas av en av högskolan särskilt utsedd lärare, en så kallad examinator (6 kap. 18 § högskoleförordningen). En student som har fått en kurs godkänd ska på begäran få kursbevis av högskolan. En student som uppfyller fordring- arna för en examen ska på begäran få examensbevis av högskolan (6 kap. 9 och 20 §§ högskoleförordningen). En högskolas beslut att avslå en students begäran att få examensbevis eller kursbevis är överklagbart (12 kap. 2 § 6 högskoleförordningen). Betygsättning och examination är således exempel på statliga högskolors myndighetsutövning som fast- ställts i svensk rätt.

Även beslut om antagning, tillgodoräknande av utbildning eller yrkes- verksamhet och disciplinpåföljd enligt 6, 7 och 10 kap. högskoleförord- ningen är för statliga högskolors del myndighetsutövning. Beslut om att en sökande inte uppfyller kraven på behörighet för att bli antagen, om tillgodoräknande av utbildning eller yrkesverksamhet och om disciplin- påföljderna avstängning och varning får också överklagas (12 kap. 2 § 2

82

och 3 samt 3 § högskoleförordningen). Även på dessa områden sker Prop. 2017/18:218 alltså myndighetsutövning som är fastställd i svensk rätt.

Statliga högskolor kan därmed i dessa fall använda sig av den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen för nödvändig personuppgiftsbehandling.

Enskilda utbildningsanordnares möjlighet att använda rättsliga grunden myndighetsutövning är mycket begränsad

Förvaltningsuppgifter kan överlämnas åt juridiska personer och enskilda individer. Om uppgiften innefattar myndighetsutövning får ett överläm- nande dock endast göras med stöd av lag (12 kap. 4 § andra stycket rege- ringsformen).

När det gäller överlämnande av förvaltningsuppgifter som utgör myn- dighetsutövning till enskilda utbildningsanordnare, framgår det av 1 och 6 §§ lagen (1993:792) om tillstånd att utfärda vissa examina att en en- skild utbildningsanordnare endast efter tillstånd av regeringen får utfärda sådana examina som regeringen med stöd av högskolelagen meddelat föreskrifter om. Detta omfattar även så kallade gemensamma examina enligt 2 a och 2 b §§ i samma lag. En enskild utbildningsanordnare som har fått tillstånd att utfärda examina får, under vissa förutsättningar, ut- färda en sådan gemensam examen i vilken en examen som tillståndet avser ingår, tillsammans med vissa andra kategorier av lärosäten (2 a och 2 b §§ lagen om tillstånd att utfärda vissa examina). I högskolelagen anges också att en gemensam examen får utfärdas av en högskola som anges i bilagan till högskolelagen tillsammans med bl.a. en enskild ut- bildningsanordnare. En högskola som får utfärda en sådan examen får också besluta att i viss utsträckning överlåta förvaltningsuppgifter i fråga om antagning till och tillgodoräknande av utbildning till bl.a. en enskild utbildningsanordnare (1 kap. 17 och 18 §§ högskolelagen).

9.2.4

Den rättsliga grunden rättslig förpliktelse kan

 

 

användas i vissa fall av högskolorna

 

 

 

Regeringens bedömning: Det finns fastställda rättsliga förpliktelser som

 

gör det nödvändigt för statliga högskolor att behandla personuppgifter.

 

Även för vissa enskilda utbildningsanordnare kan det finnas sådana

 

rättsliga förpliktelser. Behandlingen kan i dessa fall göras med stöd av

 

den rättsliga grunden rättslig förpliktelse i artikel 6.1 c i EU:s data-

 

skyddsförordning.

 

Utredningens bedömning: Överensstämmer med regeringens bedöm-

 

ning.

 

 

Remissinstanserna: Remissinstanserna har inte några synpunkter på

 

eller har inget att erinra mot bedömningen.

 

Skälen för regeringens bedömning: Den rättsliga grunden rättslig

 

förpliktelse i artikel 6.1 c i dataskyddsförordningen har beskrivits i

 

avsnitt 6.4.

 

 

Ett exempel på en rättslig förpliktelse för statliga högskolor som enligt

 

regeringens bedömning är tillräckligt tydlig för att ligga till grund för

 

nödvändig personuppgiftsbehandling är att en student som har fått en

83

 

 

Prop. 2017/18:218 kurs godkänd på begäran ska få kursbevis av högskolan (6 kap. 20 § första stycket högskoleförordningen). Ett annat, liknande exempel, är att en student som uppfyller fordringarna för en examen på begäran ska få examensbevis av högskolan (6 kap. 9 § högskoleförordningen). Båda dessa exempel förutsätter att i vart fall namn och personnummer behand- las för att kurs- och examensbeviset ska kunna utfärdas. Ytterligare ett exempel på en rättslig förpliktelse är enligt regeringens bedömning att de statliga högskolorna ska dokumentera uppgifter om studenter och föra ett studieregister där vissa uppgifter ska dokumenteras (2 kap. 1 § förord- ningen [1993:1153] om redovisning av studier m.m. vid universitet och högskolor).

Eftersom personuppgiftsbehandlingen på högskoleområdet till största delen dock bör kunna ske med stöd av den rättsliga grunden uppgift av allmänt intresse saknas anledning att göra en mer ingående analys av vilka av de bestämmelser som gäller för högskolorna som kan anses vara så tydliga att de anses utgöra rättsliga förpliktelser.

9.2.5Intresseavvägning kan användas men blir sällan aktuell för högskolorna

Regeringens bedömning: Enskilda utbildningsanordnare kan behand- la personuppgifter med stöd av den rättsliga grunden intresseav- vägning i artikel 6.1 f i EU:s dataskyddsförordning. Den förutsätter att

behandlingen är nödvändig för ändamål som rör den person- uppgiftsansvariges eller en tredje parts berättigade intressen, och

att inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.

Eftersom även den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 f i dataskyddsförordningen är tillämplig, behöver dock intresseavvägning sällan eller aldrig användas.

Utredningens bedömning: Överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Remissinstanserna har inte några synpunkter på eller har inget att erinra mot bedömningen.

Skälen för regeringens bedömning: Den rättsliga grunden intresse- avvägning i artikel 6.1 f i dataskyddsförordningen har beskrivits i avsnitt 6.5. Grunden gäller inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom statliga högskolor är myndigheter som fullgör sina uppgifter när de anordnar och bedriver ut- bildning enligt högskolelagen med anslutande föreskrifter, är det endast enskilda utbildningsanordnare som kan tillämpa grunden intresseavväg- ning till stöd för sin personuppgiftsbehandling.

Som framgått ovan i avsnitt 9.2.2, bedömer regeringen att artikel 6.1 e i dataskyddsförordningen, dvs. uppgift av allmänt intresse, är tillämplig som rättslig grund för anordnande och bedrivande av högskoleutbildning, och att det gäller både för statliga högskolor och för enskilda utbildnings- anordnare. Enligt regeringens uppfattning bör enskilda utbildnings- anordnare därför sällan eller aldrig behöva använda den rättsliga grunden

84

intresseavvägning i artikel 6.1.f för att kunna behandla personuppgifter i Prop. 2017/18:218 sådan verksamhet som omfattas av tillståndet att utfärda examina.

9.2.6Den rättsliga grunden samtycke kan användas i begränsad utsträckning av högskolorna

Regeringens bedömning: Statliga högskolor och enskilda utbild- ningsanordnare kan i begränsad utsträckning använda sig av den rätts- liga grunden samtycke i artikel 6.1 a i EU:s dataskyddsförordning för sin personuppgiftsbehandling.

Utredningens bedömning: Överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot bedömningen.

Luleå tekniska universitet påpekar att oavsett om det är fråga om en statlig högskola eller en enskild utbildningsanordnare råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. An- vändningen av samtycke som rättslig grund är därmed tämligen be- gränsat, vilket kan tydliggöras ytterligare genom att formulera bedöm- ningen som att samtycke kan användas i begränsad utsträckning.

Skälen för regeringens bedömning: Den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen beskrivs i avsnitt 6.1. Som anges där är möjligheten att använda samtycke som rättslig grund begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. Om behandlingen av personuppgifter grundar sig på samtycke från den registrerade ska den personuppgiftsansvarige kunna visa detta (artikel 7.1 i dataskyddsförordningen). Ett exempel på när såväl en statlig högskola som en enskild utbildningsanordnare kan använda sam- tycke som rättslig grund är, enligt regeringens bedömning, vid regi- strering av tidigare studenter i alumndatabaser. I detta fall är det fråga om en tjänst som är helt frivillig, utan direkt koppling till den lagstadgade rätten att studera för den som uppfyller behörighetskraven. Det kan även uppstå andra likartade situationer där samtycke skulle kunna användas som rättslig grund, men denna möjlighet är dock något som får bedömas från fall till fall av utbildningsanordnaren.

När det gäller Luleå tekniska universitets förslag till formulering i fråga om möjligheten att använda den rättsliga grunden samtycke, note- rar regeringen att utredningen ömsom uttryckt det som att grunden kan användas i viss utsträckning, ömsom som att den kan användas i begränsad utsträckning. Regeringen antar att utredningen med de båda formuleringarna har avsett detsamma, nämligen att uttrycka den restrikti- vitet som även enligt regeringen bör gälla för användningen av samtycke som rättslig grund.

85

Prop. 2017/18:218

86

9.2.7De rättsliga grunderna uppgift av allmänt intresse, samtycke och intresseavvägning kan användas av studentkårerna

Regeringens bedömning: Genom bestämmelser i högskolelagen och studentkårsförordningen är det i svensk rätt fastställt att student- kårerna vid statliga universitet och högskolor bedriver verksamhet som är en uppgift av allmänt intresse. Den behandling av person- uppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i EU:s dataskyddsförordning.

Studentkårerna kan även använda sig av den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen för sin personupp- giftsbehandling.

Studentkårerna kan även behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning enligt artikel 6.1 f i dataskydds- förordningen. Det kräver dock att kåren först gör en avvägning mellan behovet av behandlingen och den registrerades intressen.

Utredningens bedömning: Utredningen har inte gjort någon bedöm- ning i fråga om stundkårerna.

Remissinstanserna: Sveriges förenade studentkårer (SFS) beklagar att utredningen har förbisett studentkårernas roll för utbildningsområdet och inte gjort någon bedömning av hur dataskyddsförordningen kommer att påverka dem. SFS anser vidare att kårerna bör få det stöd eller resurser de behöver för att hantera kraven från den nya dataskyddsförordningen utan att deras förutsättningar att utföra sitt uppdrag försämras. Övriga remissinstanser har inte yttrat sig i fråga om studentkårerna roll.

Som nämnts i avsnitt 3 har SFS beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med rege- ringens bedömning i detta avsnitt. SFS har inga synpunkter på bedöm- ningen.

Skälen för regeringens bedömning

De rättsliga grunderna uppgift av allmänt intresse, samtycke och intresse- avvägning i artikel 6.1 a och f i dataskyddsförordningen har beskrivits i avsnitt 6.

Studentkårerna vid statliga universitet och högskolor kan använda uppgift av allmänt intresse som rättslig grund i offentligt reglerad verksamhet

Av 4 kap. 9 och 11 §§ högskolelagen (1992:1434) följer att en studentkår ska ha som huvudsakligt syfte att bevaka och medverka i utvecklingen av utbildningen och förutsättningarna för studier vid högskolan. Den ska också vara demokratiskt uppbyggd och kunna representera studenterna inom kårens verksamhetsområde. Vissa specifika uppgifter inom hög- skolans verksamhet som studentkåren ansvarar för enligt studentkårs- förordningen (2009:769) har också redogjorts för i avsnitt 9.2.1. Alla studenter inom en studentkårs verksamhetsområde har rätt att bli medlemmar i kåren, om de uppfyller de krav som ställs för medlemskap.

Den student som är medlem i studentkåren ska ha rösträtt vid val till Prop. 2017/18:218 studentkårens högsta beslutande organ (4 kap. 12 §§ högskolelagen).

Statliga universitet och högskolor får meddela föreskrifter om hur en studentkår vid högskolan ska redovisa sin verksamhet och sitt med- lemsantal (6 § studentkårsförordningen).

Studentkårerna utför således vissa uppgifter av allmänt intresse som är fastställda genom tillräckligt tydliga, precisa och förutsägbara bestäm- melser. De kan därmed utföra behandling av personuppgifter som är nödvändig för att utöva offentligt reglerad verksamhet som grundas på nämnda föreskrifter med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.

Studentkårerna kan använda samtycke och intresseavvägning som rättslig grund

Av regeringens proposition Frihet och inflytande – kårobligatoriets av- skaffande framgår att synen på studentsammanslutningarnas ställning har varit omdiskuterad, men att regeringen inte ser några alternativ till att betrakta studentsammanslutningarna som privaträttsliga organ (prop. 2008/09:154 s 19).

Enligt regeringens bedömning råder inte en sådan betydande ojäm- likhet mellan studentkåren och en student att ett samtycke till behandling av personuppgifter inte kan anses lämnas frivilligt enligt skäl 43 i data- skyddsförordningen. Regeringen bedömer därför att studentkårer både vid statliga universitet och högskolor och vid enskilda utbildningsanord- nare, kan använda den rättsliga grunden samtycke i artikel 6.1 a i data- skyddsförordningen för sin personuppgiftsbehandling.

Eftersom studentkårerna är privaträttsliga organ kan de även behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsförordningen. Det kräver dock att kåren först gör en avvägning mellan behovet av behandlingen och den registrerades intressen enligt artikel 6.1 f i dataskyddsförordningen.

9.3Yrkeshögskolan och andra eftergymnasiala utbildningar

9.3.1Vilka personuppgifter behandlas inom yrkeshögskolan och andra eftergymnasiala utbildningar?

Nedan ges en översiktlig beskrivning av de huvudsakliga behandlingar av personuppgifter som sker inom yrkeshögskolan och inom konst- och kulturutbildningar och vissa andra utbildningar. En närmare redogörelse för behandlingar av känsliga personuppgifter och uppgifter om lagöver- trädelser ges i avsnitt 13.5.1 och 14.5.1.

Behandling inom yrkeshögskolan

En utbildning inom yrkeshögskolan ska vara öppen för alla som uppfyl- ler behörighetsvillkoren för utbildningen. Om inte alla behöriga sökande

87

Prop. 2017/18:218

till en utbildning kan tas emot, ska ett urval göras bland de sökande

 

(15 och 17 §§ lagen om yrkeshögskolan). Av bestämmelser om

 

behörighet och urval framgår bl.a. att tillämpliga urvalsgrunder är betyg,

 

särskilt prov, tidigare utbildning och yrkeserfarenhet (3 kap. 1–7 §§

 

förordningen [2009:130] om yrkeshögskolan). I samband med antagning

 

till utbildning inom yrkeshögskolan behandlas därmed personuppgifter i

 

form av namn, personnummer, kontaktuppgifter och den sökandes olika

 

utbildningar och meriter.

 

Utbildningen inom yrkeshögskolan ska bedrivas i form av en eller flera

 

kurser. Betyg ska sättas på en genomförd kurs med något av uttrycken

 

icke godkänt, godkänt och väl godkänt. I den obligatoriska kursplanen

 

ska anges vilka principer för betygssättning och former för kunskaps-

 

kontroll som ska tillämpas (2 kap. 4, 9–11 §§ förordningen om yrkes-

 

högskolan). I bedrivandet av själva utbildningen behandlas således

 

personuppgifter i form av i vart fall namn, personnummer och genom-

 

förda moment i undervisningen och den studerandes då erhållna resultat.

 

En studerande inom yrkeshögskolan ska, under vissa förutsättningar,

 

för en del av utbildningen kunna få tillgodoräkna sig annan genom-

 

gången utbildning eller motsvarande kunskaper, färdigheter och kompe-

 

tenser som har förvärvats i yrkesverksamhet eller på annat sätt (2 kap.

 

12 § förordningen om yrkeshögskolan). I fråga om prövning av tillgodo-

 

räknande behandlas därmed personuppgifter i form av namn, person-

 

nummer och sökandens tidigare meriter.

 

Utbildningsanordnaren får utfärda utbildningsbevis och examensbevis.

 

För att en studerande ska få avsluta utbildningen med en yrkeshög-

 

skoleexamen respektive en kvalificerad yrkeshögskoleexamen behöver

 

vissa angivna krav vara uppfyllda. En studerande som uppfyller kraven

 

för en examen ska på begäran få ett examensbevis av den ansvariga

 

utbildningsanordnaren. En studerande som inte har fullgjort vad som

 

krävs för en examen eller som inte begär att få ett examensbevis ska på

 

begäran få ett utbildningsbevis (14 § lagen om yrkeshögskolan och

 

2 kap. 13–16 §§ förordningen om yrkeshögskolan). För att nämnda bevis

 

ska kunna utfärdas behöver det behandlas personuppgifter i form av

 

namn, personnummer, genomförda kurser och betyg.

 

Utbildning inom yrkeshögskolan, för vilken utbildningsanordnaren får

 

statsbidrag eller särskilda medel, ska vara avgiftsfri för de studerande.

 

Enstaka inslag som de studerande får betala ett obetydligt belopp för får

 

dock förekomma. Anordnare av utbildningar som inte får statsbidrag

 

eller särskilda medel får ta ut skäliga studerandeavgifter (9 § lagen om

 

yrkeshögskolan). Behandling av personuppgifter kan därmed förekomma

 

för att fastställa skyldighet att betala vissa avgifter och att betalning har

 

skett.

 

Vidare har Myndigheten för yrkeshögskolan (MYH) ett bemyndigande

 

att meddela föreskrifter om att den ansvariga utbildningsanordnaren ska

 

lämna uppgifter till MYH om de studerande och deras studieresultat,

 

betyg och examina. MYH får även meddela föreskrifter om på vilket sätt

 

och när uppgifterna ska lämnas (2 kap. 17 § förordningen om yrkes-

 

högskolan). Med stöd av bemyndigandet har MYH meddelat föreskrifter

 

om studiedokumentation (MYHFS 2016:8). Av dessa framgår att utbild-

 

ningsanordnarna för varje utbildning ska lämna uppgifter om de stude-

88

randes fullständiga personnummer, förnamn och efternamn. Uppgifterna

ska rapporteras till myndigheten genom en av myndigheten tillhanda- hållen digital plattform eller tjänst. För detta ändamål använder MYH sig av ett studiedokumentationssystem. Vidare ska uppgifter om de stude- randes resultat rapporteras till MYH löpande och utan dröjsmål. Om betyg inte kan sättas ska detta rapporteras. Om en kurs har tillgodo- räknats ska det framgå av rapporteringen. Kopior på examensbevis och utbildningsbevis skickas in till MYH. Ett examensbevis ska innehålla uppgifter i form av bl.a. den studerandes fullständiga personnummer, förnamn och efternamn, examensarbete, betyg och eventuella tillgodo- räknanden. Samma uppgifter, med undantag för uppgift om examens- arbete, ska också finnas i ett utbildningsbevis (3–9 §§ MYHFS 2016:8).

Behandling inom konst- och kulturutbildningar och vissa andra utbildningar

Bestämmelser om eftergymnasiala konst- och kulturutbildningar och vissa andra utbildningar finns i förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Behörig att antas till utbildningen är den som har genomgått gymnasieskolan eller gymnasiesärskolan eller motsvarande utbildning. Behörig att antas är också den som annars bedöms kunna tillgodogöra sig utbildningen (24 §) För varje utbildning ska det finnas en utbildningsplan. Av denna ska framgå bl.a. de grunder och metoder som ska användas vid urval bland behöriga sökande till utbildningen. Av planen ska även framgå hur bl.a. behörighetsbedömningar, urval och antagning ska dokumenteras (13 §). I samband med antagning till utbildning behandlas därmed personupp- gifter i form av namn, personnummer, kontaktuppgifter och den sökan- des olika utbildningar och meriter.

Utbildningen ska bedrivas i form av en eller flera kurser. För varje kurs ska det finnas en kursplan. Av kursplanen ska framgå bl.a. de former för kunskapskontroll som ska tillämpas. Det ska även framgå om betyg ska sättas på kursen och i så fall de principer för betygssättning som ska tillämpas. Efter en genomförd kurs ska betyg sättas eller ett intyg ut- färdas. En studerande som avslutat en utbildning ska på begäran få ett utbildningsbevis av den ansvariga utbildningsanordnaren där utbildning- ens innehåll och den studerandes resultat anges (12 och 14–16 §§). I bedrivandet av själva utbildningen och för utfärdandet av intyg och utbildningsbevis behandlas således personuppgifter i form av i vart fall namn, personnummer och genomförda moment i undervisningen och den studerandes då erhållna resultat.

Om det finns särskilda skäl får utbildningsanordnaren i enskilda fall besluta att den som är antagen till utbildningen får anstånd med att på- börja studierna eller fortsätta sina studier efter studieuppehåll (24 a §). I samband med sådana beslut kan därmed personuppgifter behöva behand- las.

Utbildningsanordnarna får ta ut studerandeavgifter. Dessa ska dock vara skäliga i förhållande till utbildningens karaktär och de kostnader

som utbildningsanordnaren har för utbildningen (10 §). Behandling av personuppgifter kan därmed förekomma för att fastställa skyldighet att betala vissa avgifter och att betalning har skett.

Prop. 2017/18:218

89

Prop. 2017/18:218 MYH ska svara för ett register över uppgifter om de studerande i ut- bildningarna och de studerandes studieresultat, betyg, intyg och utbild- ningsbevis (2 § 6 förordningen med instruktion för Myndigheten för yrkeshögskolan). Behandling av personuppgifter behöver därmed ske när utbildningsanordnarna lämnar nyss nämnda uppgifter till MYH.

9.3.2Den rättsliga grunden uppgift av allmänt intresse kan användas

Regeringens bedömning: Genom bestämmelser i lagen om yrkes- högskolan med anslutande föreskrifter och beslut fattade med stöd av dessa är anordnande och bedrivande av utbildning inom yrkeshög- skolan en i svensk rätt fastställd uppgift av allmänt intresse.

Genom bestämmelser i förordningen om stöd för konst- och kultur- utbildningar och vissa andra utbildningar med anslutande myndighets- föreskrifter och beslut meddelade med stöd av dessa är det i svensk rätt fastställt att anordnande och bedrivande av sådana utbildningar också är en uppgift av allmänt intresse.

Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i EU:s dataskyddsförordning.

Utredningens bedömning: Överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot bedömningen.

Datainspektionen saknar en analys som visar vilken behandling som är nödvändig utifrån yrkeshögskolans verksamhet och en redovisning som visar att lagen om yrkeshögskolan och därtill hörande bestämmelser ger stöd för den behandlingen. Det visas inte i betänkandet att de bestämmel- ser som utredningen bedömer vara tillräckliga för att kunna åberopa uppgift av allmänt intresse uppfyller kraven i skäl 41 på att den rättsliga grunden bör vara tydlig, precis och förutsägbar och att lagstiftningen är proportionerligt mot det mål som eftersträvas enligt artikel 6.3 sista meningen i dataskyddsförordningen.

Skälen för regeringens bedömning

Som framgått av avsnitt 9.3.1 finns det behov av att behandla en rad personuppgifter inom yrkeshögskolan, inom konst- och kulturutbild- ningar och inom vissa andra utbildningar. Regeringen anser, till skillnad mot Datainspektionen, att den redogörelse som lämnas där utgör en i detta sammanhang tillräcklig analys av behovet av att behandla person- uppgifter inom yrkeshögskolan.

Som anges i avsnitt 6 förutsätter personuppgiftsbehandlingen en i EU- rätten eller nationell rätt fastställd rättslig grund (artikel 6 i dataskydds- förordningen). Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.2.

90

Anordnande och bedrivande av utbildning inom yrkeshögskolan är en uppgift av allmänt intresse

Som framgår av avsnitt 8 anser regeringen att det såväl av EU-rätten som svensk rätt framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intresse. Lagen om yrkeshögskolan med anslutande föreskrifter innehåller närmare bestämmelser om utbildning inom yrkes- högskolan. I förarbetena till den lagen uttalas bl.a. följande (prop. 2008/09:68 s. 14 f., 17 f. och 20).

Utbyggnaden av högre utbildning i Sverige har under de senaste åren varit stor och är en viktig del av utbildningspolitiken. Andelen personer med eftergymnasial utbildning som är tre år lång eller längre har sedan 1990 ökat från 11 till 21 procent. Trots detta finns det från arbetslivet en efterfrågan på kvalificerad yrkeskompetens som inte tillgodoses av högskolans nuvarande utbildningsutbud. Denna efterfrågan finns inom samhällets alla sektorer och den har stadigt ökat under de senaste åren. För att möta denna efterfrågan har det inom andra statliga utbildnings- former och utanför det offentliga utbildningsväsendet utvecklats utbild- ningar som kombinerar teori med praktik och aktivt lärande i arbets- livet. De kunskaper och färdigheter som en studerande förvärvar i sådan utbildning bidrar till utveckling av produktionen av varor och tjänster och därmed till ekonomisk tillväxt. Kunskaperna och färdighet- erna ökar även den enskildes möjligheter till ett mera aktivt samhälls- liv.

[…]Det är regeringens uppfattning att utbildningssektorn behöver en utbildningsform på eftergymnasial nivå där arbetslivsgenererad kun- skap är en huvudkomponent.

[…]En utbildning inom yrkeshögskolan bör normalt ge en speciali- serad utbildning med inriktning mot ett definierat yrkesområde och vara grundad på faktiskt definierade behov på kort sikt. Högskole- utbildning har i jämförelse en större bredd och ett större djup, och därmed ett betydligt längre perspektiv i förhållande till arbetsmark- nadens behov. Båda utbildningsformerna fyller viktiga funktioner, men på olika nivåer och med olika långa perspektiv.

Regeringen bedömer således att anordnande och bedrivande av utbild- ning inom yrkeshögskolan är en uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. Även det förhållandet att utbildningar inom yrkeshögskolan enligt lagen om yrkeshögskolan som inte är uppdragsutbildningar berättigar till studiestöd enligt studie- stödslagen och studiestödsförordningen kan enligt regeringens uppfatt- ning läggas till grund för bedömningen att anordnande och bedrivande av dessa utbildningar är en uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen.

Den rättsliga grunden är fastställd i bl.a. lagen om yrkeshögskolan

Vad det innebär att anordna och bedriva eftergymnasiala yrkesutbild- ningar preciseras i lagen om yrkeshögskolan och förordningen om yrkes- högskolan. Med ett fåtal undantag gäller bestämmelserna i dessa för- fattningar för såväl offentliga som enskilda utbildningsanordnare.

Prop. 2017/18:218

91

Prop. 2017/18:218 Bestämmelserna i lagen om yrkeshögskolan syftar bl.a. till att inom yrkeshögskolan säkerställa att eftergymnasiala yrkesutbildningar som svarar mot arbetslivets behov kommer till stånd. Vidare ska en utbildning inom yrkeshögskolan väsentligen bygga på de kunskaper som eleverna får på nationella program i gymnasieskolan eller motsvarande kunskaper. Den ska vara öppen för alla som uppfyller behörighetsvillkoren för utbildningen. Om inte alla behöriga sökande kan tas emot ska ett urval göras (1, 5, 15 och 17 §§ lagen om yrkeshögskolan). I förordningen om yrkeshögskolan finns det mer preciserade bestämmelser om behörighet och urval (3 kap.).

I lagen om yrkeshögskolan anges de allmänna målen för utbildningen. Utbildningen har sin grund i kunskap som genererats dels i produktionen av varor och tjänster, dels i vetenskap. Den ska utformas så att en hög kvalitet och yrkesrelevans nås. Utbildningen ska vidare ge sådana teoretiska, praktiska och erfarenhetsbaserade kunskaper som krävs för att självständigt och i arbetslag kunna utföra kvalificerade uppgifter i arbetslivet. Den ska präglas av såväl stark arbetslivsanknytning som teoretisk förankring. Utbildningen ska utvecklas och bedrivas i samverkan mellan arbetsliv och utbildningsanordnare. Slutligen ska den bidra till att bryta traditioner i fråga om könsbundna utbildnings- och yrkesval (6 §).

MYH beslutar om en utbildning ska ingå i yrkeshögskolan (1 kap. 4 § förordningen om yrkeshögskolan). I 2 kap. förordningen om yrkeshög- skolan finns mer preciserade bestämmelser om utbildningen, bl.a. om ut- bildningens omfattning och kurser, utbildningsplan, kursplan, betyg, tillgodoräknande, examen, examens- och utbildningsbevis. MYH får utfärda föreskrifter om utbildningsplan och kursplan. MYH har i MYHFS 2009:1 fastställt vad som ska gälla för utbildningsanordnarnas kursplaner.

I avsnitt 6.2 finns en redogörelse för regeringens bedömning i pro- positionen Ny dataskyddslag i fråga om kraven på den rättsliga grundens tydlighet, precision och förutsägbarhet i skäl 41 och proportiona- litetsbedömningen i artikel 6.3 i dataskyddsförordningen. Mot bakgrund av analysen ovan anser regeringen att det genom lagen och förordningen om yrkeshögskolan, anslutande myndighetsföreskrifter samt bl.a. MYH:s beslut att en utbildning ska ingå i yrkeshögskolan, till vilket det ska bi- fogas bl.a. en utbildningsplan (1 kap. 4 och 5 §§ förordningen om yrkes- högskolan), finns tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva eftergymnasiala yrkesutbildningar innebär och som är proportionerliga mot de mål som eftersträvas. Rege- ringen bedömer därför, till skillnad mot Datainspektionen, att det för ut- bildningsanordnarna finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva eftergymnasiala yrkesutbild- ningar. Detta innebär att samtliga åtgärder som utbildningsanordnarna företar i syfte att bedriva utbildningsverksamhet som har sin grund i nu nämnda författningar och beslut är att anse som utförande av en uppgift av allmänt intresse enligt dataskyddsförordningen.

92

Anordnande av konst- och kulturutbildningar och vissa andra utbildningar är en uppgift av allmänt intresse

Som framgår av avsnitt 8 anser regeringen att det såväl av EU-rätten som svensk rätt framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intresse. Artikel 6.1 e i dataskyddsförordningen är inte begränsad till offentliga aktörer, utan även privaträttsliga organ kan utföra en uppgift av allmänt intresse. Konst- och kulturutbildningar och vissa andra utbildningar som anordnas av enskilda fysiska och juridiska personer omfattas av förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Enligt denna förordning ska utbildningen bedrivas på en eftergymnasial nivå, även om det vid behov får förekomma inslag av gymnasial karaktär (5 §). Det är således fråga om huvudsakligen eftergymnasiala studier. En av förutsättningarna för att få stöd enligt förordningen är att utbildningen är en av tre olika typer (3 och 4 §§).

Den första typen avser utbildningar som förbereder för högskoleut- bildningar som kan leda fram till konstnärliga examina. Av avsnitt 9.2.2 framgår att regeringen bedömer att anordnande och bedrivande av hög- skoleutbildning är en i svensk rätt fastställd uppgift av allmänt intresse. Utbildningar enligt förordningen om stöd för konst- och kulturutbild- ningar och vissa andra utbildningar ska således bl.a. förbereda för hög- skoleutbildning som kan leda fram till en konstnärlig examen som det en- ligt svensk rätt finns ett allmänt intresse av att utfärda. I MYH:s statistis- ka årsrapport 2016 anges bl.a. att konkurrensen om platserna på konst- närliga utbildningar inom högskolan är så hög att de sökande i praktiken måste ha genomgått någon slags förberedande utbildning för att klara antagningsproven som ofta består av arbetsprover eller auditions (s. 90). Enligt regeringens bedömning är anordnande och bedrivande av sådana utbildningar som förbereder för högskoleutbildningar som kan leda fram till konstnärliga examina därmed en uppgift av allmänt intresse.

En andra typ av utbildning som omfattas av bestämmelserna i förord- ningen om stöd för konst- och kulturutbildningar och vissa andra utbild- ningar är sådan utbildning som medverkar till att utveckla ett kvalificerat yrkeskunnande inom det konstnärliga eller kulturella området (4 §). Det är således en form av eftergymnasial yrkesutbildning som, liksom övriga utbildningar enligt förordningen, kan berättiga till stöd i form av tillsyn, en förklaring att de studerande är berättigade till studiestöd eller stats- bidrag (25 §). Enligt regeringens bedömning är även anordnande och bedrivande av sådana utbildningar som medverkar till att utveckla ett kvalificerat yrkeskunnande inom det konstnärliga eller kulturella området därmed en uppgift av allmänt intresse.

Den tredje typen av utbildningar som omfattas av bestämmelserna i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är sådana som har ett innehåll som syftar till att bevara eller utveckla kulturarvet (4 §). I fråga om kulturarvet uttalar regeringen i för- arbetena till förslag till museilag bl.a. följande (prop. 2016/17:116 s. 63 f.).

Utöver dess kollektiva funktioner är kulturarvet också en outtömlig resurs i enskilda människors strävan efter att förstå sig själva i större sammanhang och i tiden. Kulturarvet kan användas för att utveckla

Prop. 2017/18:218

93

Prop. 2017/18:218

kunskaper och förmågor som berikar livet och gör det möjligt att för-

 

hålla sig till den egna samtiden på nya sätt. Ett aktivt utbildnings- och

 

bildningsarbete behövs också för att ge enskilda möjlighet att skapa re-

 

flekterande förhållningssätt till samhällets kollektiva minnen och till de

 

berättelser om ursprung och tillhörighet vi alla är omgivna av. I kultur-

 

arvsarbetet skapas kontinuerligt ny kunskap om det förflutna, om sam-

 

tiden och om vart vi som samhälle är på väg.

 

[…] På ett personligt plan framträder kulturarvets värden egentligen

 

först genom försök att tillägna sig det. För att alla ska få förutsättningar

 

att möta kulturarvet på detta sätt är det centralt att barn och unga,

 

oavsett föräldrarnas bakgrund, får en god grund att stå på redan under

 

utbildningstiden. I vuxen ålder är det viktigt att ha förvärvat vissa kun-

 

skaper och färdigheter för att det inte ska finnas höga trösklar att ta sig

 

över för att få tillgång till den gemensamma historien. Vidare är det

 

centralt att studenter fortsätter att söka sig till ämnesområden som i sär-

 

skilt hög grad bidrar till en förståelse av kulturarvets betydelse –

 

typiskt sett de traditionella humanistiska ämnena – vid landets uni-

 

versitet och högskolor.

 

[…] Ett aktivt förhållningssätt till kulturarvet kan dock bidra till bild-

 

ning i kvalificerad bemärkelse just genom att det – utöver sakkun-

 

skaper om äldre tid – öppnar upp nya perspektiv, vidgar horisonter och

 

sätter det invanda i fråga. På så vis övar det förmågor som för den en-

 

skilde är till nytta i många sammanhang och som bidrar till samhällets

 

utveckling.

 

[…] Det har ofta påpekats att kulturarvet i Sverige inte enbart ligger i

 

svenska medborgares intresse, utan att dessa kulturuttryck snarare

 

måste ses som en del av den samlade kulturella mångfalden och rike-

 

domen i världen.

 

Av uttalandena framgår att kulturarvets bevarande och utvecklande är av

 

mycket stort värde och att det är mycket viktigt att studerande söker sig

 

till sådana utbildningar. Anordnande och bedrivande av sådana utbild-

 

ningar är det därmed enligt regeringens bedömning en uppgift av allmänt

 

intresse.

 

Regeringen anser således att anordnande och bedrivande av de tre olika

 

typer av utbildningar som kan få stöd genom bestämmelserna i förord-

 

ningen om stöd för konst- och kulturutbildningar och vissa andra ut-

 

bildningar är en uppgift av allmänt intresse. Även det förhållandet att ut-

 

bildningar enligt förordningen om stöd för konst- och kulturutbildningar

 

och vissa andra utbildningar efter beslut av Myndigheten för

 

yrkeshögskolan kan berättiga till studiestöd, kan enligt regeringens

 

uppfattning läggas till grund för bedömningen att anordnande och be-

 

drivande av dessa utbildningar är en uppgift av allmänt intresse som

 

avses i artikel 6.1 e i dataskyddsförordningen.

 

Den rättsliga grunden är fastställd i bl.a. förordningen om stöd för

 

konst- och kulturutbildningar och vissa andra utbildningar

 

I förordningen om stöd för konst- och kulturutbildningar och vissa andra

94

utbildningar preciseras vad det innebär att anordna och bedriva utbild-

ningarna. Utbildningen ska bl.a. ge en teoretisk förankring inom det Prop. 2017/18:218 konstnärliga eller kulturella området och vila på vetenskaplig eller konst-

närlig grund eller på beprövad erfarenhet (5 §). Behörig att antas till ut- bildningen är den som har genomgått gymnasieskolan eller gymnasie- särskolan eller motsvarande utbildning samt den som annars bedöms kunna tillgodogöra sig utbildningen. Därutöver får utbildningsanordnaren ställa krav på särskilda förkunskaper (24 §).

Vidare ska utbildningen bedrivas i form av en eller flera kurser. För varje utbildning ska det finnas en utbildningsplan. Av planen ska bl.a. utbildningens mål och inriktning framgå samt de kurser som ingår i utbildningen, antalet timmar lärar- eller handledarledd verksamhet som utbildningen omfattar I förekommande fall ska planen även beskriva de krav på särskilda förkunskaper som ställs upp, de grunder och metoder som ska användas vid urval bland behöriga sökande till utbildningen, hur behörighetsbedömningar, urval, antagning, kunskapskontroll och studie- resultat samt arkivering av studieresultat ska dokumenteras. För varje kurs ska det vidare finnas en kursplan. Av kursplanen ska framgå kursens benämning, målen för kursen, kursens huvudsakliga innehåll, om kursen helt eller delvis ges på engelska, de former för kunskapskontroll som ska tillämpas, och om betyg ska sättas på kursen och i så fall de principer för betygssättning som ska tillämpas (12–14 §§). Förordningen innehåller också bestämmelser om betyg, intyg och utbildningsbevis (15–17 §§). Det är MYH som fattar beslut om utbildning ska ges stöd i form av tillsyn, en förklaring att de studerande är berättigade till studiestöd eller statsbidrag (25 §).

MYH får också meddela föreskrifter om utbildningsplaner och kurs- planer, betyg, intyg och utbildningsbevis samt verkställigheten av för- ordningen (40 §). Föreskrifter om kurs- och utbildningsplaner har MYH meddelat i MYH 2015:2 och MYH 2016:16.

I avsnitt 6.2 finns en redogörelse för regeringens bedömning i propo- sitionen Ny dataskyddslag i fråga om kraven på den rättsliga grundens tydlighet, precision och förutsägbarhet i skäl 41 och proportionalitets- bedömningen i artikel 6.3 i dataskyddsförordningen. Med stöd av ana- lysen ovan anser regeringen att det i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med anslutande före- skrifter finns tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva sådana utbildningar innebär och som är proportionerliga mot de mål som eftersträvas. Regeringens bedömning är därför att det för utbildningsanordnarna finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva dessa ut- bildningar. Samtliga åtgärder som utbildningsanordnarna vidtar i syfte att bedriva utbildningsverksamhet som har sin grund i den nämnda för- fattningen, anslutande myndighetsföreskrifter och beslut meddelade med stöd av dessa är därmed att anse som utförande av en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.

95

Prop. 2017/18:218 9.3.3

Den rättsliga grunden myndighetsutövning kan

 

användas i vissa fall

Regeringens bedömning: Utbildningsanordnarna inom yrkeshög- skolan kan vidta vissa åtgärder med stöd av lagen om yrkeshögskolan och anslutande föreskrifter som innefattar myndighetsutövning gente- mot en studerande, t.ex. examination. Den behandling av person- uppgifter som är nödvändig för myndighetsutövningen kan i dessa fall göras med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i EU:s dataskyddsförordning.

Enskilda som anordnar och bedriver utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar saknar däremot möjlighet att tillämpa den rättsliga grunden myndighetsutövning.

Utredningens bedömning: Överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Remissinstanserna har inte några synpunkter på eller har inget att erinra mot bedömningen.

Skälen för regeringens bedömning

Vissa åtgärder inom yrkeshögskolan utgör myndighetsutövning

Den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsför- ordningen har beskrivits i avsnitt 6.3. Som också anges där, framgår det av propositionen Ny dataskyddslag att utgångspunkten i svensk rätt är att det som i Sverige brukar anses som myndighetsutövning faller in under dataskyddsförordningens begrepp och att detta bör gälla även fortsätt- ningsvis (prop. 2017/18:105 s. 62).

Anordnare av yrkeshögskoleutbildning får utfärda utbildningsbevis och examensbevis. Regeringen eller den myndighet som regeringen bestäm- mer har också bemyndigats att meddela föreskrifter om utbildningsbevis och examensbevis (14 § andra stycket lagen om yrkeshögskolan). Den studerande ska under vissa förutsättningar få ett examensbevis eller ett utbildningsbevis. Bevisen utfärdas av ledningsgruppen. Ett beslut av an- svarig utbildningsanordnare om avslag på en studerandes begäran att få examensbevis eller utbildningsbevis får överklagas till Överklagande- nämnden för högskolan (2 kap. 15 och 16 §§, 4 kap. 2 § och 8 kap. 2 § första stycket förordningen om yrkeshögskolan). Ytterligare exempel på myndighetsutövning är statliga universitets och högskolors beslut om antagning och tillgodoräknande, som får överklagas till Överklagande- nämnden för högskolan (8 kap. 2 § andra stycket förordningen om yrkes- högskolan).

Verksamheten hos dem som anordnar och bedriver utbildning inom yrkeshögskolan omfattar därmed i vissa delar myndighetsutövning som är fastställd i svensk rätt. Den behandling av personuppgifter som är nödvändig i samband med dessa moment kan därmed grunda sig på den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförord- ningen.

96

Anordnande av konst- och kulturutbildningar och vissa andra utbildningar innefattar inte myndighetsutövning

Enskilda som anordnar och bedriver sådan utbildning som omfattas av förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska sätta betyg eller utfärda intyg. De ska vidare utfärda utbildningsbevis om en studerande begär det (15–17 §§). Även i dessa utbildningsanordnares verksamhet finns således inslag som är att likna vid myndighetsutövning.

Förvaltningsuppgifter kan överlämnas åt juridiska personer och en- skilda individer. Innefattar uppgiften myndighetsutövning får ett över- lämnande dock endast göras med stöd av lag (12 kap. 4 § andra stycket regeringsformen). Bestämmelserna om konst- och kulturutbildningar och vissa andra utbildningar finns inte i lag utan i en förordning. Enligt regeringens bedömning är det därmed inte i svensk rätt fastställt att anordnarna av sådan utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har getts myndighetsutövande befogenheter. Dessa utbildningsanordnare kan där- med inte tillämpa den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen för sin personuppgiftsbehandling. Som framgår av avsnitt 9.3.2 har de dock i stället möjlighet att tillämpa den rättsliga grunden uppgift av allmänt intresse i artikel 6.1. e i dataskydds- förordningen. Vidare kan de tillämpa den rättsliga grunden rättslig för- pliktelse i vissa fall, se nästa avsnitt.

9.3.4Den rättsliga grunden rättslig förpliktelse kan användas i vissa fall

Regeringens bedömning: Det finns fastställda rättsliga förpliktelser som gör det nödvändigt för dem som anordnar och bedriver utbildning inom yrkeshögskolan att behandla personuppgifter. Behandlingen kan i dessa fall göras med stöd av den rättsliga grunden rättslig förpliktelse i artikel 6.1 c i EU:s dataskyddsförordning.

Detsamma gäller för den som bedriver utbildning enligt förord- ningen om stöd för konst- och kulturutbildningar och vissa andra ut- bildningar.

Utredningens bedömning: Överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Remissinstanserna har inte några synpunkter på eller har inget att erinra mot bedömningen.

Skälen för regeringens bedömning: Den rättsliga grunden rättslig förpliktelse i artikel 6.1 c i dataskyddsförordningen har beskrivits i av- snitt 6.4.

En studerande inom yrkeshögskolan ska på begäran under vissa förut- sättningar få ett examensbevis eller ett utbildningsbevis (2 kap. 15 och 16 §§ förordningen [2009:139] om yrkeshögskolan. Även en studerande som avslutat en utbildning som omfattas av förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska på begäran få ett utbildningsbevis av den ansvariga utbildningsanordnaren (17 §).

Prop. 2017/18:218

97

Prop. 2017/18:218 Nämnda förpliktelser för utbildningsanordnarna förutsätter att i vart fall namn och personnummer behandlas för att respektive bevis ska kun- na utfärdas. Detta är enligt regeringens bedömning exempel på rättsliga förpliktelser som är tillräckligt tydliga för att nödvändig personuppgifts- behandling ska kunna ske med stöd av artikel 6.1 c i dataskyddsför- ordningen.

Ytterligare exempel på rättsliga förpliktelser finns i Myndigheten för yrkeshögskolans (MYH:s) föreskrifter om studiedokumentation (besluta- de med stöd av 2 kap. 17 § andra stycket förordningen om yrkeshög- skolan). Av föreskrifterna framgår att utbildningsanordnarna inom yrkes- högskolan ska dokumentera ett flertal uppgifter om de studerande och deras studieresultat och rapportera dessa uppgifter till MYH.

Utbildningsanordnarna inom yrkeshögskolan och de som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har därmed vissa rättsliga förpliktelser. Förpliktelserna är fastställda genom bestämmelser i svensk rätt och av dem framgår det för vilka syften det är nödvändigt att behandla personuppgifter. Den rättsliga grunden i artikel 6.1 c är därmed tillämplig på sådana behandlingar.

Som framgått ovan i avsnitt 9.3.2, bedömer regeringen att även den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskydds- förordningen kan tillämpas för den behandling av personuppgifter som är nödvändig i sammanhanget, eftersom fullgörandet av förpliktelserna också ingår i uppgiften att anordna och bedriva utbildningar inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

9.3.5Intresseavvägning kan användas men blir sällan aktuell

Regeringens bedömning: Enskilda utbildningsanordnare inom yrkeshögskolan och de som anordnar utbildningar som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning i artikel 6.1 f i EU:s dataskydds- förordning. Den förutsätter

att behandlingen är nödvändig för ändamål som rör den person- uppgiftsansvariges eller en tredje parts berättigade intressen, och

att inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.

Eftersom även den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen är tillämplig, behöver dock intresseavvägning sällan eller aldrig användas.

 

Utredningens bedömning: Överensstämmer med regeringens bedöm-

 

ning.

 

Remissinstanserna: Remissinstanserna har inte några synpunkter på

 

eller har inget att erinra mot bedömningen.

 

Skälen för regeringens bedömning: Den rättsliga grunden intresse-

98

avvägning i artikel 6.1 f i dataskyddsförordningen har beskrivits i avsnitt

 

6.4. Grunden gäller inte för behandling som utförs av offentliga myndig- Prop. 2017/18:218 heter när de fullgör sina uppgifter.

Eftersom offentliga utbildningsanordnare inom yrkeshögskolan är myndigheter som fullgör sina uppgifter när de anordnar och bedriver utbildning enligt lagen om yrkeshögskolan med anslutande föreskrifter, kan de inte tillämpa den rättsliga grunden intresseavvägning i artikel 6.1 f för sin personuppgiftsbehandling. Det är således endast de enskilda utbildningsanordnarna inom yrkeshögskolan och de som anordnar utbildning som omfattas av förordningen om stöd för konst- och kultur- utbildningar och vissa andra utbildningar som kan använda sig av artikel 6.1 f som grund för sin personuppgiftsbehandling.

I avsnitt 9.3.2 bedömer regeringen att anordnande och bedrivande av utbildning inom yrkeshögskolan och enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är en i svensk rätt fastställd uppgift av allmänt intresse. Även om den rättsliga grunden intresseavvägning i artikel 6.1 f kan användas av enskilda, bör enskilda utbildningsanordnare enligt regeringens uppfattning därmed sällan eller aldrig behöva tillämpa den grunden.

9.3.6

Den rättsliga grunden samtycke kan användas i

 

 

begränsad utsträckning

 

 

 

Regeringens bedömning: De som anordnar och bedriver utbildning

 

inom yrkeshögskolan eller enligt förordningen om stöd för konst- och

 

kulturutbildningar och vissa andra utbildningar, kan i begränsad

 

utsträckning behandla personuppgifter utifrån den rättsliga grunden

 

samtycke i artikel 6.1 a i EU:s dataskyddsförordning.

 

Utredningens bedömning: Överensstämmer med regeringens bedöm-

 

ning.

 

 

Remissinstanserna: Det stora flertalet remissinstanser har inte några

 

synpunkter på eller har inget att erinra mot bedömningen.

 

Datainspektionen delar utredningens bedömning att det kan finnas

 

utrymme för samtycke när det rör sig om sådant som inte är relaterat till

 

själva kärnverksamheten. Datainspektionen påpekar att det utifrån den

 

enskildes perspektiv är samma beroendeställning som gör sig gällande

 

oavsett om det rör sig om privat eller offentlig utbildningsverksamhet,

 

när det är fråga om samma typ av verksamhet. I detta fall är det dessutom

 

huvudsakligen frågan om offentlig finansierad verksamhet.

 

Skälen för regeringens bedömning: Den rättsliga grunden samtycke i

 

artikel 6.1 a i dataskyddsförordningen har beskrivits i avsnitt 6.1. Som

 

anges där aktualiseras samtycke främst inom områden som inte är offent-

 

ligrättsligt reglerade.

 

Såvitt avser yrkeshögskolan finns dock en omfattande reglering för

 

verksamheten. Även för utbildningar som omfattas av förordningen om

 

stöd för konst- och kulturutbildningar och vissa andra utbildningar finns

 

det en tydlig reglering. Behovet av att använda samtycke som rättslig

 

grund torde, enligt regeringens bedömning, därmed vara begränsat för ut-

 

bildningsanordnarna. Som Datainspektionen påpekar finns det inte an-

 

ledning att i detta avseende göra skillnad på privat och offentlig ut-

99

 

 

Prop. 2017/18:218 bildningsverksamhet, när det är fråga om samma typ av verksamhet och beroendeställning för den enskilde.

9.4

Folkbildningen

9.4.1

Behandling av personuppgifter inom statsbidrags-

 

finansierad folkbildning

Behandling inom folkhögskolan

Folkhögskolornas verksamhet är en utbildningsform som av tradition har

beskrivits med orden fri och frivillig. Som framgått av avsnitt 5.4

finansieras folkbildningen till stor del av allmänna medel. Folkbildnings-

rådet (FBR), som är en ideell förening, prövar med stöd av 7 b § lagen

om överlämnande av förvaltningsuppgifter inom Utbildningsdepartemen-

tets verksamhetsområde och 5 § förordningen om statsbidrag till folk-

bildningen, frågor om fördelning av statsbidrag mellan folkhögskolor och

studieförbund. Vidare anges i nämnda förordning och i de villkor och

riktlinjer som FBR har fastställt för verksamheten, vissa ramar för den

verksamhet som kan få statsbidrag, t.ex. beträffande studieomdömen.

Någon särskild reglering för folkhögskolornas personuppgiftsbehandling

finns inte. I dagsläget är det således bestämmelserna i PUL som folkhög-

skolorna har att tillämpa vid behandling av personuppgifter.

Folkhögskolorna inhämtar normalt ett samtycke till behandlingen från

den enskilde. Det är därmed den rättsliga grunden samtycke som folk-

högskolorna tillämpar som stöd för sin behandling av personuppgifter.

Nästan samtliga 154 folkhögskolor använder administrationsprogram-

met SchoolSoft anpassat för folkhögskolan för sin behandling av delta-

garnas personuppgifter. Respektive folkhögskola väljer vilka personupp-

gifter den vill registrera, men för- och efternamn är obligatoriska upp-

gifter. I samband med ansökan om statsbidrag sker inte någon behandling

av personuppgifter. Folkhögskolorna behandlar personuppgifter för att

t.ex. kunna handlägga anmälningar och utfärda intyg.

Folkhögskolorna använder olika läroplattformar, t.ex. Ping Pong och

itslearning, men även Google drive och SharePoint. De personuppgifter

som behandlas är bl.a. personnummer, adress och telefonnummer.

De folkhögskolor som bedriver internat registrerar på gruppnivå upp-

gifter om allergi. Det förekommer även att vissa folkhögskolor som

anordnar kontakttolkutbildning antecknar tolkspråk i sitt register.

Behandling inom studieförbunden

Studieförbunden tillhandahåller ett brett utbud av studiecirklar, kultur-

program och annan folkbildningsverksamhet. Som framgått av avsnitt

5.4 prövar FBR och Studieförbundet SISU Idrottsutbildarna (SISU)

frågor om fördelning av statsbidrag mellan folkhögskolor och studieför-

bund med stöd 7 b och 8 §§ lagen om överlämnande av förvaltnings-

uppgifter

inom Utbildningsdepartementets verksamhetsområde samt

 

5 och 6 §§ förordningen om statsbidrag till folkbildningen. Liksom i

 

fråga om folkhögskolorna, anges i nämnda förordning vissa ramar för

100

studieförbund som kan få statsbidrag. Någon särskild reglering för

 

studieförbundens personuppgiftsbehandling finns inte. I dagsläget är det således bestämmelserna i PUL som studieförbunden har att tillämpa vid behandling av personuppgifter.

Studieförbunden inhämtar samtycke från deltagaren och tillämpar sam- tycke som rättslig grund för sin personuppgiftsbehandling. I samband med ansökan om statsbidrag sker inte någon behandling av person- uppgifter. Ändamålen med behandlingen av personuppgifterna är bl.a. administration av studieverksamhet efter att statsbidrag har lämnats.

Nio av de tio studieförbunden som FBR fördelar statsbidrag till an- vänder sig av ett administrativt system som Gustavgruppen utvecklat. Gustav är en akronym för gemensam utveckling av studieförbundens administrativa verksamhetssystem. Gustav är ett samarbete mellan studieförbunden och sker inom ramen för Studieförbunden i samverkan (Studieförbunden) som är studieförbundens bransch- och intresseorga- nisation. I det administrativa systemet behandlas uppgift om ålder, kön, adress, telefonnummer och personnummer. På individnivå behandlas inte några känsliga personuppgifter. I ett noteringsfält kan uppgifter om aller- gier eller funktionsnedsättning förekomma som en information för att nödvändiga förberedelser och val av lokal m.m. ska kunna göras.

Det förekommer att vissa studieförbund som anordnar kontakttolk- utbildning antecknar tolkspråk i sitt register.

Inom SISU anordnas utbildning på både nationell nivå och på distrikts- nivå. Oavsett på vilken nivå utbildningen anordnas inhämtas samtycke från deltagarna till stöd för behandlingen av deras personuppgifter.

FBR:s och SISU:s behandling av personuppgifter för fördelning och redovisning av statsbidrag

Utöver att pröva frågor om fördelning av statsbidrag mellan folkhög- skolor och studieförbund ska FBR och SISU kontinuerligt följa upp och utvärdera verksamheten i förhållande till folkbildningens syften och de villkor som har föreskrivits för att statsbidrag ska lämnas. FBR och SISU ska också, i enlighet med de riktlinjer som regeringen meddelar, lämna regeringen sådana sakuppgifter om verksamheten och sådan verksam- hetsredovisning som behövs för uppföljning och utvärdering (15 § för- ordningen om statsbidrag till folkbildningen).

Regeringen beslutar årligen om riktlinjer för FBR och SISU. I rikt- linjerna för FBR anges bl.a. att det totala antalet deltagare, antalet utrikes födda deltagare och deltagarnas utbildningsbakgrund ska redovisas till regeringen. Enligt riktlinjerna för SISU ska bl.a. antalet deltagardagar och deltagare framgå av SISU:s redovisning. Någon redovisning till regeringen av deltagares personuppgifter krävs dock inte (se t.ex. rege- ringens beslut 2017-12-13, Riktlinjer för 2018 för Folkbildningsrådet i fråga om användningen av anslagen 14:1 och 14:3 inom utgiftsområde 17 Kultur, medier trossamfund och fritid, U2017/04974/UF, och regeringens beslut 2017-12-13, Riktlinjer för 2018 för studieförbundet SISU Idrottsutbildarna i fråga om användningen av anslagen 14:1 och 14:3 inom utgiftsområde 17 Kultur, medier, trossamfund och fritid, U2017/04975/UF).

Vid sin fördelning och redovisning av statsbidrag kan FBR och SISU använda sig av aggregerade uppgifter från den statistik som tas fram en-

Prop. 2017/18:218

101

Prop. 2017/18:218 ligt förordningen (2001:100) om den officiella statistiken. Det är Statis- tiska centralbyrån (SCB) som är statistikansvarig myndighet för statistik- området Folkhögskola och Myndigheten för kulturanalys som är stati- stikansvarig myndighet för statistikområdet Studieförbund. I den ut- sträckning som det uppstår ett behov av att FBR och SISU behandlar uppgifter på individnivå för att fördela och redovisa statsbidrag kan den behandlingen av personuppgifter enligt regeringens bedömning utföras med den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e EU:s dataskyddsförordning. Genom bestämmelser i lagen om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhets- område och förordningen om statsbidrag till folkbildningen och rege- ringens årliga beslut med riktlinjer för FBR och SISU är det fastställt att FBR:s och SISU:s fördelning och redovisning av statsbidrag till folkbildning är en uppgift av allmänt intresse. Mot den bakgrunden anser regeringen att den behandling av personuppgifter om deltagare i folk- bildningsverksamheten som utförs av FBR och SISU och som är nöd- vändig för fördelning och redovisning av statsbidrag till folkbildning kan utföras med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.

9.4.2Den rättsliga grunden uppgift av allmänt intresse kan användas vid bedrivandet av utbildning inom statsbidragsfinansierad folkbildning

Regeringens bedömning: Genom bestämmelser i förordningen om statsbidrag till folkbildningen är det fastställt i svensk rätt att folkhögskolornas och studieförbundens bedrivande av utbildnings-, bildnings- och kulturverksamhet är en uppgift av allmänt intresse. Den behandling av personuppgifter som är nödvändig för att utöva verk- samhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i EU:s dataskyddsförordning.

Utredningens bedömning: Utredningen har bedömt att folkhögskolor- na och studieförbunden bör använda den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen som rättslig grund för sin person- uppgiftsbehandling. Enligt utredningen bör folkhögskolor som anordnar utbildning motsvarande kommunal vuxenutbildning i svenska för invand- rare, vilken regleras av skollagen med anslutande föreskrifter, kunna behandla personuppgifter om studerande i den verksamheten även med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen. Utredningen anser att den reglering av folkhög- skolorna och studieförbunden som finns i föreskrifter och andra styrande dokument i och för sig även i övrigt skulle kunna anses utgöra en i nationell rätt fastställd uppgift av allmänt intresse, men att det är tvek- samt hur behandling av personuppgifter inom folkhögskolorna utan samtycke skulle kunna förenas med ledorden ”fri och frivillig” som gäller för folkbildningen. Enligt utredningen bör det inte vara aktuellt för de icke offentligt drivna folkhögskolornas eller studieförbund att tillämpa

102

den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsdirek- tivet.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig har tillstyrkt eller inte haft något att invända mot bedömningen. Detta gäller bl.a. Statens skolverk, Statens skolinspektion, Myndigheten för yrkeshögskolan, Sveriges Kommuner och Landsting (SKL), Jönköpings läns landsting, Folkbildningsrådet, Lärarnas Riksförbund, Lärarför- bundet och Studieförbundet SISU Idrottsutbildarna.

SKL delar utredningens bedömning, men anser att det är bekymmer- samt om den uppfattningen inte delas av de rättsliga instanser som har att pröva myndigheternas tillämpning av bestämmelserna i dataskyddsför- ordningen. SKL anser att regeringen bör beakta att utredningen avstått från att utreda möjligheterna för folkhögskolorna att tillämpa den rättsliga grunden uppgift av allmänt intresse.

Datainspektionen delar inte uppfattningen att folkhögskolor och studie- förbunden kan stödja sin personuppgiftsbehandling på samtycke och ifrågasätter om det finns rättsligt stöd för den behandling av personupp- gifter som är nödvändig för folkhögskolornas verksamhet. Studieför- bunden i samverkan anser att nödvändiga personuppgifter ska behandlas av folkhögskolor och studieförbunden med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över vissa delar av ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt.

Folkbildningsrådet, Studieförbunden i samverkan, Studieförbundet SISU Idrottsutbildarna och Statistiska centralbyrån tillstyrker eller har inga synpunkter på bedömningen. Studieförbunden i samverkan anser att det genom 2 § förordningen (2015:218), där det framgår att folkhögskolorna och studieförbunden bedriver utbildnings-, bildnings- och kulturverk- samhet, även är fastställt att folkhögskolornas och studieförbundens bildnings- och kulturverksamhet är en uppgift av allmänt intresse.

Skälen för regeringens bedömning

Folkhögskolorna och studieförbunden bör inte använda samtycke som rättslig grund

Som framgått finns det inom folkbildningen ett visst behov av att be- handla personuppgifter. Den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen har beskrivits i avsnitt 6.1.

Folkhögskolorna och studieförbunden tillämpar i dagsläget samtycke som rättslig grund för sin personuppgiftsbehandling. Utredningen har också föreslagit att samtycke bör användas som rättslig grund även efter det att dataskyddsförordningen har trätt i kraft. Som skäl har utredningen bl.a. angett att deltagande i en studiecirkel eller annan folkbildningsverk- samhet som anordnas av ett studieförbund är frivilligt. Enligt utredningen råder det inte en sådan betydande ojämlikhet mellan den de enskilda vars personuppgifter behandlas och folkhögskolorna eller studieförbunden att ett samtycke till behandling av personuppgifter inte kan anses ha lämnats frivilligt.

Datainspektionen anser dock att det inte är möjligt att dra en parallell mellan att folkhögskolans och studieförbundens studieform är frivillig

Prop. 2017/18:218

103

Prop. 2017/18:218 och att det skulle innebära att även behandlingen av personuppgifterna är frivillig. Vad dataskyddsförordningen anger om frivillighet i samband med samtycke i skäl 42 och 43 visar att det är i förhållande till behand- lingen av personuppgifter frivilligheten ska bedömas.

Enligt Datainspektionen kan utbildningen som en folkhögskola kan ge många gånger vara av vikt för den enskilde, t.ex. om det är fråga om en yrkesutbildning, en komplettering av grund- eller gymnasieskolan eller en förberedande studie för att kunna söka en högskoleutbildning. Det innebär att den enskilde mycket väl kan vara lika beroende av en utbild- ning som folkhögskolan ger som av annan utbildningsverksamhet. Enligt artikel 7 punkt 3 i dataskyddsförordningen ska den registrerade ha rätt att när som helst återkalla sitt samtycke och i skäl 42 anges att samtycke inte bör betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke. Resultatet av att inte ge eller att återkalla samtycket i dessa sammanhang innebär enligt Datainspektionen förmodligen att personen inte kan gå utbildningen eller får avbryta sina studier.

Även när det gäller studieförbunden anser Datainspektionen att trots att deltagande i studieförbundet må vara frivilligt är det inte valbart för studiedeltagaren att registreras. Den enskilde måste bli registrerad för att verksamheten ska kunna få bidrag. Verksamheten har också en uppgifts- skyldighet. Verksamheten blir således beroende av att den enskilde läm- nar ett samtycke för att den ska kunna fullgöra sin uppgiftsskyldighet och erhålla statsbidrag.

Av ovan angivna skäl anser Datainspektionen att folkhögskolor och studieförbund inte kan stödja sin personuppgiftsbehandling på samtycke annat än i speciella situationer, t.ex. vid fotografering som ligger utanför kärnverksamheten.

Regeringen delar Datainspektionens uppfattning och anser att folkhög- skolorna och studieförbunden på grund av de av Datainspektionen angiv- na skälen inte bör använda den rättsliga grunden samtycke.

Folkhögskolorna och studieförbunden kan använda den rättsliga grunden uppgift av allmänt intresse

Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i data- skyddsförordningen har beskrivits i avsnitt 6.2. Som framgår av avsnitt 8 anser regeringen att det såväl av EU-rätten som svensk rätt framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intres- se och dessutom ett viktigt allmänt intresse.

Därtill kommer att både folkhögskolor och studieförbund som ansöker om och får statsbidrag omfattas av bestämmelser i förordningen om stats- bidrag till folkbildningen. Av förordningen framgår att folkhögskolor och studieförbund bedriver utbildnings-, bildnings- och kulturverksamhet samt att Studieförbundet SISU Idrottsutbildarna bedriver utbildnings- och bildningsverksamhet (2 och 3 §§). Syftet med statens stöd till folk- bildningen är att stödja verksamhet som bidrar till att stärka och utveckla demokratin och bidra till att göra det möjligt för en ökad mångfald människor att påverka sin livssituation och skapa engagemang att delta i samhällsutvecklingen. Syftet med statsbidraget är även att bidra till att

utjämna utbildningsklyftor och höja bildnings- och utbildningsnivån i

104

samhället samt att bidra till att bredda intresset för och öka delaktigheten i kulturlivet. För att statsbidrag ska lämnas till folkhögskola eller ett studieförbund ska verksamheten ha en inriktning som överensstämmer med syftet med statsbidraget (1 och 7 §§ förordningen om statsbidrag till folkbildningen).

När det gäller folkhögskolorna förutsätter statsbidrag bl.a. att undervis- ningen är avgiftsfri och att allmänna kurser avsedda främst för dem som saknar grundskole- och gymnasieutbildning årligen ska utgöra minst 15 procent av verksamheten. Kraven på resultat av lärande på allmän kurs ska motsvara de krav som ställs på motsvarande utbildning inom grund- och gymnasieskolan och intyg om godkänt resultat på allmän kurs på grundskolenivå respektive gymnasial nivå ska utfärdas till dem som bedöms kunna tillgodogöra sig studier på gymnasial nivå respektive uppnår de krav som ställs för grundläggande behörighet till högskole- studier eller yrkehögskolestudier (8 och 9 §§). De studerande som sedan söker till högskolan söker i en egen urvalsgrupp bara för folkhögskole- studerande (bilaga 3 till högskoleförordningen [1993:100]).

Som nämnts prövar FBR frågor om fördelning av statsbidrag mellan folkhögskolor och studieförbund. Enligt organisationens stadgar har FBR i uppgift att sprida kunskap om folkbildningen och bevaka folkhögskolan som utbildningsform i utbildningsystemet. I dokument som antas av FBR ges folkhögskolorna anvisningar om studieomdömen och intyg om behörighet för gymnasiestudier och högskole- eller yrkeshögskolestudier. Studieförbundet SISU Idrottsutbildarna prövar frågor om fördelning av statsbidrag till idrottens studie-, bildnings- och utbildningsverksamhet (7 b och 8 §§ lagen om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde och 4, 5 och 6 §§ förord- ningen om statsbidrag till folkbildningen). Som nämnts i avsnitt 5.4 följer det också av 2 kap. 4 § OSL och bilagan till den lagen att FBR och SISU i deras verksamhet att fördela statsbidrag ska tillämpa vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna hand- lingar hos myndigheter samt att de i denna verksamhet ska jämställas med myndigheter vid tillämpning av OSL.

Som Studieförbunden i samverkan har påpekat är målet med folkbild- ningspolitiken enligt regeringens folkbildningsproposition Allas kunskap

– allas bildning (prop. 2013/14:172) att folkbildningen ska ge alla möjlighet att tillsammans med andra öka sin kunskap och bildning för personlig utveckling och delaktighet i samhället. Av propositionen fram- går också att målet syftar till att på ett övergripande men tydligt sätt formulera statens intentioner med folkbildningspolitiken och stats- bidraget till folkbildningen (s. 19 f.).

Mot denna bakgrund anser regeringen att folkhögskolornas och studieförbundens anordnande och bedrivande av statsbidragsfinansierad utbildning är en uppgift av allmänt intresse. Av samma skäl delar regeringen även Studieförbundens uppfattning att även folkhögskolornas och studieförbundens bildnings- och kulturverksamhet är en uppgift av allmänt intresse. Uppgifterna av allmänt intresse är fastställda i nationell rätt genom förordningen om statsbidrag till folkbildningen och de beslut som FBR och SISU fattar med stöd av lagen om överlämnande av för- valtningsuppgifter inom Utbildningsdepartementets verksamhetsområde och statsbidragsförordningen. Regeringen anser också att den rättsliga

Prop. 2017/18:218

105

Prop. 2017/18:218 grunden är tillräckligt tydlig, precis och dess tillämpning tillräckligt förutsägbar för de personer som omfattas av den samt att regleringen är proportionell i förhållande till målen. Regeringen anser därför att den behandling av personuppgifter som är nödvändig i folkhögskolornas och studieförbundens utbildnings-, bildnings och kulturverksamhet kan ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen. Av samma skäl torde den rättsliga grunden uppgift av allmänt intresse även kunna användas när folk- högskolor och studieförbunden anordnar sådan verksamhet som finansi- eras genom statsbidrag enligt någon annan statsbidragsförordning.

Även det förhållandet att vissa utbildningar inom folkhögskolan berät- tigar till studiestöd enligt studiestödslagen och studiestödsförordningen kan enligt regeringens uppfattning läggas till grund för bedömningen att anordnade och bedrivande av dessa utbildningar inom folkbildningen är en uppgift av allmänt intresse som avses i artikel 6.1 e i dataskydds- förordningen.

I avsnitt 9.1.2 har också redogjorts för regeringens bedömning att en folkhögskola som anordnar motsvarande utbildning till kommunal vuxenutbildning i svenska för invandrare enligt 24 kap. 11 § skollagen utför en uppgift av allmänt intresse som är fastställd i skollagen.

 

9.4.3

De rättsliga grunderna uppgift av allmänt intresse

 

 

eller intresseavvägning kan användas vid behand-

 

 

ling av personuppgifter inom folkbildning som

 

 

finansieras på annat sätt än genom statsbidrag

 

 

 

Regeringens bedömning: Både den rättsliga grunden uppgift av all-

 

mänt intresse i artikel 6.1 e och den rättsliga grunden intresse-

 

avvägning i artikel 6.1 f i EU:s dataskyddsförordning kan, beroende

 

på omständigheterna, användas vid behandling av personuppgifter

 

inom folkbildning som finansieras på annat sätt än genom statsbidrag.

 

 

 

Utredningens bedömning: Utredningen har inte gjort någon bedöm-

 

ning i denna del.

 

Remissinstanserna: Remissinstanserna har inte haft några synpunkter.

 

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts

 

tillfälle att yttra sig över vissa delar av ett utkast till lagrådsremiss, vars

 

bedömning överensstämmer med regeringens bedömning i detta avsnitt.

 

Folkbildningsrådet, Studieförbunden i samverkan, Studieförbundet SISU

 

Idrottsutbildarna och Statistiska centralbyrån tillstyrker eller har inga

 

synpunkter på bedömningen.

 

Skälen för regeringens bedömning: Förutom den verksamhet inom

 

folkbildningen som finansieras genom statsbidrag genomför folkbild-

 

ningen även annan verksamhet med hjälp av annan finansiering. Det kan

 

t.ex. handla om bidrag från privaträttsliga aktörer, kommuner och lands-

 

ting eller regioner och andra offentligrättsliga aktörer. När det gäller

 

behandling av personuppgifter kan det t.ex. handla om att administrera

 

anmälningar och rapporteringar av verksamheter.

 

När det gäller den folkbildning som bedrivs genom bidrag från kom-

106

muner och landsting eller regioner kan det ändå bli aktuellt att använda

den rättsliga grunden uppgift av allmänt intresse för behandling av Prop. 2017/18:218 personuppgifter. Begreppet uppgift av allmänt intresse omfattar inte bara

sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Den personuppgiftsansvarige behöver inte vara skyldig att utföra uppgiften för att den rättsliga grunden uppgift av all- mänt intresse ska vara tillämplig. Som en följd av det kommunala själv- styret har kommuner och landsting en vidsträckt möjlighet att göra frivilliga åtaganden. Befogenheten är emellertid enligt kommunallagen (2017:725) begränsad till angelägenheter av just allmänt intresse. Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin all- männa befogenhet ska framgå av gällande rätt, nämligen av det regle- mente som fullmäktige utfärdar för den ansvariga nämnden. Kommuner och landsting får driva näringsverksamhet, men bara om den drivs utan vinstsyfte och syftar till att tillhandahålla allmännyttiga anläggningar eller tjänster åt medlemmarna. På folkbildningsområdet innebär det att den folkbildningsverksamhet som omfattas av fullmäktiges beslut grun- dat på den allmänna befogenheten kan anses som en uppgift av allmänt intresse och att den behandling av personuppgifter som är nödvändig för den verksamheten kan utföras med stöd av den rättsliga grunden uppgift av allmänt intresse som avses i artikel 6.1 e dataskyddsförordningen.

För folkbildningen som finansieras av privaträttsliga aktörer som t.ex. stiftelser och liknande organisationer och som inte omfattas av rätten till studiestöd saknas offentligrättsliga regler som närmare reglerar verksam- heten. Eftersom det saknas den reglering som avses i 2 kap. 2 § 1 data- skyddslagen finns det inte förutsättningar för att använda den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e dataskyddsför- ordningen för behandling av personuppgifter för den verksamhet inom folkbildningen som finansieras av privaträttsliga aktörer. Eftersom folk- högskolor och studieförbund inte är myndigheter utan enskilda organ har de möjlighet, att efter erforderlig avvägning mellan behovet av behand- lingen och den registrerades intressen i enlighet med artikel 6.1 f i data- skyddsförordningen, behandla personuppgifter om deltagare i verksam- heten med stöd av den rättsliga grunden intresseavvägning. Den rättsliga grunden har beskrivits i avsnitt 6.5. Att göra en sådan avvägning an- kommer på den personuppgiftsansvarige.

9.5Studiestödsverksamheten

9.5.1

Vilka personuppgifter behandlas inom

 

 

studiestödet?

 

CSN ska administrera studiestöd och andra stöd till enskilda som enligt

 

lag eller förordning ska hanteras av myndigheten. Detta framgår av 1 §

 

förordningen (2017:1114) med instruktion för Centrala studie-

 

stödsnämnden.

 

För att kunna utföra sina arbetsuppgifter enligt studiestödslagen och

 

andra författningar om studiestöd behöver CSN behandla en stor mängd

 

personuppgifter. I arbetet med att administrera studiestödet använder

 

CSN studiestödets informationssystem (STIS). Med hjälp av STIS be-

 

handlas bl.a. personuppgifter om personer som går en gymnasial utbild-

107

Prop. 2017/18:218 ning, som har sökt eller beviljats studiehjälp eller är betalningsmottagare av studiehjälp, som har antagits till utbildning, sökt studiemedel eller studiestartsstöd, är utländska medborgare vid prövning av principiell rätt till svenskt studiestöd eller har en studieskuld.

Behandling av personuppgifter i CSN:s studiestödsverksamhet regleras i studiestödsdatalagen (2009:287) och studiestödsdataförordningen (2009:321). I propositionen Behandling av personuppgifter inom studiestödsområdet (prop. 2008/09:96), där förslaget till studie- stödsdatalagen lämnades, anges bl.a. följande om vilken personuppgifts- behandling som förekommer i CSN:s verksamhet.

I STIS registreras en stor mängd uppgifter. Till en viss del handlar det om uppgifter av huvudsakligen administrativ karaktär, t.ex. utbetalnings- datum för olika stödformer, uppgift för identifikation av betalningar eller beslutsdatum. Denna typ av uppgifter innehåller inte något som typiskt och isolerat sett är av särskilt känslig natur för den enskilde. CSN behöver emellertid för sin verksamhet även registrera ett stort antal upp- gifter om enskildas personliga förhållanden. Det kan t.ex. röra sig om kontaktuppgifter om närmast anhöriga, uppgifter om barn och föräldrar, information om sjukdomsperioder, medborgarskap, studietakt, examens- tidpunkt, antal grundskoleår som studerats utomlands och antal terminer som studerats på gymnasienivå. Bland dessa mer personliga uppgifter finns uppgifter som från den enskildes perspektiv är känsliga. I många fall måste CSN även registrera uppgifter om enskildas ekonomiska för- hållanden, t.ex. uppgifter om utbetalt studiebidrag, årsinkomst och upp- gift om eventuell skuldsanering. Även uppgifter om personliga och eko- nomiska förhållanden för stödtagarens föräldrar, barn och andra när- stående kan förekomma (prop. 2008/09:96 s. 13 f.).

När det gäller studiestartsstöd, som är ett statligt studiestöd vars målgrupp är den som har kort utbildning och ett stort behov av utbildning på grundläggande eller gymnasial nivå för att kunna etablera sig på arbetsmarknaden, gjordes i propositionen Studiestartsstöd – ett nytt rekryterande studiestöd (prop. 2016/17:158 s. 84 ff.) bedömningen att den behandling av personuppgifter som kommer att förekomma i ärenden om studiestartsstöd inte bör skilja sig nämnvärt från den som redan sker i ärenden om studiemedel, varken när det gäller vilka uppgifter som behandlas eller vilket intrång i den personliga integriteten som behand- lingen innebär.

9.5.2Den rättsliga grunden uppgift av allmänt intresse kan användas

Regeringens bedömning: Genom bestämmelser i bl.a. studiestöds- lagen är det fastställt att CSN:s studiestödsverksamhet är en uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen.

Studiestödsdatalagen och studiestödsdataförordningen utgör sådana mer specifika bestämmelser om personuppgiftsbehandling som är tillåtna i nationell rätt enligt artikel 6.2 och 6.3 i EU:s dataskydds- förordning.

108

Utredningens bedömning: Överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Det stora flertalet remissinstanser som har yttrat sig, däribland Centrala studiestödsnämnden (CSN), har inte haft några synpunkter på bedömningen.

Datainspektionen anser att det är rimligt att utgå från tidigare bedömningar, men saknar en självständig analys av om den nationella rätten är proportionell mot de legitima mål som eftersträvas och av om det därmed finns erforderligt stöd för den personuppgiftsbehandling som behöver utföras inom CSN:s verksamhet.

Skälen för regeringens bedömning

Som framgått av föregående avsnitt finns det inom studiestödet behov av att behandla en rad personuppgifter. Som anges i avsnitt 6 förutsätter detta en i EU-rätten eller nationell rätt fastställd rättslig grund (artikel 6 i dataskyddsförordningen). Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen beskrivs i avsnitt 6.2.

CSN:s studiestödsverksamhet är en uppgift av allmänt intresse och ett viktigt allmänt intresse

Vid införandet av studiestödslagen uttalade regeringen följande i propo- sitionen Ett reformerat studiestödssystem (prop. 1999/2000:10 s. 65).

Det övergripande utbildningspolitiska målet är att varje medborgare ska ha möjlighet till god utbildning oavsett kön, social eller ekonomisk bakgrund, bostadsort m.m. […] Ekonomisk tillväxt ger möjligheter att trygga välfärden. Det är därför ett samhälleligt intresse att kunskaps- basen hos befolkningen upprätthålls och stärks på alla nivåer och att inga grupper lämnas utanför. Situationen med arbetslöshet har ytterlig- are accentuerat detta faktum. Men ekonomisk tillväxt och landets kon- kurrenskraft är också beroende av medborgarnas beredskap att möta förändringar. Kostnaderna för utbildning och studiestöd kan ses som en samhällelig investering som ger avkastning i ett senare skede i form av ökad ekonomisk tillväxt och social och kulturell utveckling.

Detta talar för att studiestödsverksamheten redan då ansågs vara en upp- gift av allmänt intresse. I samband med införandet av studiestartsstöd uttalade regeringen också följande i propositionen Studiestartsstöd – ett nytt rekryterande studiestöd (prop. 2016/17:158 s. 26).

Som nämnts ovan är ett viktigt mål för studiestödet är att det ska utjämna skillnader mellan individer och grupper i befolkningen och i och med det bidra till ökad social rättvisa. Mot denna bakgrund bör samhällets insatser för att främja lärande hos den vuxna befolkningen i större utsträckning än tidigare riktas mot dem med störst behov av utbildning. Det innebär att personer med kort tidigare utbildning som har stora utbildningsbehov bör prioriteras. Särskilt de som är arbetslösa, och har varit det under viss tid, bör prioriteras eftersom de ofta är mer utsatta än dem som har ett arbete. Inriktningen bör därför vara att utveckla studiestödet för att öka rekryteringen till studier bland dessa personer. Genom att arbetslösa påbörjar studier ökar de sin anställningsbarhet och bidrar på sikt med skatteintäkter och till att

Prop. 2017/18:218

109

Prop. 2017/18:218

110

förbättra samhällets kompetensförsörjning. Även matchningen på arbetsmarknaden kommer att förbättras.

I förarbetena till studiestödsdatalagen konstateras att den registrerade enligt artikel 14 a i dataskyddsdirektivet har rätt att motsätta sig behand- ling som sker med stöd av bl.a. artikel 7 e i direktivet, dvs. för att utföra en arbetsuppgift av allmänt intresse, om inte den nationella lagstiftningen föreskriver något annat. Regeringen ansåg därför att det skulle införas en bestämmelse i studiestödsdatalagen om att behandling av personuppgifter som får ske oberoende av den registrerades samtycke, ska få ske även om den registrerade motsätter sig behandlingen (prop. 2008/09:96 s. 36).

Det finns inget som tyder på att begreppet allmänt intresse ska upp- fattas snävare enligt dataskyddsförordningen än enligt dataskydds- direktivet. Med hänsyn härtill får en behandling av personuppgifter som tillåtits i en registerförfattning med stöd av den rättsliga grunden i artikel 7 e i dataskyddsdirektivet, dvs. utföra en arbetsuppgift av allmänt in- tresse, också anses nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen och ett viktigt allmänt in- tresse enligt artikel 9.2 g i dataskyddsförordningen.

Den rättsliga grunden är fastställd i svensk rätt

Regeringen har i propositionen Ny dataskyddslag (prop. 2017/18:105) angett att myndigheternas uppdrag och åligganden framgår av författ- ningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med regeringsformens bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutse-

bara regler (s. 56 f.). Uppgiften att administrera studiestödsverksamheten ligger på en statlig myndighet och regleras bl.a. i studiestödslagen och i lagen om studiestartsstöd. CSN:s studiestödsverksamhet är därigenom fastställd i svensk rätt. Därutöver finns kompletterande reglering i bl.a. studiestödsdatalagen och i författningar som ansluter till studiestödslagen och lagen om studiestartsstöd.

Den svenska regleringen är förenlig med dataskyddsförordningen

Som framgått av avsnitt 4.2 är det förenligt med dataskyddsförordningen (artikel 6.2) att det i nationell rätt finns sådana registerförfattningar som studiestödsdatalagen och studiestödsdataförordningen.

Som Datainspektionen påpekar, ska den rättsliga regleringen även upp- fylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i data- skyddsförordningen). Studiestödslagen, studiestödsförordningen, lagen om studiestartsstöd, förordningen om studiestartsstöd, studiestödsdata- lagen och studiestödsdataförordningen har tillkommit i den ordning som regeringsformen utpekar för föreskrifter av nu aktuellt slag. Utbildnings- datautredningen har vid genomgången av aktuella författningar inte heller funnit några bestämmelser i dessa författningar som bedömts vara irrelevanta eller oproportionerliga (SOU 2017:49, s. 384 f.). Regeringen, som inte ser någon anledning att frångå den tidigare gjorda analysen,

delar

utredningens bedömning. Regeringen anser således att föreskrif-

Prop. 2017/18:218

terna

uppfyller kraven i artikel 6.3 andra stycket i dataskyddsförord-

 

ningen.

9.5.3Den rättsliga grunden myndighetsutövning kan användas för en rad åtgärder

Regeringens bedömning: CSN kan vidta en rad åtgärder med stöd av studiestödslagen och studiestödsförordningen som innefattar myndighetsutövning, t.ex. beslut om studiehjälp, studiemedel, återbetalning av studielån och återkrav av studiestöd. Den behandling av personuppgifter som är nödvändig för myndighetsutövningen kan i dessa fall göras med stöd av den rättsliga grunden myndig- hetsutövning i artikel 6.1 e i EU:s dataskyddsförordning.

Utredningens bedömning: Utredningen har inte gjort någon bedöm- ning i fråga om den rättsliga grunden myndighetsutövning.

Remissinstanserna: Remissinstanserna har inte yttrat sig över möjlig- heten för Centrala studiestödsnämnden att använda myndighetsutövning som rättsliga grund.

Skälen för regeringens bedömning: Den rättsliga grunden myndig- hetsutövning i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.3.

CSN vidtar en rad åtgärder med stöd av bl.a. studiestödslagen och studiestödsförordningen som innefattar myndighetsutövning. Det gäller t.ex. beslut om studiehjälp, studiemedel, återbetalning av studielån och återkrav av studiestöd. Enligt regeringens bedömning är grunden för behandlingen redan i dag fastställd i svensk rätt genom de bestämmelser i dessa författningar som ger CSN författningsstöd för att vidta åtgärderna. Det behövs därför inte någon ytterligare reglering för att CSN ska kunna utföra nödvändig behandling av personuppgifter som ingår i myndighets- utövningen med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen.

9.5.4Samtycke ska inte användas som rättslig grund

Regeringens bedömning: Samtycke ska inte användas som rättslig grund för behandling av personuppgifter i CSN:s studiestödsverk- samhet.

Regeringens förslag: Bestämmelserna i studiestödsdatalagen om behandling av personuppgifter med stöd av samtycke och återkallelse av samtycke ska upphävas.

Utredningens bedömning och förslag: Överensstämmer delvis med regeringens. Till skillnad mot regeringen anser utredning att bestämmel- serna om behandling av personuppgifter med stöd av samtycke är fören- liga med artikel 6.1 a och 9.2 a i dataskyddsförordningen. Utredningen har liksom regeringen bedömt att bestämmelsen om återkallelse av sam- tycke ska upphävas, men av andra skäl.

111

Prop. 2017/18:218 Remissinstanserna: Det stora flertalet remissinstanser som har yttrat sig, däribland Centrala studiestödsnämnden, har inte haft några synpunk- ter på bedömningen eller förslaget.

Datainspektionen ifrågasätter om 7 § studiestödsdatalagen ska kvarstå, eftersom artikel 6.2 i dataskyddsdirektivet inte ger utrymme för natio- nella bestämmelser i fråga om den rättsliga grunden samtycke.

Skälen för regeringens bedömning och förslag: Den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen har beskrivits i avsnitt 6.1.

I CSN:s studiestödsverksamhet får personuppgifter endast behandlas för vissa i studiestödsdatalagen angivna fall. Personuppgifter får endast behandlas för vissa ändamål. Vidare gäller särskilda begränsningar för när känsliga personuppgifter får behandlas (4 och 6 §§). Trots dessa begränsningar får dock personuppgifter behandlas i CSN:s studiestöds- verksamhet med den registrerades samtycke. Känsliga personuppgifter får också behandlas för andra ändamål med den registrerades uttryckliga samtycke (7 § första stycket). Uppgifter som behandlas med sådant samtycke från den registrerade får också behandlas för utlämnande i vissa fall och för att ge tillgång till vägledande avgöranden (7 § andra stycket). När behandling av personuppgifter i CSN:s studiestödsverk- samhet sker med stöd av samtycke, har dock den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas (7 § tredje stycket).

Regeringen delar Datainspektionens synpunkt att dataskyddsförord- ningen inte ger utrymme för nationella bestämmelser i fråga om den rättsliga grunden samtycke. Av artikel 6.2 i dataskyddsförordningen föl- jer nämligen att det finns utrymme för anpassningar till förordningen i nationella bestämmelser i fråga om de rättsliga grunderna rättslig förplik- telse, uppgift av allmänt intresse och myndighetsutövning i artikel 6.1 c och e. Någon motsvarande möjlighet i fråga om den rättsliga grunden samtycke i artikel 6.1 a ges däremot inte i artikel 6.2 i dataskyddsför- ordningen. Regeringen bedömer även att det mellan CSN, vars verksam- het i betydande omfattning består av myndighetsutövning, och de regis- trerade råder sådan betydande ojämlikhet att det är osannolikt att sam- tycke kan anses lämnas på ett sådant frivilligt sätt som förutsätts för att samtycke ska kunna användas som rättslig grund (skäl 43 i dataskydds- förordningen). Av dessa skäl behöver bestämmelserna om personupp- giftsbehandling med stöd av samtycke i 7 § första och andra stycket studiestödsdatalagen upphävas.

När det gäller återkallelse av samtycke, har dataskyddsutredningen be- dömt att studiestödsdatalagens och dataskyddsförordningens reglering har motsvarande innehåll, och föreslagit att studiestödsdatalagens be- stämmelse om återkallelse ska upphävas eftersom bestämmelsen i data- skyddsförordningen är direkt tillämplig i svensk rätt. Mot bakgrund av regeringens uppfattning att studiestödsdatalagens bestämmelser om sam- tycke i 7 § första och andra stycket behöver upphävas, följer dock redan av detta att även bestämmelsen om återkallelse av samtycke i 7 § tredje stycket studiestödsdatalagen behöver upphävas. På grund av att 7 § upp- hävs behöver även följdändringar göras i andra paragrafer i studiestöds- datalagen där samtycke omnämns.

112

I fråga om CSN:s möjlighet att behandla känsliga personuppgifter när Prop. 2017/18:218 bestämmelserna om samtycke upphävs hänvisas till avsnitt 13.7.

10Som huvudregel krävs inte lagform för personuppgiftsbehandling på utbildningsområdet

Regeringens bedömning: Den behandling av personuppgifter som görs på utbildningsområdet utgör generellt inte ett sådant betydande intrång i den personliga integriteten att det krävs lagreglering enligt regeringsformen.

Utredningens bedömning: Överensstämmer med regeringens. Remissinstanserna: En majoritet av de remissinstanser som har yttrat

sig har inte haft synpunkter på bedömningen.

Justitiekanslern anser att såvitt framgår av utredningen är inte den personuppgiftsbehandling som kan bli aktuell inom utbildningsområdet och som inte omfattas av någon lagreglering av sådan karaktär som avses i grundlagsbestämmelsen om skyddet mot integritetsintrång (2 kap. 6 § RF).

Uppsala universitet framför att det skulle vara önskvärt med en djupare analys av just förhållandet mellan personuppgiftsbehandling inom utbild- ningsområdet och 2 kap. 6 § 2 RF om skyddet mot betydande intrång i den personliga integriteten, särskilt mot bakgrund av att de som person- uppgiftsbehandlingen avser är barn som får betraktas som särskilt skyddsvärda.

Datainspektionen anser att behandling av personuppgifter för fler verk- samheter inom utbildningsområdet utgör ett sådant integritetsintrång enligt 2 kap. 6 RF att begränsning av den enskildes rättigheter kräver stöd i lag.

Som nämnts i avsnitt 3 har Datainspektionen även beretts tillfälle att yttra sig över ett utkast till lagrådsremiss som i allt väsentligt överens- stämmer med propositionen. Datainspektionen noterar att utkastet utgår från att personuppgiftsansvaret ifråga om den utrustning som skolor tillhandahåller i form av datorer och surfplattor som eleverna kan an- vända kan vara delat. Datainspektionen vill dock framhålla att data- skyddsförordningen är tillämplig i de fall personuppgiftsansvariga till- handahåller utrustning för behandling av personuppgifter som även om- fattar privat bruk, jfr. beaktandeskäl 18. I detta sammanhang vill Datainspektionen även understryka att de registrerade som omfattas av de aktuella bestämmelserna i regel är barn, som enligt dataskyddsför- ordningen förtjänar särskild hänsyn.

Skälen för regeringens bedömning

Som nämns i avsnitt 4.7 är var och en gentemot det allmänna skyddad

mot betydande intrång i den personliga integriteten, om det sker utan

113

Prop. 2017/18:218 samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § RF). Detta skydd mot integritets- intrång kan dock begränsas genom lag (2 kap. 20 § första stycket 2 RF). Frågan är om dessa bestämmelser i RF medför att det krävs ytterligare lagreglering på utbildningsområdet.

I förarbetena till grundlagsbestämmelsen i 2 kap. 6 § RF anges att bestämmelsen inte ska innebära ett hinder mot sådan lagstiftning som be- hövs till skydd för viktiga samhällsintressen eller lagstiftning som utgör ett led i anpassningen av normerna till den fortgående samhällsutveck- lingen. Det grundlagsskyddade området bör avgränsas på ett sådant sätt att det enbart omfattar de mest ingripande intrången. Bestämmelsen har därför utformats så att grundlagsskyddet omfattar åtgärder som vidtas utan samtycke och som innebär kartläggning eller övervakning av en- skildas personliga förhållanden. Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har (prop. 2009/10:80 s. 182 och 250). I för- arbetena till bestämmelsen anges även följande (prop. 2009/10:80 s. 183).

Vid bedömningen av hur ingripande intrånget i den personliga integ- riteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden är det enligt regeringens mening naturligt att stor vikt läggs vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. Därutöver kan givet- vis mängden uppgifter vara en betydelsefull faktor i sammanhanget. Det kan anmärkas att konstitutionsutskottet i flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling framhållit att målsätt- ningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (se t.ex. bet. 1990/91:KU11 s. 11, 1997/98:KU18 s. 43).

Ur förarbetena kan alltså utläsas följande tre faktorer som är av betydelse för om det är fråga om ett betydande integritetsintrång; uppgifternas karaktär, omfattning av uppgifter som behandlas och ändamål med be- handlingen.

De huvudsakliga personuppgiftsbehandlingar som i dag sker på utbild- ningsområdet har beskrivits översiktligt i avsnitten 9.1.1, 9.2.1, 9.3.1, 9.4.1 och 9.5.1.

Nedan gör regeringen en analys, utifrån regeringsformens krav, om det finns ett behov inom utbildningsområdet av att meddela ytterligare bestämmelser om behandling av personuppgifter och om de i så fall måste införas på lagnivå.

Ändamålet med behandling av personuppgifter inom utbildningsområdet

Ändamålet med behandlingen av personuppgifter på utbildningsområdet är kopplat till utförande av utbildning i olika former och dokumentering av studieresultat. I förarbetena till bestämmelsen om grundlagsskyddet

exemplifieras ett antal verksamheter där ändamålet med behandlingen av

114

personuppgifter i sig kan indikera att det handlar om en omfattande kart- läggning av den enskildes personliga förhållanden. Det är t.ex. fallet med behandling av personuppgifter inom brottsbekämpande verksamheten, på skatt- och tullområdet, inom socialtjänsten och hälso- och sjukvården samt inom socialförsäkringen och indrivningen (prop. 2009/10:80 s. 180–181). Förutom studiestödsverksamheten, som redan är lagreglerad, nämns inte utbildningsområdet bland sådana verksamheter där ändamålet med behandlingen av personuppgifter förutsätter en omfattande kart- läggning av den enskildes personliga förhållanden. Det är regeringens bedömning att ändamålet med behandling av personuppgifter inom ut- bildningsområdet, dvs. genomförande av utbildningsverksamheten och dokumentering av studieresultaten, inte motiverar en generell reglering av personuppgiftsbehandling på lagnivå.

Personuppgifternas karaktär och omfattning på det skollagsreglerade området

Datainspektionen anser att det inom skolområdet behandlas mycket vari- erande slag av personuppgifter om elever. Det kan vara uppgifter om ele- vers fysiska- och psykiska hälsa, sociala situation, utveckling, omdömen, känsliga personuppgifter i åtgärdsplaner m.m. Inte sällan tillhandahåller skolan teknisk utrustning till eleverna som blir deras personliga under flera år. Stora delar av elevernas prestationer, men också deras tankar, intressen och sociala umgänge kan komma att behandlas av skolan. Det är frågan om svåra gränsdragningar mellan elevens integritet och skolans uppdrag. Barnens rätt ska också skyddas särskilt. Datainspektionen anser att den sammantagna behandlingen som aktualiseras inom skolan är att bedöma som ett sådant integritetsintrång enligt 2 kap. 6 § RF att begräns- ningar endast får ske genom lag.

Regeringen delar uppfattningen att det finns personuppgiftsbehandling inom skolområdet som innebär ett sådant betydande intrång i den person- liga integriteten att en begränsning av grundlagens skydd mot intrånget måste, i enlighet med 2 kap. 6 §, göras i lag. Ett exempel är den mål- gruppsutredning som enligt skollagens kapitel om skolplikt måste göras för att avgöra om ett barn ska går i grundsärskolan. I den skolformen får endast barn som bedöms inte kunna nå upp till grundskolans kunskaps- krav därför att de har en utvecklingsstörning tas emot (7 kap. 5 §). Frågan om mottagande i grundsärskolan prövas av barnets hemkommun. Ett beslut om mottagande i grundsärskolan ska föregås av en utredning som omfattar en pedagogisk, psykologisk, medicinsk och social bedöm- ning. Samråd med barnets vårdnadshavare ska ske när utredningen genomförs. Om barnets vårdnadshavare inte lämnar sitt medgivande till att barnet tas emot i grundsärskolan, ska barnet fullgöra sin skolplikt enligt vad som gäller i övrigt enligt skollagen. Ett barn får dock tas emot i grundsärskolan utan sin vårdnadshavares medgivande, om det finns synnerliga skäl med hänsyn till barnets bästa (7 kap. 5 § skollagen). I specialskolan får endast barn som på grund av sin funktionsnedsättning eller andra särskilda skäl inte kan gå i grundskolan eller grundsärskolan tas emot. Det krävs då att de är dövblinda eller annars har en synnedsättning och har ytterligare funktionsnedsättning, i annat fall är döva eller har en hörselnedsättning, eller har en grav språkstörning.

Prop. 2017/18:218

115

Prop. 2017/18:218 Frågan om mottagande i specialskolan prövas av Specialpedagogiska skolmyndigheten (SPSM). Ett beslut om mottagande i specialskolan ska

 

föregås av en utredning som omfattar en pedagogisk, psykologisk,

 

medicinsk och social bedömning. Samråd med barnets vårdnadshavare

 

ska ske när utredningen genomförs (7 kap. 6 § skollagen). Som framgått

 

är dock hemkommunens respektive SPSM:s skyldighet att utföra dessa

 

utredningar redan lagregerade, dvs. lagkravet i 2 kap. 6 § andra stycket

 

RF är redan uppfyllt. När det gäller de krav som uppställs enligt data-

 

skyddsförordningen kan konstateras att då utredningarna utförs av hem-

 

kommunen respektive SPSM kan dessa vid utredningarna tillämpa de

 

bestämmelser om behandling av känsliga personuppgifter i ett ärende

 

som i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås i

 

3 kap. 3 § dataskyddslagen.

 

Exempel på personuppgiftsbehandling inom skolområdet som kan

 

innebära ett intrång i den personliga integriteten, men inte ett betydande

 

intrång i den mening som avses i 2 kap. 6 § andra stycket RF, är en

 

utredning av om en elev behöver särskilt stöd i undervisningen (3 kap. §

 

skollagen), en utredning med anledning av att en elev vid upprepade

 

gånger har stört studieron, uppträtt olämpligt eller gjort sig skyldig till en

 

allvarlig förseelse (5 kap. 9 § skollagen) eller en utredning om kränkande

 

behandling (6 kap. 10 § skollagen). Även i dessa fall finns dock regle-

 

ringen på lagnivå. När det gäller de krav dataskyddsförordningen upp-

 

ställer kan kommunala huvudmän vid sådana utredningar tillämpa 3 kap.

 

3 § dataskyddslagen (se vidare i avsnitt 13.3.3). Det behöver dock i

 

svensk lag föras in bestämmelser som motsvarar sistnämnda bestäm-

 

melser för huvudmän för fristående skolor. Regeringen återkommer till

 

det i avsnitt 12 och 13. På motsvarande sätt har offentliga huvudmän stöd

 

för att behandla uppgifter om lagöverträdelser i skollagen och data-

 

skyddslagen, men det kan behöva införas bestämmelser motsvarande

 

sistnämnda bestämmelser i dataskyddslagen för enskilda huvudmän.

 

Regeringen återkommer till det i avsnitt 12 och 14.

 

Även i övrigt kan det på det skollagsreglerade området förekomma be-

 

handling av känsliga uppgifter, t.ex. i faktisk verksamhet. Som exempel

 

kan nämnas att en elev skriver om känsliga uppgifter i en skoluppsats.

 

I sådana fall kan det, på grund av dataskyddslagens krav, behöva införas

 

stöd i författning för att enskilda huvudmän ska kunna behandla person-

 

uppgifter i den utsträckning som behövs. Även detta behandlas i avsnitt

 

12 och 13.

 

I övrigt är det i huvudsak okänsliga personuppgifter som behandlas

 

inom skolväsendet, t.ex. namn, personnummer och adress. Personupp-

 

gifter behandlas också för sättande av betyg (allmänna bestämmelser om

 

betyg finns i 3 kap. 13–21 §§ skollagen och därutöver finns bestämmel-

 

ser för varje skolform i de olika skolformskapitlen i skollagen och på

 

förordningsnivå, och Statens skolverk har på uppdrag av regeringen tagit

 

fram stödmaterial för bedömningen), utfärdande av intyg i stället för

 

betyg (11 kap. 17 §, 12 kap. 14 §, 13 kap. 14 §, 20 kap. 44 och 45 §§ och

 

21 kap. 18, 23 och 24 §§ skollagen), upprättande av individuell studie-

 

plan i gymnasieskolan, gymnasiesärskolan, kommunal vuxenutbildning

 

och särskild vuxenutbildning (16 kap. 25 §, och 17 kap. 7 § och 20 kap.

 

8 §, 21 kap. 8 § skollagen) samt utfärdande av gymnasieexamen (26 kap.

116

26-28 §§ skollagen) och gymnasiesärskolebevis (19 kap. 27 §) etc.

Behandling av personuppgifter kan också ske vid bedömning och kart- läggning av elevernas kunskaper (t.ex. enligt 3 kap. 12 c § skollagen eller i samband med genomförande av prov, t.ex. de reglerade nationella proven). Även om uppgifter om elevers kunskaper inte är känsliga personuppgifter innehåller således skollagen och anslutande förordningar en omfattande reglering av om när bedömningar ska göras, vilka stöd- åtgärder som huvudmännen är skyldiga att sätta in och när och hur be- dömningarna ska dokumenteras.

När det gäller stödåtgärder och olika former av utredningar, vilka som framgått ovan redan är lagreglerade, kan det konstateras att de berör en mindre del av elevkollektivet. Majoriteten av elever behöver inte särskilt stöd och blir inte heller föremål för andra typer av utredningar. Den per- sonuppgiftsansvarige ska dessutom enligt artikel 5 i dataskyddsförord- ningen se till att personuppgifterna är adekvata, relevanta och inte alltför omfattande i förhållande till de ändamål för vilka de behandlas (uppgifts- minimering). Dessa bestämmelser begränsar den personuppgiftsansva- riges möjligheter att behandla fler personuppgifter än nödvändigt.

Mot denna bakgrund delar regeringen Justitiekanslerns (JK) bedöm- ning att den personuppgiftsbehandling som kan bli aktuell på utbild- ningsområdet, och som inte omfattas av någon lagreglering, inte är av den karaktär som avses i grundlagsbestämmelsen om skyddet mot inte- gritetsintrång (2 kap. 6 § RF).

När det gäller den utbredda praxis som innebär att skolorna numera tillhandahåller utrustning i form av datorer och surfplattor som eleverna även kan använda utanför skolverksamheten för t.ex. socialt umgänge, kan regeringen konstatera att det måste göras en gränsdragning mellan användningen av sådan utrustning för skolarbetet och användningen för privat bruk. Skolhuvudmännens behandling av personuppgifter som sker med stöd av den utrustning som disponeras av eleverna omfattas av dataskyddsförordningens bestämmelser. Det innebär bl.a. att endast den behandling av personuppgifter som är nödvändig för uppgifter inom skolverksamheten är tillåten för skolhuvudmän att utföra (artikel 6.1 dataskyddsförordningen). När det gäller elevernas egna användning av den utrustningen för socialt umgänge och liknande användning som inte omfattas av skolverksamheten konstaterar regeringen att det handlar om behandling av personuppgifter i verksamhet av rent privat natur som inte omfattas av dataskyddsförordningens bestämmelser (artikel 2.2 c dataskyddsförordningen). Därför aktualiseras det i den delen inte något behov av särskild reglering med anledning av dataskyddsförordningen. När det gäller Datainspektionens påpekande att det anges i skäl 18 till dataskyddsförordningen att förordningen är tillämplig på personuppgifts- ansvariga som tillhandhåller utrustning för behandling av personupp- gifter som även omfattar privat bruk, anser regeringen att det avser de personuppgiftsansvarigas behandling av personuppgifter som krävs för att just tillhandahålla utrustningen, såsom kontaktuppgifter och liknande.

Sammanfattningsvis anser regeringen att till den del 2 kap. 6 § andra stycket RF ställer krav på lagform så är dessa krav redan uppfyllda på det skollagsreglerade området. Det kan dock med anledning av de krav som uppställs i dataskyddsförordningen behöva införas kompletterande be- stämmelser som rör behandlingen av känsliga personuppgifter och

Prop. 2017/18:218

117

Prop. 2017/18:218 behandling av personuppgifter om lagöverträdelser inom utbildningsom- rådet.

Personuppgifternas karaktär och omfattning i större uppgiftssamlingar inom övriga delar av utbildningsområdet

Datainspektionen ifrågasätter också om det inte inom universitet och högskola handlar om så omfattande behandling av personuppgifter att det kan utgöra ett integritetsintrång som behöver regleras genom lag enligt 2 kap. 6 § RF. Datainspektionen framför även att det saknas en analys av om den behandling av personuppgifter som aktualiseras inom yrkeshög- skolan är att bedöma som ett sådant integritetsintrång enligt RF att be- gränsningen av den enskildes rättigheter kräver stöd i lag.

När det gäller FBR:s centrala register över deltagare i studieförbundens studiecirklar och annan folkbildningsverksamhet samt UHR:s betygsdatabas BEDA anser Datainspektionen mot bakgrund av att det handlar om omfattande nationella register att behandling av person- uppgifter i dessa två register bör regleras i lag.

Vid bedömningen av om grundlagsskyddet i 2 kap. 6 § RF föranleder ett behov av reglering i lag bör beaktas att de personuppgifter som be- handlas i de stora uppgiftssamlingarna inom universitet och högskola, yrkeshögskola och folkbildning huvudsakligen består av namn, person- nummer, kontaktuppgifter och studieresultat.

Regeringen delar Datainspektionens uppfattning om att det inom ut- bildningsområdet förekommer omfattande samlingar av personuppgifter. Det gäller framför allt för FBR:s centrala register över deltagare i studie- förbundens studiecirklar och annan folkbildningsverksamhet, Myndigheten för yrkeshögskolans register över uppgifter om de stude- rande inom yrkeshögskolan och register över uppgifter om de studerande i konst- och kulturutbildningarna, UHR:s betygsdatabas BEDA samt systemen för studieadministration (Ladok) och antagningsärenden (NyA) inom högre utbildning.

Ytterligare en omfattande samling av personuppgifter finns inom studiestödsområdet. På det området behöver CSN behandla en stor mängd uppgifter om enskildas personliga förhållanden. Som framgår av avsnitt 9.5.1 kan det, förutom uppgifter om utbetalt studiemedel till en sökande, t.ex. röra sig om kontaktuppgifter om närmast anhöriga, uppgifter om barn och föräldrar, information om sjukdomsperioder, med- borgarskap, studietakt, examenstidpunkt, antal grundskoleår som stude- rats utomlands och antal terminer som studerats på gymnasienivå. I många fall måste CSN även registrera uppgifter om enskildas ekono- miska förhållanden, t.ex. uppgifter om utbetalt studiebidrag, årsinkomst och uppgift om eventuell skuldsanering. Även uppgifter om personliga och ekonomiska förhållanden för stödtagarens föräldrar, barn och andra närstående kan förekomma. Behandling av personuppgifter på det området är därför sedan tidigare reglerad på lagnivån genom studie- stödsdatalagen.

Konstitutionsutskottet har i flera lagstiftningsärenden som rör myndig- heters personuppgiftsbehandling framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt käns-

ligt innehåll ska regleras särskilt i lag. Av förarbetena framgår också att

118

regeringen vid flera tillfällen har instämt i denna bedömning (prop. Prop. 2017/18:218 2009/10:80 s. 183). Som framgått ovan är det av de register som finns på

utbildningsområdet endast den personuppgiftsbehandling som utförs på studiestödsområdet som uppfyller de kriterier som har lyfts fram av kon- stitutionsutskottet. De uppgifter som finns i övriga register har inte ett särskilt känsligt innehåll. Den befintliga regleringen är således förenlig med grundlagen. Det behov som kan finnas av att se över och anpassa registerförfattningar inom utbildningsområdet som i dag finns på förord- ningsnivå till dataskyddsförordningen bedöms därmed kunna ske i form av förordningsändringar.

Även när det gäller större uppgiftssamlingar inom andra delar av utbildningsområdet än skollagsreglerad verksamhet delar således rege- ringen Justitiekanslerns uppfattning att den personuppgiftsbehandling som kan bli aktuell på utbildningsområdet, och som inte omfattas av någon lagreglering, inte är av den karaktär som avses i grundlags- bestämmelsen om skyddet mot integritetsintrång (2 kap. 6 § RF).

Däremot kan det även inom andra delar av utbildningsområdet än den skollagsreglerade verksamheten, på motsvarande sätt som inom den verksamheten, behöva införas kompletterande bestämmelser i vissa avse- enden för behandling av känsliga personuppgifter och uppgifter om lag- överträdelser med anledning av artikel 9 och 10 i dataskyddsförordning- en. Det har ovan konstaterats att det krävs ett viss kompletterande regle- ring på nationell nivå. I nästa avsnitt behandlas frågan var och på vilket sätt dessa kompletteringar bör införas.

11

Det krävs inte fler särskilda

 

 

registerförfattningar på

 

 

utbildningsområdet

 

 

 

Regeringens bedömning: Det saknas skäl att införa ytterligare

 

registerförfattningar om behandling av personuppgifter inom utbild-

 

ningsområdet. Den kompletterande reglering om behandling av

 

personuppgifter inom utbildningsområdet som behövs med anledning

 

av dataskyddsförordningen kan ske inom ramen för de författningar

 

som reglerar verksamheten på området och de befintliga registerför-

 

fattningarna.

 

En lämplig myndighet bör få i uppdrag att vidta åtgärder för att

 

initiera och stödja utarbetandet av en uppförandekod för skolväsendet.

 

Utredningens bedömning: Överensstämmer med regeringens.

 

Remissinstanserna: En majoritet av de remissinstanser som har yttrat

 

sig har inte haft några synpunkter på bedömningen. Justitiekanslern delar

 

utredningens bedömning att det inte är påkallat att införa några nya

 

registerlagar på utbildningsområdet. Dataskydd.net är inte övertygade om

 

att det invecklade systemet i Sverige med särskilda registerförfattningar

 

bäst tillgodoser privatpersoners och samhällets behov av ett starkt inte-

 

gritetsskydd. Tvärtom riskerar det att göra det svårt för privatpersoner att

119

 

 

Prop. 2017/18:218 förutse vilket skydd de har, och myndigheterna distraheras från de pro- portionalitetsbedömningar och säkerhetsavvägningar de ska göra inför

 

varje insamling och behandling av privatpersoner. Statens skolverk delar

 

utredningens bedömning att det finns ett tillräckligt stöd för att fullfölja

 

dess uppgifter utifrån de nuvarande bestämmelserna i nationell rätt.

 

Umeå kommun framhåller vikten av att kunna utnyttja digitaliseringens

 

möjligheter inom skolan och att det måste finnas en balans mellan inte-

 

gritetsskyddslagstiftningen och den kreativa process som finns inom

 

pedagogisk verksamhet.

 

Karlstads universitet anser att behovet av en särskild lag på högskole-

 

området kanske kunde ha analyserats ytterligare.

 

Stockholms kommun anser att det finns behov av tydligare regleringar

 

för att kunna genomföra de behandlingar av personuppgifter som behövs

 

inom utbildningsnämndens ansvarsområde.

 

Datainspektionen anser att utredningen har underskattat den komplexi-

 

tet som det medför att inte reglera utbildningsverksamheten på nationell

 

nivå i registerförfattning.

 

En rad remissinstanser, såsom Sveriges Kommuner och Landsting

 

(SKL), Bergs, Göteborgs, Halmstads, Luleå, Umeå och Varbergs kom-

 

muner, Friskolornas riksförbund och Uppsala universitet, är positiva till

 

införandet av en uppförandekod för skolväsendet. SKL anser att fram-

 

tagandet av en uppförandekod är ett viktigt arbete eftersom lagstiftningen

 

är komplex och innebär att gränsdragningsproblematik kommer uppstå

 

samtidigt som tekniken utvecklas i ett mycket snabbt tempo. Då skol-

 

väsendet i dag belastas av mycket administration ser Göteborgs kommun

 

att en uppförandekod genom tydlighet och genomarbetat övervägande i

 

enskilda frågor kan medföra en viss administrativ lättnad för skol-

 

väsendet. Academedia AB understryker behovet av en uppförandekod, då

 

det finns stor risk att små huvudmän inte kommer ha kompetens eller

 

resurser för att följa regelverket. Friskolornas riksförbund framhåller att

 

det är företrädare för de personuppgiftsansvariga, dvs. skolhuvudmännen

 

som tillsammans har möjlighet att utarbeta uppförandekoden. Uppsala

 

universitet påpekar att en uppförandekod varken kan eller får ersätta den

 

lagstiftning den vilar på. En möjlig invändning mot en uppförandekod är

 

enligt universitetet att ytterligare rättsliga dokument tillförs skolans

 

befattningshavare som redan har att förhålla sig till dataskydds-

 

förordningen, dataskyddslagen och övrig reglering av skolhuvudmännens

 

behandling av känsliga personuppgifter. Lärarnas Riksförbund anser att

 

det är i det närmaste ouppnåeligt att en eller flera olika uppförandekoder

 

skulle kunna omfatta personuppgiftshanteringen hos samtliga huvudmän

 

för skola och förskola.

 

Skälen för regeringens bedömning: För närvarande finns det några få

 

renodlade registerförfattningar på utbildningsområdet. I dessa registerför-

 

fattningar regleras närmare behandling av personuppgifter för specifika

 

verksamheter. Det är till exempel fallet med studiestödsdatalagen och

 

studiestödsdataförordningen som reglerar behandling av personuppgifter

 

hos CSN och förordningen om redovisning av studier m.m. som reglerar

 

behandling av personuppgifter för studieadministration och för antagning

 

till högre utbildning.

 

När dataskyddsförordningen börjar tillämpas kommer huvudmän inom

120

utbildningsområdet enligt regeringens bedömning i avsnitt 9 huvud-

sakligen att tillämpa allmänt intresse som rättslig grund för sin nödvän- diga behandling av personuppgifter (artikel 6.1 e i dataskyddsförord- ningen). Även rättslig förpliktelse och myndighetsutövning kommer i vissa fall att vara tillämpliga som rättsliga grunder för behandling av personuppgifter inom utbildningsområdet (artikel 6.1 c och artikel 6.1 e i dataskyddsförordningen). För dessa tre rättsliga grunder gäller att de ska vara fastställda i unionsrätten eller i en medlemsstats nationella rätt. Som framgår av analysen i avsnitt 9 för respektive verksamhet är dessa rättliga grunder fastställda i författningar som närmare reglerar verksamheten på utbildningsområdet eller beslut som har fattats med stöd av författning.

Datainspektionen understryker att laglig personuppgiftsbehandling även innefattar en bedömning av om författningen uppfyller dels kraven på tydlighet, precisering och förutsägbarhet i skäl 41 och dels kravet på proportionalitet i artikel 6.3 andra stycket sista meningen i dataskydds- förordningen. Datainspektionen anser att det inte är möjligt att presumera att de åtgärder som myndigheterna vidtar i syfte att utföra sina uppdrag och åligganden och som antagits i enlighet med grundlagens bestämmel- ser om normgivningskompetens och kommunalt självstyre i sig har en legal grund som offentliggjorts genom tydliga, precisa och förutsägbara regler och uppfyller kraven i skäl 41. Datainspektionen anser också att många författningar av naturliga skäl är antagna utan att deras tydlighet, precisering och förutsägbara tillämpning avseende behandling av personuppgifter har bedömts. Utredningen har enligt Datainspektionen endast beskrivit vilket stöd verksamheten har generellt inom utbild- ningsområdet när utbildningsanordnare utför sina uppdrag enligt gällande författningar. Det saknas enligt Datainspektionen en analys som visar att det i skollagen, högskolelagen, lagen om yrkeshögskolan och därtill hörande bestämmelser finns rättsligt stöd för den personuppgiftsbehand- ling som behöver utföras inom utbildningsområdet och att det rättsliga stödet uppfyller kraven i skäl 41. När det saknas särskild lagreglering kring behandlingen blir det den personuppgiftsansvariges ansvar att pröva sin behandling mot kraven i Dataskyddsförordningen vid varje enskild behandling. Det saknas vägledning av på vilket sätt den personuppgiftsansvarige ska kunna bedöma vilka personuppgiftsbehand- lingar som ska anses nödvändiga för att fullgöra uppdragen. Datainspek- tionen anser därmed att utredningen har underskattat den komplexitet som det medför att inte reglera utbildningsverksamheten på nationell nivå i en registerförfattning. Att lägga ansvaret på respektive huvudman att besluta om varje enskild behandling är nödvändig för att utföra den fastställda uppgiften är en svår och betungande uppgift. Detta arbete hade enligt Datainspektionen kunnat förenklas om utredningen hade tagit ett samlat grepp och gjort nödvändiga bedömningar och reglerat personupp- giftsbehandlingar inom utbildningsväsendet i en särskild registerför- fattning. Med tanke på hur många aktörer det finns inom utbildnings- området ifrågasätter Datainspektionen det rimliga i att överlåta bedöm- ningen på de personuppgiftsansvariga, istället för att via lagstiftning i nationell rätt genom kompletterande författning till dataskyddsförord- ningen klargöra vad som inom utbildningsområdet är nödvändig behand- ling.

I propositionen Ny dataskyddslag konstaterar regeringen att den rätts- liga grunden inte måste fastställas i en av riksdagen beslutad lag men

Prop. 2017/18:218

121

Prop. 2017/18:218 däremot att grunden måste vara fastställd i laga ordning, dvs. på ett konstitutionellt korrekt sätt (prop. 2017/18:105 s. 51). Vad detta konkret

 

innebär i svensk rätt när det gäller uppgift av allmänt intresse har förtyd-

 

ligats i 2 kap. 2 § 1 förslaget till dataskyddslag. Enligt den bestämmelsen

 

får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsför-

 

ordningen om behandlingen är nödvändig för att utföra en uppgift av

 

allmänt intresse som följer av lag eller annan författning, av kollektiv-

 

avtal eller av beslut som har meddelats med stöd av lag eller annan för-

 

fattning.

 

Av skäl 41 framgår också att den rättsliga grunden bör vara tydlig och

 

precis och dess tillämpning förutsägbar för dem som omfattas av den, i

 

enlighet med rättspraxis vid Europeiska unionens domstol och Europe-

 

iska domstolen för de mänskliga rättigheterna. Vilken grad av tydlighet

 

och precision som krävs i fråga om den rättsliga grunden för att en viss

 

behandling av personuppgifter ska anses vara nödvändig måste enligt

 

regeringens mening bedömas från fall till fall, utifrån behandlingens

 

karaktär. En behandling av personuppgifter som inte utgör någon egent-

 

lig kränkning av den personliga integriteten kan ske med stöd av en

 

rättslig grund som är allmänt hållen medan ett mer kännbart intrång

 

kräver att den rättsliga grunden är mer preciserad och därmed gör in-

 

trånget förutsebart.

 

Vad som avses med nödvändighetsrekvisitet har behandlats i avsnitt

 

6.2.

 

Till skillnad från Datainspektionen anser regeringen att syftet med be-

 

handling av personuppgifter inom utbildningsområdet tydligt framgår av

 

bestämmelserna i skollagen, högskolelagen, lagen om yrkeshögskolan

 

och de andra författningar som reglerar verksamheten på området och att

 

det är förutsägbart för personer som omfattas av dessa regler vilken be-

 

handling av personuppgifter som är nödvändig för att personuppgifts-

 

ansvariga ska kunna utföra sina uppdrag och åligganden. Dataskydds-

 

förordningen möjliggör genom artikel 6.2 och 6.3 andra stycket för med-

 

lemsstaterna att införa särskilda registerförfattningar, men varken dessa

 

bestämmelser eller förordningen i övrigt innebär något krav på att det in-

 

förs sådana författningar.

 

Som framgår av avsnitt 13 och 14 anser regeringen att det i fråga om

 

behandling av känsliga personuppgifter och personuppgifter om lag-

 

överträdelser finns behov av viss kompletterande reglering på utbild-

 

ningsområdet. Enligt Justitiekanslern framstår det, med hänsyn till hur

 

många lagar som redan finns rörande personuppgiftsbehandling, också

 

som angeläget att inte ytterligare lagar tillkommer, om det inte är föran-

 

lett av ett viktigt behov.

 

Som framgår av avsnitt 4.6 och 7.1 innehåller dataskyddsförordningen

 

ett omfattande regelverk som syftar till att skydda den enskildes integritet

 

och rättigheter. Dataskyddsförordningen kompletteras av dataskydds-

 

lagen. Därutöver tillkommer en omfattande reglering på utbildningsom-

 

rådet. Som ett exempel nämnas att skollagen är ca 150 sidor lång och att

 

den kompletteras av föreskrifter i förordningar och föreskrifter som med-

 

delats av myndigheter. Därtill kommer att t.ex. Statens skolverk har med-

 

delat allmänna råd och tagit fram omfattande stödmaterial. Därutöver har

 

myndigheter också i uppgift enligt författning att fatta olika typer av

122

beslut om t.ex. tillstånd eller statsbidrag. Särskilda författningar som

reglerar utbildningsverksamheternas personuppgiftsbehandling skulle Prop. 2017/18:218 enligt regeringens bedömning inte innebära att skyddet för enskildas

integritet och rättigheter blev starkare. En sådan reglering skulle dess- utom kunna vara kontraproduktiv på så sätt att den t.ex. på skolområdet skulle kunna komma att begränsa huvudmännens möjligheter att behand- la personuppgifter på ett sätt som bidrar till ett effektivt och tidsenligt sätt att bedriva utbildning med utnyttjande av tillgängliga tekniska hjälp- medel med ett gott resultat (se t.ex. 9 kap. 8 §, 10 kap. 10 § och 15 kap. 17 § skollagen). Sådan indirekt styrning av undervisningen och hur den ska bedrivas bör enligt regeringens uppfattning inte ske genom reglering av personuppgiftshanteringen inom utbildningsverksamheten. Rege- ringens uppfattning är därför att den kompletterande reglering som be- hövs kan ske inom ramen för befintliga författningar på utbildnings- området. Regeringen bedömer att en sådan lagstiftningsteknik underlättar för tillämparna.

Regeringen delar dock Datainspektionens uppfattning att personupp- giftsansvariga kan vara betjänta av ytterligare vägledning i fråga om be- handling av personuppgifter. Regeringen uppfattar att Datainspektionen anser behovet av ytterligare vägledning vara störst i fråga om skol- väsendet. En rad andra remissinstanser, såsom Sveriges Kommuner och Landsting, ett flertal kommuner och Friskolornas riksförbund, har också ställt sig positiva till införandet av en uppförandekod för skolväsendet. Regeringen avser därför, trots de utmaningar det kan innebära, att ge en lämplig myndighet i uppdrag att initiera och stödja utarbetandet av en uppförandekod för skolväsendet.

12Var ska kompletterande bestämmelser om personuppgiftsbehandling placeras?

Regeringens förslag: Kompletterande bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser på utbildningsområdet ska införas i ett nytt kapitel i skollagen, i lagen om tillstånd att utfärda vissa examina och i lagen om yrkeshögskolan.

Regeringens bedömning: Kompletterande bestämmelser för konst- och kulturutbildningar, vissa andra utbildningar och folkbildningen bör införas på förordningsnivå.

Det bör inte införas någon dubbelreglering i nämnda lagar för offentliga utbildningsanordnare och sådana enskilda utbildningsanord- nare som har stöd för sin personuppgiftsbehandling i dataskyddslagen.

Utredningens förslag och bedömning: Överensstämmer med rege- ringens förslag och bedömning i fråga om i vilka lagar och på vilken normnivå kompletterande bestämmelser bör införas. Utredningen har dock föreslagit att bestämmelser i dataskyddslagen som gäller för myn- digheter och organ som jämställs med myndigheter också ska återges i sektorslagstiftningen.

123

Prop. 2017/18:218

124

Remissinstanserna: Flertalet remissinstanser delar utredningens för- slag och bedömning eller har inte några synpunkter.

Statens skolverk, Specialpedagogiska skolmyndigheten, Göteborgs, Askersunds och Stockholms kommuner, Friskolornas riksförbund och

Sveriges Kommuner och Landsting är exempel på remissinstanser som är positiva till att behandling av känsliga personuppgifter regleras i ett nytt kapitel i skollagen. Eslövs kommun ser det som positivt att regleringen införs direkt i skollagen då det ligger väl i linje med intentionen i den unifiering som skedde av skollagstiftningen i och med tillkomsten av skollagen (2010:800). Göteborgs kommun anser att förslaget att samla regleringen kring känsliga personuppgifter i ett kapitel bidrar till att skapa en tydlighet kring förutsättningarna för att behandla känsliga personuppgifter inom skolområdet som i sin tur underlättar tillämpningen av regelverket.

Sveriges Kommuner och Landsting anser det särskilt välkommet att även kommunen i egenskap av hemkommun ska tillämpa det föreslagna kapitlet i skollagen trots att kommuners personuppgiftsbehandling även faller in under dataskyddslagens tillämpningsområde och anser att detta förenklar tillämpningen avsevärt för kommunerna.

Specialpedagogiska skolmyndigheten undrar om förslaget till det nya kapitlet i. skollagen som ska komplettera dataskyddslagen innebär att skolor som också är myndigheter parallellt ska använda regleringen i de båda lagarna.

Datainspektionen anser att utredningen inte har presenterat någon kon- kret redogörelse för vilka personuppgiftsbehandlingar som ska behandlas inom det skollagsreglerade området samt vilka risker de aktuella behand- lingarna kan medföra. Utan en sådan redogörelse kan en proportiona- litetsbedömning av bestämmelserna enligt artikel 6.3 i dataskyddsför- ordningen inte göras. Datainspektionen saknar en analys som visar att det kommer att finnas erforderligt stöd för den behandling av känsliga personuppgifter som behöver utföras inom skolan när dataskyddsför- ordningen börjar tillämpas.

Luleå tekniska universitet tillstyrker utredningens förslag angående be- hov av särskild reglering för enskilda utbildningsanordnare. Karlstads universitet tillstyrker författningsförslagen. Chalmers tekniska högskola AB tillstyrker utredningens förslag i de delar som rör deras verksamhet som enskilda utbildningsanordnare.

Skälen för regeringens förslag och bedömning

Den kompletterande reglering som behövs bör införas i befintliga sektorsförfattningar

Som framgår av avsnitt 8 gör regeringen bedömningen att utbildning är såväl en uppgift av allmänt intresse som ett viktigt allmänt intresse. I avsnitt 9 har regeringen bedömt att merparten av personuppgiftsbehand- lingen som sker inom utbildningsområdet kan ske med stöd av den rätts- liga grunden att utföra en uppgift av allmänt intresse. För viss personupp- giftsbehandling som inte är nödvändig för detta ändamål, t.ex. skolfoto- grafering, kan i stället samtycke användas som rättslig grund.

Som framgått av avsnitt 7 ställer dock dataskyddsförordningen i artikel 9 och 10 särskilda krav när det gäller behandling av känsliga personupp-

gifter och uppgifter om lagöverträdelser. I avsnitt 10 gör regeringen be- dömningen att det finns behov av att inom utbildningsområdet införa bestämmelser som rör behandlingen av känsliga personuppgifter och lag- överträdelser som kompletterar såväl dataskyddsförordningen som data- skyddslagen.

Även regeringsformen ställer särskilda krav när det är fråga om ett betydande intrång i den personliga integriteten som sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § RF). Sådana intrång får bara göras med stöd av lag. Som framgår av avsnitt 10 gör regeringen bedömningen att i den mån detta lagkrav gäller på det skollagsreglerade området är det uppfyllt genom regleringen i skollagen. Regeringen gör vidare i avsnitt 11 be- dömningen att det inte bör införas fler registerförfattningar inom utbild- ningsområdet utan att de kompletteringar som behövs med anledning av artikel 9 och 10 i dataskyddsförordningen bör göras i befintliga sektors- författningar.

Som närmare kommer att utvecklas i avsnitt 13.2 och 14.2 föreslås i propositionen Ny dataskyddslag att det i 3 kap. dataskyddslagen ska införas bestämmelser om behandling av känsliga personuppgifter och lagöverträdelser (3 kap. 1–9 §§). Dessa bestämmelser gäller emellertid med vissa undantag bara för myndigheter. I 3 kap. 4 § dataskyddslagen anges dock att regeringen får meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse. Vidare anges i 3 kap. 9 § att regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning. Den myndighet som regeringen bestämmer får även i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter. Ett beslut får förenas med villkor.

Regeringen anser dock att det, även i den utsträckning det inte krävs enligt regeringsformen, är lämpligt att kompletterande bestämmelser som ger stöd för att behandla känsliga personuppgifter eller personuppgifter om lagöverträdelser inom det skollagsreglerade området, inom högskolan och inom yrkeshögskolan förs in på samma normhierarkiska nivå och i den författning som i huvudsak reglerar den aktuella verksamheten och varigenom den rättsliga grunden i huvudsak fastställs. Regeringen gör bedömningen att detta bör underlätta för tillämparna. Som närmare kommer att utvecklas i avsnitt 13.4 och 14.4 gör regeringen bedöm- ningen att det i fråga om högskolan endast finns behov av komplette- rande reglering när det gäller enskilda utbildningsanordnare som om- fattas av lagen om tillstånd att utfärda vissa examina. Regeringen föreslår därför att kompletterande bestämmelser om känsliga personuppgifter och personuppgifter om lagöverträdelser införs i skollagen, lagen om tillstånd att utfärda vissa examina och i lagen om yrkeshögskolan. På grund av skollagens omfattning införs bestämmelserna i skollagen lämpligen i form av ett nytt kapitel om personuppgiftsbehandling. När det gäller CSN:s behandling av känsliga personuppgifter i studiestödsverksamheten finns det redan en registerförfattning där frågor om myndighetens per- sonuppgiftsbehandling regleras och nödvändiga justeringar och komplet- teringar på studiestödsområdet bör därför göras i den lagen.

Prop. 2017/18:218

125

Prop. 2017/18:218

126

Dubbelreglering bör undvikas

Skollagen och lagen om yrkeshögskolan gäller både offentliga och en- skilda utbildningsanordnare. Utbildningsdatautredningen har föreslagit att vissa bestämmelser om personuppgiftsbehandling, som ska ge enskil- da utbildningsanordnare samma möjligheter till behandling som offent- liga utbildningsanordnare, i dessa lagar ska omfatta både enskilda och offentliga utbildningsanordnare. Detta innebär att det för de offentliga ut- bildningsanordnarna i vissa fall uppstår en dubbelreglering, eftersom de kommer omfattas av bestämmelser både i dataskyddslagen och i sektors- lagstiftningen med samma innehåll. Som Specialpedagogiska skolmyn- digheten (SPSM) framför, kan detta väcka frågor kring vilket av regel- verken myndigheterna ska tillämpa. En sådan dubbelreglering gör det således inte nödvändigtvis tydligare för tillämparna vilket av regelverken som de ska tillämpa. Regeringen ser inte heller skäl att för privata organ, som enligt 3 kap. 3 § tredje stycket dataskyddslagen ska jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekre- tesslagen (2009:400) gäller i deras verksamhet, skapa en dubbelreglering genom att för dessa införa motsvarande bestämmelser som i dataskydds- lagen även i sektorsförfattningarna. Regeringen anser således att sektors- författningarna bara ska kompletteras med sådana bestämmelser om personuppgiftsbehandling som är nödvändiga utöver dataskyddsförord- ningen och dataskyddslagen och att dubbelregleringar ska undvikas. Däremot anser regeringen att sektorsförfattningarna av tydlighetsskäl bör innehålla bestämmelser som upplyser om var i dataskyddslagen det finns motsvarande bestämmelser för myndigheter och sådana organ som jämställs med myndigheter, se vidare avsnitt 16.

Kompletterande bestämmelser för konst- och kulturutbildningar och folkbildningen kan införas på förordningsnivå

Som framgår av avsnitt 9.3 och 9.4 finns viss begränsad reglering av den verksamhet som anordnas av enskilda i form av konst- och kultur- utbildningar och vissa andra utbildningar och folkbildning. Regleringen finns på förordningsnivå. Inom dessa verksamheter finns visst behov av behandling av känsliga personuppgifter. Detta redogörs för närmare i avsnitt 13.5.1 och 13.6. Här ges därför endast en mer kortfattad be- skrivning av detta behov.

När det gäller behandling av känsliga personuppgifter inom folkbild- ningen kan folkhögskolorna ansöka om statsbidrag för kostnader för särskilt utbildningsstöd som erbjuds studerande med funktionsnedsätt- ningar enligt förordningen (2011:1163) om statsbidrag för särskilt utbild- ningsstöd. Ansökan görs till SPSM. Såvitt Utbildningsdatautredningen erfarit lämnas inga direkta personuppgifter in i samband med ansökan. I ansökan framgår endast uppgift om kön och funktionsnedsättning per skola och kurs (SOU 2017:49 s. 358). Då själva ansökan till SPSM inte innehåller några personuppgifter behöver folkhögskolorna inte något rättsligt stöd för att behandla dessa uppgifter i ansökan. Däremot kan folkhögskolorna i sin verksamhet behöva behandla sådana uppgifter inför upprättandet av ansökan och beträffande studerande med funktionsned- sättning. Vidare förekommer det att vissa folkhögskolor och studie-

förbund som anordnar kontakttolkutbildning antecknar tolkspråket i sitt register. Folkhögskolor och studieförbund som anordnar sådan utbildning kan under vissa förutsättningar erhålla statsbidrag som beviljas av Myndigheten för yrkeshögskolan enligt förordningen (2012:140) om statsbidrag för viss utbildning som rör tolkning och teckenspråk. Även om en uppgift om tolkspråk i sig inte utgör en känslig personuppgift, skulle den tillsammans med andra uppgifter kunna bli en uppgift om etniskt ursprung, alltså en känslig personuppgift. Liknande gränsfrågor skulle kunna uppstå i den verksamhet som bedrivs av folkhögskolor och studieförbund och som avser särskilda insatser för personer som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl., eller avses i förordningen (2010:1122) om statlig ersättning för insatser för vissa ut- länningar och som bor i Migrationsverkets anläggningsboende, och för vilka statsbidrag kan lämnas enligt förordningen (2015:521) om stats- bidrag till särskilda folkbildningsinsatser för asylsökande och vissa ny- anlända invandrare.

När det gäller behovet för enskilda anordnare av konst- och kultur- utbildningar och vissa andra utbildningar att behandla känsliga person- uppgifter gäller i korthet följande. Behandling av känsliga personupp- gifter kan, i likhet med vad som gäller för folkbildningen, förekomma vid handläggning av ansökningar om särskilt pedagogiskt stöd, när beslutade stödåtgärder ska verkställas och i samband med ansökningar om stats- bidrag eller särskilda medel för kostnader för särskilt pedagogiskt stöd (30 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar). Behandling av känsliga personuppgifter kan även förekomma i ärenden om trakasserier och sexuella trakasserier (1 kap. 4 och 2 kap. 7 §§ diskrimineringslagen [2008:567]) och i ärenden om an- stånd med att påbörja studier eller studieuppehåll av hälsoskäl (24 a § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar). Anordnarna kan även ha egna regelverk som medför behov av behandling av känsliga personuppgifter i form av hälsa i samband med utredningar och ärenden om avskiljande.

Behovet av behandling av känsliga personuppgifter i verksamhet som anordnas i form av konst- och kulturutbildningar och vissa andra utbild- ningar och i form av folkbildning är alltså tämligen begränsat. Vidare förekommer behovet av sådan behandling främst i samband med stöd och stödåtgärder som är till gagn för den studerande och behandlingen utförs av enskilda. Mot denna bakgrund gör regeringen bedömningen att bestämmelsen i 2 kap. 6 § RF inte är tillämplig på denna behandling. Som angetts i avsnitt 10 anser vidare Justitiekanslern att såvitt framgår av utredningen är inte den personuppgiftsbehandling som kan bli aktuell inom utbildningsområdet och som inte omfattas av någon lagreglering, av sådan karaktär som avses i grundlagsbestämmelsen om skyddet mot integritetsintrång i 2 kap. 6 § RF. Regeringen anser därför att komplette- rande bestämmelser om behandling av känsliga personuppgifter i dessa verksamheter kan införas på förordningsnivå

Prop. 2017/18:218

127

Prop. 2017/18:218 Var behandlas kompletteringar i sektorslagstiftningen?

Kompletteringar i sektorslagstiftningen som avser känsliga personupp- gifter behandlas i avsnitt 13. Kompletteringar i sektorslagstiftningen som avser uppgifter om lagöverträdelser behandlas i avsnitt 14.

13 Sektorslagstiftningen ska kompletteras med bestämmelser om behandling av känsliga personuppgifter

13.1 Dataskyddsförordningen tillåter bara behandling av känsliga personuppgifter i vissa fall

 

Som framgått av avsnitt 7 finns det i artikel 9.1 i dataskyddsförord-

 

ningen, på motsvarande sätt som i det nu gällande dataskyddsdirektivet

 

och PUL, ett principiellt förbud mot att behandla särskilda kategorier av

 

personuppgifter. Dessa är enligt dataskyddsdirektivet och PUL uppgifter

 

som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller

 

filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör

 

hälsa och sexualliv. I dataskyddsförordningen utvidgas den särskilda

 

kategorierna av uppgifter till att också omfatta behandling av genetiska

 

uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk

 

person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om

 

hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella

 

läggning. Bestämmelsen i dataskyddsförordningen är direkt tillämplig

 

och kräver inga åtgärder av medlemsstaterna.

 

Förbudet ska enligt artikel 9.2 inte tillämpas i någon av de situationer

 

som beskrivs i artikel 9.2 a–j. Förbudet gäller t.ex. inte om den registre-

 

rade uttryckligen lämnat sitt samtycke till behandlingen av dessa

 

personuppgifter för ett eller flera specifika ändamål (artikel 9.2 a).

 

Förbudet gäller inte heller om behandlingen är nödvändig av hänsyn till

 

ett viktigt allmänt intresse, på grundval av unionslagstiftningen eller

 

medlemsstaternas nationella rätt. Unionslagstiftningen och medlems-

 

statens nationella rätt ska stå i proportion till det eftersträvade syftet, vara

 

förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla

 

bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den

 

registrerades grundläggande rättigheter och intressen (artikel 9.2 g).

 

Vad som är ett allmänt intresse har behandlats i avsnitt 6.2. I avsnitt 8

 

har regeringen gjort bedömningen att utbildning är såväl en uppgift av

 

allmänt intresse som ett viktigt allmänintresse.

 

Som framgår ovan omnämns de personuppgifter som omfattas av ett

 

förbud mot behandling, som särskilda kategorier av uppgifter i såväl det

 

nuvarande dataskyddsdirektivet som i dataskyddsförordningen. I data-

 

skyddsförordningens beaktandeskäl omnämns de på ett par ställen som

 

känsliga respektive särskilt känsliga uppgifter (skäl 10 och 51). I PUL

128

har särskilda kategorier av personuppgifter kallats känsliga person-

 

uppgifter, utan att detta närmare har kommenterats i förarbetena. Som Prop. 2017/18:218 nämnts i avsnitt 7.2 föreslås i propositionen Ny dataskyddslag (prop.

2017/18:105) att begreppet känsliga personuppgifter ska användas i dataskyddslagen för sådana särskilda kategorier av uppgifter som anges i artikel 9.1 i dataskyddsförordningen. Bakgrunden till detta förslag är att begreppet får anses väl inarbetat, även på EU-nivå, och är språkligt enklare att använda och förstå, inte minst i författningstext. Begreppet känsliga uppgifter används även nedan.

13.2Det finns kompletterande bestämmelser om känsliga personuppgifter i dataskyddslagen

13.2.1Behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse möjliggörs i vissa fall

Utifrån den möjlighet som i dataskyddsförordningen ges medlemsstater- na att skapa förutsättningar i nationell rätt för att möjliggöra behandling av känsliga personuppgifter har regeringen i propositionen Ny data- skyddslag (prop. 2017/18:105) föreslagit tre generella bestämmelser som avser myndigheters behandling av känsliga personuppgifter (3 kap. 3 § första stycket dataskyddslagen). Bestämmelserna har sin grund i artikel 9.2 g, dvs. att behandlingen är nödvändig av hänsyn till ett viktigt all- mänt intresse.

Behandling av känsliga personuppgifter som krävs enligt lag är tillåten för myndigheter och enskilda som jämställs med myndigheter

Viss behandling av känsliga personuppgifter är oundviklig i myndig- heternas verksamhet som en direkt följd av exempelvis offentlighets- och sekretesslagens (2009:400) och förvaltningslagens (1986:223) krav, såsom krav på diarieföring och skyldighet att ta emot e-post. Samma skyldigheter gäller i viss utsträckning för vissa andra organ än myndig- heter, som en följd av att dessa organ jämställs med myndigheter enligt offentlighets- och sekretesslagen. I propositionen Ny dataskyddslag före- slås mot denna bakgrund en bestämmelse om att myndigheter och andra organ som omfattas av offentlighetsprincipen får behandla känsliga personuppgifter med stöd av artikel 9.2 g i EU:s dataskyddsförordning, om uppgifterna har lämnats till myndigheten eller organet och behand- lingen krävs enligt lag (3 kap. 3 § första stycket 1 och tredje stycket data- skyddslagen).

Behandling av känsliga personuppgifter som är nödvändig för handläggningen av ett ärende är tillåten för myndigheter

Enligt en andra bestämmelse i 3 kap. 3 § dataskyddslagen får känsliga

 

uppgifter behandlas av en myndighet med stöd av artikel 9.2 g i data-

 

skyddsförordningen, om behandlingen är nödvändig för handläggningen

 

av ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen). Bestämmel-

 

sen är tillämplig oavsett om uppgifterna förekommer i löpande text eller

 

inte. Begreppen handläggning och ärende ska tolkas på samma sätt som

 

enligt 1 § förvaltningslagen (2017:900).

129

 

Prop. 2017/18:218

130

Behandling av känsliga personuppgifter i annat fall som inte innebär ett otillbörligt intrång är tillåten för myndigheter

Enligt en tredje bestämmelse får känsliga uppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades integritet (3 kap. 3 § första stycket 3 dataskyddslagen).

Bestämmelsen syftar till att ge myndigheter visst utrymme för behand- ling av känsliga personuppgifter även i den faktiska verksamheten, dvs. sådan verksamhet som inte utgör handläggning av ärenden. Det kan t.ex. röra sig om att känsliga personuppgifter framkommer vid kommunika- tion mellan skola och föräldrar eller inom myndigheten i samband med utvärdering av den egna verksamheten.

Vid bedömningen av om behandlingen utgör ett otillbörligt intrång bör vikt läggas vid t.ex. uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till att uppgiften behandlas, den spridning uppgifterna kan komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet. Den närmare betydelsen av begreppet otillbörlig bör ges utrymme att utvecklas i rättstillämpningen. (propositionen Ny dataskyddslag, prop. 2017/18:105 s. 88–90).

Dataskyddslagen förbjuder sökning i syfte att få fram ett personurval grundat på känsliga personuppgifter

Som ett skydd av de intressen som bestämmelserna om känsliga person- uppgifter ska värna föreslås i propositionen Ny dataskyddslag (prop. 2017/18:105) att det vid behandling som sker enbart med stöd av någon av de tre ovannämnda bestämmelserna ska vara förbjudet att utföra sök- ningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter (3 kap. 3 § andra stycket dataskyddslagen).

De föreslagna bestämmelserna är mer långtgående än Dataskyddsutred- ningens förslag

De ovan nämnda bestämmelserna i 3 kap. 3 § dataskyddslagen är, mot bakgrund av synpunkter som framförts av remissinstanserna och av Lagrådet, mer långtgående än de bestämmelser som föreslogs av Data- skyddsutredningen. Som ett exempel kan nämnas att bestämmelsen i 3 kap. 3 § första stycket 3 av Dataskyddsutredningen föreslogs få lydel- sen ”i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet”. Bestämmelsen har dock i propo- sitionen Ny dataskyddslag fått lydelsen ”i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.” Detta innebär att Utbildningsdatautredningens förslag, som har utarbetats för att komplettera Dataskyddsutredningens förslag, i vissa fall inte längre behövs, då de behov de avser att tillgodose i stället tillgodoses av de be- stämmelser som föreslås i ovan nämnda proposition. Regeringen åter- kommer till detta nedan, t.ex. i avsnitt 13.3. Då de föreslagna bestäm- melserna i 3 kap. 3 § dataskyddslagen bara får tillämpas av myndigheter och, när det gäller bestämmelsen i paragrafens första stycke 1, enskilda

som jämställs med myndigheter enligt offentlighets- och sekretesslagen, Prop. 2017/18:218 finns det dock fortfarande ett behov av att komplettera bestämmelserna i

dataskyddslagen med bestämmelser i sektorslagstiftningen på utbild- ningsområdet.

13.2.2Övriga bestämmelser om behandling av känsliga personuppgifter

I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås känsliga personuppgifter även få behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd (3 kap. 2 § data- skyddslagen). Känsliga personuppgifter föreslås även få behandlas i vissa andra specifika fall som gäller hälso- och sjukvård och social omsorg, arkiv och statistik (3 kap. 5–7 §§ dataskyddslagen). Vidare föreslås ett bemyndigande för regeringen att meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse (3 kap. 4 § dataskyddslagen).

13.3Kompletterande bestämmelser om känsliga personuppgifter ska införas i skollagen

13.3.1Det finns behov av behandling av känsliga personuppgifter på det skollagsreglerade området

Nedan redogörs översiktligt för de huvudsakliga behandlingarna av känsliga personuppgifter på det skollagsreglerade området.

Det finns behov av behandling av känsliga personuppgifter i vissa skolformer och vid prövningar av mottagande till sådana skolformer

Som framgått av avsnitt 10 finns det i skollagen en särskild reglering i

 

skollagens kapitel om skolplikt som innebär att en viss utredning måste

 

göras innan ett barn kan tas emot i grundsärskolan eller specialskolan

 

(7 kap. 5 och 6 §§ skollagen). Sådana utredningar ska omfatta en pedago-

 

gisk, psykologisk, medicinsk och social bedömning och innebär således

 

att känsliga personuppgifter måste behandlas av hemkommunen

 

respektive Specialpedagogiska skolmyndigheten (SPSM) som beslutar

 

om mottagande. Då det är fråga om ett ärende kan de tillämpa 3 kap. 3 §

 

dataskyddslagen.

 

Gymnasiesärskolan är öppen för ungdomar vars skolplikt har upphört

 

och som inte bedöms ha förutsättningar att nå upp till gymnasieskolans

 

kunskapskrav därför att de har en utvecklingsstörning. De ungdomar som

 

tillhör målgruppen för gymnasiesärskolan har rätt att bli mottagna i gym-

 

nasiesärskola om utbildningen påbörjas före utgången av det första

 

kalenderhalvåret det år de fyller 20 år (18 kap. 4 skollagen). Hemkom-

 

munen prövar frågan om en sökande tillhör målgruppen. Beslutet ska

 

föregås av en utredning motsvarande den som enligt 7 kap. 5 § andra

131

Prop. 2017/18:218 stycket ska göras inför beslut om mottagande i grundsärskolan om utred- ning saknas eller det av andra skäl bedöms nödvändigt (18 kap. 5 §).

 

Även sådana utredningar kan göras med stöd av 3 kap. 3 § dataskydds-

 

lagen).

 

Målet med den särskilda utbildningen för vuxna är att vuxna med

 

utvecklingsstörning ska stödjas och stimuleras i sitt lärande (21 kap. 2 §

 

skollagen). Det är endast vuxna med utvecklingsstörning som har rätt att

 

under vissa förutsättningar delta i särskild utbildning för vuxna på grund-

 

läggande nivå eller som kan vara behörig att delta i särskild utbildning

 

för vuxna på gymnasial nivå (21 kap. 11 § och 16 § skollagen). Något

 

krav på utredning motsvarande de krav som ställs för mottagande till

 

grundsärskolan, specialskolan eller gymnasiesärskolan har dock inte upp-

 

ställts för mottagande till den särskilda utbildningen för vuxna.

 

Genom att alla elever som går i grundsärskolan, specialskolan, gymna-

 

siesärskolan eller särskild utbildning för vuxna har en funktionsned-

 

sättning blir uppgiften om att en elev går i en specialskola, grund- eller

 

gymnasieskola som enbart anordnar särskoleverksamhet eller i särskild

 

utbildning för vuxna en känslig personuppgift om hälsa eftersom skolans

 

inriktning och namn avslöjar att eleven har en funktionsnedsättning.

 

Även övriga uppgifter om elever som behandlas inom en sådan verksam-

 

het kan många gånger, beroende på i vilket sammanhang de förekommer,

 

kopplas till funktionsnedsättning och behöver därför i sådana fall betrak-

 

tas som känsliga personuppgifter.

 

Barn till samer får fullgöra sin skolplikt i sameskolan i stället för i års-

 

kurs 1–6 i grundskolan. Även andra barn får fullgöra den delen av sin

 

skolplikt i sameskolan, om det finns särskilda skäl. Enligt förarbetena till

 

skollagen gäller det t.ex. om ett barn från en ort med sameskola, men

 

utan kommunal grundskola, annars skulle behöva åka till en annan ort

 

med kommunal grundskola (prop. 2009/10:165 s. 701). Frågan om ett

 

barn ska få fullgöra sin skolplikt i sameskolan prövas av Sameskol-

 

styrelsen (7 kap. 7 § skollagen). Sameskolans syfte är att ge en utbildning

 

med samisk inriktning som i övrigt motsvarar utbildningen i årskurserna

 

1–6 i grundskolan (13 kap. 2 § skollagen). Med hänsyn till sameskolans

 

inriktning och att den främst är öppen för barn till samer har utredningen

 

dragit slutsatsen att uppgiften om att ett barn går i samskolan är en

 

uppgift som avslöjat etniskt ursprung och därmed är en känslig person-

 

uppgift. Regeringen anser dock, till skillnad från utredningen, att man

 

inte kan dra den slutsatsen, eftersom bestämmelsen om att även andra

 

barn än barn till samer får fullgöra delar av sin skolplikt i sameskolan om

 

det finns särskilda skäl, medför att man inte enbart genom skolans inrikt-

 

ning och namn kan utläsa elevens etniska ursprung. Härvid ska beaktas

 

att Datainspektionen, när det gäller skolor med konfessionell inriktning, i

 

ett svar till Skolverket, har ansett att enbart en uppgift om att en fysisk

 

person går på en skola som har konfessionell inriktning (1 kap. 7 § skol-

 

lagen) inte ensamt torde avslöja den fysiska personens religiösa eller filo-

 

sofiska övertygelse. Som motivering har Datainspektionen bl.a. angett att

 

skolväsendet ska vara icke-konfessionellt och att en fristående skola ska

 

vara öppen för alla elever, oavsett religiös eller filosofisk övertygelse.

 

Uppgift om att en elev går i en skola med konfessionell skola behöver

 

mot bakgrund av detta inte per automatik avslöja elevens religiösa eller

132

filosofiska övertygelse (Datainspektionen, 2016-12-06, dnr 316–2016).

Regeringen anser mot denna bakgrund att enbart en uppgift om att ett barn går i samskolan skola inte ensamt torde avslöja elevens etniska ur- sprung. Däremot kan denna uppgift tillsammans med andra uppgifter göra det. Sameskolstyrelsen kan vid sin prövning om ett barn ska få full- göra sin skolplikt i sameskolan tillämpa 3 kap. 3 § dataskyddslagen.

Kommuner är huvudmän för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola, kommunal vuxen- utbildning, särskild utbildning för vuxna och fritidshem, om inte staten är huvudman. Staten är huvudman för specialskolan och sameskolan samt för förskoleklass och fritidshem vid en skolenhet med specialskola eller sameskola. Landsting får i viss utsträckning vara huvudman för gymna- sieskola, gymnasiesärskola, kommunal vuxenutbildning och särskild ut- bildning för vuxna. Enskilda får efter ansökan godkännas som huvudmän för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola och fritidshem (2 kap. 2–5 §§ skollagen). Enskilda kan inte tillämpa dataskyddslagens bestämmelser om myndigheters behand- ling av känsliga personuppgifter. Detta innebär att det finns ett behov av att införa kompletterande bestämmelser om behandling av känsliga personuppgifter för de skolformer där enskilda kan vara huvudmän.

Det finns behov av behandling av känsliga personuppgifter inom ramen för olika utredningar

Som har nämnts i avsnitt 10 finns det bestämmelser om olika typer av ut- redningar i skollagen, t.ex. utredning om en elev behöver särskilt stöd (3 kap. § skollagen), utredning med anledning av att en elev vid upprepa- de gånger har stört studieron, uppträtt olämpligt eller gjort sig skyldig till en allvarlig förseelse (5 kap. 9 § skollagen) och utredningar om kränkan- de behandling (6 kap. 10 § skollagen). I sådana utredningar förekommer det ofta förekomma känsliga personuppgifter. I vissa fall åligger utred- ningsskyldigheten rektorn (3 kap. 8 § och 5 kap. 9 §) och i vissa fall ålig- ger utredningsskyldigheten huvudmannen (6 kap. 10 § skollagen). Vid en utredning om särskilt stöd ska samråd ske med elevhälsan om det inte är uppenbart obehövligt.

Det finns behov av behandling av känsliga personuppgifter inom elevhälsan

Elevhälsan omfattar medicinska, psykologiska, psykosociala och special- pedagogiska insatser. Personuppgifter behandlas inom elevhälsan t.ex. i samband med allmänna hälsokontroller som ska erbjudas i vissa skol- former eller vid specialpedagogiska insatser (2 kap. 25 och 26 §§ skol- lagen).

Den del av elevhälsan som består av den medicinska grenen (hälso- och sjukvård) anses utgöra en självständig verksamhetsgren i förhållande till den övriga elevhälsan. För den personuppgiftsbehandling som sker inom hälso- och sjukvården som bedrivs på skolorna gäller patientdata- lagen (2008:355). Förslag till anpassningar av patientdatalagen till data- skyddsförordningen har lämnats i lagrådsremissen Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s data- skyddsförordning. Den personuppgiftsbehandling som äger rum inom

Prop. 2017/18:218

133

Prop. 2017/18:218 den medicinska delen av elevhälsan behandlas därför inte i denna proposition.

Den personuppgiftsbehandling som sker inom elevhälsans psyko- sociala och specialpedagogiska verksamheter omfattas däremot inte av patientdatalagens bestämmelser. Den psykosociala insatsen består av kurator som kan föra stöd-, motivations- och krissamtal liksom utredande och rådgivande samtal med enskilda elever och deras familjer relaterade till skolsituationen. Inom den specialpedagogiska insatsen finns special- pedagoger och speciallärare som t.ex. kan delta i kartläggning av elevers behov av särskilt stöd, genomföra pedagogiska utredningar samt utforma och genomföra åtgärdsprogram. Enstaka specialpedagogiska insatser under en kortare tid, t.ex. två månader, kan även vidtas som en s.k. extra anpassning inom ramen för den ordinarie undervisningen. I sådana fall finns det ingen föregående utredningsskyldighet motsvarande den som finns när det gäller särskilt stöd (3 kap. 5 a § och prop. 2013/14:160 s. 15 f. och 36). Även om en specialpedagog eller motsvarande och, i vissa fall, en skolkurator inte har någon skyldighet att föra patientjournal så har de en dokumentationsskyldighet vid handläggning av enskilda elev- ärenden som avser myndighetsutövning (29 kap. 10 § skollagen). Det kan alltså även inom denna del av elevhälsan finnas ett behov av att kunna behandla uppgifter om hälsa.

Det finns behov av behandling av känsliga personuppgifter i andra fall

Det förekommer även utanför elevhälsan att uppgifter om hälsa behöver behandlas. Ett exempel är skolmatsalspersonalen som behöver kunna be- handla uppgifter om specialkost p.g.a. allergier eller religiös övertygelse. För att kunna möjliggöra en ändamålsenlig undervisningssituation kan även uppgifter om funktionsnedsättning behöva behandlas utanför elev- hälsan. Vidare kan åtgärdsprogram innehålla uppgifter om ett barns eller en elevs hälsa. Ett åtgärdsprogram är en samlad dokumentation av elevens behov av särskilt stöd och en skriftlig bekräftelse av de särskilda stödåtgärder som ska sättas in.

Även uppgifter om vilka barn och elever som begärt modersmålsunder- visning måste kunna behandlas. Datainspektionen har ansett att en upp- gift om en persons modersmål i vissa fall kan vara en uppgift som in- direkt avslöjar etniskt ursprung (Datainspektionens rapport 2002:2, Behandling av elevers personuppgifter i grundskolan, s. 8). Vidare har regeringen tidigare bedömt att en isolerad uppgift om medborgarskap eller uppgifter om nationalitet eller ursprungsland inte avslöjar vare sig ras eller etniskt ursprung (prop. 2001/02:144 s. 41 och prop. 2009/10:85 s. 325). En uppgift om modersmål torde alltså i sig inte vara en känslig personuppgift men uppgiften kan, beroende på i vilket sammanhang den förekommer, bedömas vara en uppgift om etniskt ursprung vilket är en känslig personuppgift. En bedömning måste således göras i det enskilda fallet. Vidare skulle den uppgiften, tillsammans med andra uppgifter om den fysiska personen, kunna avslöja dennes religiösa eller filosofiska övertygelse och därmed utgöra känsliga personuppgifter.

Elever i t.ex. grundskolan har under vissa förutsättningar rätt till kost- nadsfri skolskjuts (10 kap. 32 § skollagen). En anledning till att en elev

har behov av skolskjuts kan vara att eleven har en funktionsnedsättning.

134

Det är elevens hemkommun som ska ombesörja att skolskjuts anordnas. Prop. 2017/18:218 För prövningen av en elevs rätt till skolskjuts kan kommunen komma att

få in handlingar som innehåller uppgifter om elevens hälsa. Kommunen kan även i sitt beslut behöva skriva in uppgifter som rör elevens hälsa. Det är inte ovanligt att kommuner upphandlar själva skolskjutsen. I dessa fall kan det finnas behov av att överföra vissa uppgifter om elever, t.ex. att en elev har rullstol, till taxibolaget som utför skolskjutsen för att möj- liggöra en ändamålsenlig skolskjuts. En sådan uppgift är en indirekt upp- gift om elevens hälsa.

Känsliga personuppgifter om hälsa kan även behöva behandlas i sam- band med att skolbibliotek förfogar över upphovsrättsligt skyddade verk som elever med funktionsnedsättning behöver för att kunna ta del av ver- ken, t.ex. genom att överföra dem till den funktionsnedsatte enligt lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.

För att kommunerna ska kunna uppfylla sina åligganden i egenskap av hemkommun enligt skollagen har de även ett behov av att kunna behand- la känsliga personuppgifter i samband med att de för en förteckning över var skolpliktiga barn fullgör sin skolplikt (7 kap. 21 § skollagen) samt i ärenden rörande mottagande av ett barn i grundsärskolan (7 kap. 5 § skollagen) och om en sökande tillhör målgruppen för gymnasiesärskolan (18 kap. 5 § skollagen). Även i ärenden om tilläggsbelopp till t.ex. en fristående skola för en elev som har ett omfattande behov av särskilt stöd har hemkommunen ett behov av att kunna behandla känsliga personupp- gifter i form av uppgifter om den enskilde elevens hälsa (10 kap. 39 § skollagen). Sådana uppgifter kan även förekomma om en ansökan om tilläggsbelopp överklagas med stöd av 28 kap. 5 § skollagen.

Som har nämnts tidigare finns det behov av att införa kompletterande bestämmelser för enskilda huvudmän och andra enskilda aktörer på det skollagsreglerade området. I vilken utsträckning dataskyddslagen behö- ver kompletteras behandlas i avsnitt 13.3.2–13.3.10.

13.3.2Ytterligare reglering av behandling av känsliga personuppgifter som krävs enligt lag behövs inte

Regeringens bedömning: För behandling av känsliga personuppgifter som krävs enligt lag behövs det på det skollagsreglerade området inte någon ytterligare reglering som motsvarar den som föreslås i dataskyddslagen.

Utredningens förslag: Utredningen föreslår att det i skollagen ska införas en bestämmelse om att huvudmän, hemkommuner och aktörer som bedriver verksamhet som avser en särskild utbildningsform eller annan pedagogisk verksamhet ska få behandla känsliga personuppgifter om uppgifterna har lämnats till organet och behandlingen krävs enligt lag.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot förslaget. Friskolornas riks- förbund tillstyrker utredningens förslag om särskild reglering.

Datainspektionen avstyrker utredningens förslag i dess nuvarande ut-

formning och ifrågasätter om utformningen av undantaget kan anses ut-

135

Prop. 2017/18:218 trycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Dataskydd.net avstyrker förslaget och anser att

 

dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

 

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts

 

tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning

 

överensstämmer med regeringens bedömning i detta avsnitt. De

 

tillstyrker eller har inga synpunkter på bedömningen.

 

Skälen för regeringens bedömning: I propositionen Ny dataskydds-

 

lag (prop. 2017/18:105) föreslås en bestämmelse om att myndigheter får

 

behandla känsliga personuppgifter om uppgifterna har lämnats till myn-

 

digheten och behandlingen krävs enligt lag (3 kap. 3 § första stycket 1

 

dataskyddslagen). I propositionen föreslås även att vid tillämpningen av

 

bestämmelsen ska andra organ än myndigheter jämställas med myndig-

 

heter, i den mån bestämmelserna om allmänna handlingar och sekretess i

 

tryckfrihetsförordningen och offentlighets- och sekretesslagen

 

(2009:400) gäller i organets verksamhet (3 kap. 3 § tredje stycket data-

 

skyddslagen).

 

Förslagen innebär att förskolor, skolor och vuxenutbildningsenheter

 

som drivs av kommuner, landsting eller staten även fortsättningsvis kom-

 

mer att kunna uppfylla de åligganden enligt framför allt offentlighets-

 

och sekretesslagens och förvaltningslagens bestämmelser om hur all-

 

männa handlingar ska hanteras, exempelvis genom krav på diarieföring

 

och skyldighet att ta emot e-post. Detsamma gäller kommunerna när de

 

utför sina övriga åligganden enligt skollagen.

 

Offentlighetsprincipen är i dag inte tillämplig på skolor, förskolor eller

 

fritidshem med enskild huvudman. Regeringen har dock i lagrådsremis-

 

sen Offentlighetsprincipen ska gälla i fristående skolor föreslagit att en

 

ny bestämmelse ska införas i offentlighets- och sekretesslagen med inne-

 

börden att vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del

 

av allmänna handlingar hos myndigheter i tillämpliga delar ska gälla

 

också handlingar hos huvudmän för fristående skolor. Huvudmännen ska

 

enligt förslaget vid tillämpningen av offentlighets- och sekretesslagen

 

jämställas med myndigheter. Förslaget innebär bl.a. att de fristående

 

skolorna blir skyldiga att registrera sina allmänna handlingar enligt

 

samma principer som gäller för myndigheter. Bestämmelserna föreslås

 

träda i kraft den 1 juli 2019.

 

Vidare har Utredningen om ökad insyn i välfärden i betänkandet Ökad

 

insyn i välfärden (SOU 2016:62) på motsvarande sätt föreslagit att

 

offentlighetsprincipen bör gälla för juridiska personer som i egenskap av

 

enskilda huvudmän driver förskola eller fritidshem, för privata aktörer

 

som enligt avtal med kommun, enskild huvudman eller landsting utför

 

uppgifter enligt 23 kap. skollagen (entreprenad) med undantag av verk-

 

samhet som regleras i 25 kap. skollagen, samt för privat folkhögskola

 

som anordnar utbildning som motsvarar kommunal vuxenutbildning i

 

svenska för invandrare (enligt 24 kap. 11–15 §§ skollagen). Betänkandet

 

bereds inom Regeringskansliet.

 

De föreslagna bestämmelserna i dataskyddslagen innebär att en skol-

 

huvudman för vilken offentlighetsprincipen och sekretesslagstiftningen

 

gäller får behandla känsliga personuppgifter om behandlingen krävs en-

 

ligt lag. Detta gäller oavsett om huvudmannen är offentlig eller enskild.

136

Om enskilda skolhuvudmän framöver kommer att omfattas av offentlig-

hetsprincipen kommer de alltså att kunna utföra behandling av känsliga Prop. 2017/18:218 personuppgifter som krävs enligt lag med stöd av den i dataskyddslagen

föreslagna bestämmelsen. Någon ytterligare bestämmelse kommer då inte krävas för att möjliggöra enskilda skolhuvudmäns behandling.

Utredningen har dock föreslagit att även enskildas möjlighet att be- handla känsliga personuppgifter, om uppgifterna har lämnats till organet och behandlingen krävs enligt lag, bör regleras i skollagen. Som framgår av avsnitt 12, anser dock regeringen att det saknas behov av att i skol- lagen införa en bestämmelse som innebär en dubbelreglering av vad som följer av dataskyddslagen.

I ärenden som avser myndighetsutövning mot någon enskild ska även enskilda huvudmän tillämpa vissa bestämmelser i förvaltningslagen, bl.a. om partsinsyn (29 kap. 10 § skollagen). Dessa bestämmelser är dock en- dast tillämpliga i ärenden. I nästa avsnitt föreslås att det i skollagen ska införas en bestämmelse som möjliggör enskildas behandling av känsliga personuppgifter i ärenden. Någon ytterligare reglering för enskilda huvudmän och andra enskilda aktörer inom det skollagsreglerade om- rådet behövs därför inte i detta avseende.

13.3.3Behandling av känsliga personuppgifter som är nödvändig för en hantering som motsvarar handläggningen av ett ärende ska tillåtas

Regeringens förslag: En enskild huvudman inom skolväsendet eller en enskild aktör som bedriver verksamhet inom en särskild utbildningsform eller annan pedagogisk verksamhet ska med stöd av artikel 9.2 g i EU:s dataskyddsförordning få behandla känsliga personuppgifter, om behand- lingen är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet.

Utredningens förslag: Överensstämmer delvis med regeringens för- slag. Utredningens förslag omfattar behandling av känsliga person- uppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. I fråga om utredningens förslag att i sektorslagstiftningen dubbelreglera vad som gäller för myndigheter enligt dataskyddslagen, se avsnitt 12.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot förslaget. Friskolornas riks- förbund och Academedia AB tillstyrker utredningens förslag.

Justitiekanslern (JK) anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

Sveriges Kommuner och Landsting (SKL) anser att det kan vara så att ytterligare bestämmelser, utöver de som utredningen har föreslagit, be- höver införas i författning. SKL saknar resonemang kring hur huvudmän inom skolväsendet ska hantera känsliga personuppgifter som är nöd- vändiga att hantera i faktisk verksamhet och inte är kopplade till ett ärende eller elevhälsan.

Datainspektionen avstyrker förslaget i dess nuvarande utformning och

ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det

137

Prop. 2017/18:218 krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Dataskydd.net avstyrker förslaget och anser att

 

dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

 

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts

 

tillfälle att yttra sig över vissa delar av ett utkast till lagrådsremiss, vars

 

förslag överensstämmer med regeringens förslag i detta avsnitt. Statens

 

skolinspektion, Specialpedagogiska skolmyndigheten, Sameskolstyrelsen,

 

SKL och Friskolornas Riksförbund tillstyrker eller har inget att erinra

 

mot förslaget. Statens skolverk anser att formuleringen är otydlig och

 

oprecis och att det därför är svårt att utläsa när bestämmelsen ska

 

tillämpas. Om bestämmelsen avser att motsvara det tillämpningsområde

 

som anges i 1 § förvaltningslagen (2017:900) anser Skolverket att det bör

 

framgå.

 

Skälen för regeringens förslag: Enligt propositionen Ny dataskydds-

 

lag är myndighetsutövning och övriga uppgifter av allmänt intresse som

 

myndigheter har befogenhet att utföra alltid fastställda i enlighet med

 

svensk rätt. Behandling av personuppgifter kan därmed ske på denna

 

rättsliga grund. Enligt regeringens bedömning i den propositionen står

 

det också klart att det är ett viktigt allmänt intresse att myndigheternas

 

ärendehandläggning kan ske på ett effektivt och rättssäkert sätt (prop.

 

2017/18:105 s. 87). I dataskyddslagen föreslås också en bestämmelse om

 

att myndigheter får behandla känsliga personuppgifter om behandlingen

 

är nödvändig för handläggningen av ett ärende (3 kap. 3 § första

 

stycket 2 dataskyddslagen).

 

Bestämmelsen i dataskyddslagen innebär att förskolor, skolor och

 

vuxenutbildningsenheter som drivs av kommuner, landsting eller staten

 

även fortsättningsvis kommer att kunna behandla känsliga personupp-

 

gifter om behandlingen är nödvändig för handläggningen av ett ärende.

 

För dessa huvudmän krävs således ingen ytterligare reglering för att

 

kunna behandla känsliga personuppgifter i detta avseende. Detsamma

 

gäller för en hemkommuns möjlighet att behandla känsliga personuppgif-

 

ter om behandlingen är nödvändig för handläggningen av ett ärende.

 

Enskilda huvudmän för förskolor och skolor omfattas beträffande ut-

 

förandet av den aktuella utbildningen av samma bestämmelser i skol-

 

lagen som de offentliga huvudmännen. Vidare anges i skollagen att vissa

 

beslut som fattas av en enskild huvudman eller rektor i en fristående

 

skola får överklagas hos allmän förvaltningsdomstol (28 kap. 6 och 9 §§

 

skollagen). Andra typer av beslut som fattas av en enskild huvudman

 

eller rektor i en fristående skola får överklagas hos Skolväsendets över-

 

klagandenämnd (28 kap. 13 och 16 §§ skollagen). I ärenden som avser

 

myndighetsutövning mot någon enskild enligt skollagen hos en kommun,

 

ett landsting, eller en enskild huvudman ska vidare vissa uppräknade

 

bestämmelser i förvaltningslagen (1986:223) tillämpas (29 kap. 10 och

 

11 §§ skollagen). Så föreslås även bli fallet när den nya förvaltningslagen

 

(2017:900) träder i kraft den 1 juli 2018 (Ds 2017:42 Följdändringar till

 

ny förvaltningslag).

 

De enskilda huvudmännen har således, i de fall det är relevant och nöd-

 

vändigt, samma behov av att kunna behandla känsliga personuppgifter i

 

sina ärenden som de offentliga huvudmännen. Det kan t.ex. gälla utred-

 

ningar om särskilt stöd och åtgärdsprogram (7 kap. 8 och 9 §§ skollagen)

138

och anmälningar och utredningar om kränkande behandlingar (6 kap.

10 § skollagen). Vidare kan en fristående förskola eller fristående skola i en ansökan om tilläggsbelopp för elever som har ett omfattande behov av särskilt stöd, eller vid överklagande av ett beslut om ett sådant tilläggsbelopp, behöva behandla uppgifter om elevens hälsa för att kunna styrka behovet av särskilt stöd (t.ex. 9 kap. 21 §, 10 kap. 39 § och 28 kap. 5 § skollagen). I dagsläget kan sådan behandling av känsliga person- uppgifter ske med stöd av 5 a § PUL, men den saknar motsvarighet i dataskyddsförordningen.

Enligt regeringens bedömning är även de enskilda huvudmännen i förhållande till eleverna bundna av legalitetsprincipen. Det krävs således även för dessa att det finns någon form av förankring i skollagen med tillhörande föreskrifter för deras verksamhet.

Regeringen anser därför, till skillnad mot Dataskydd.net, att det finns behov av att i skollagen införa en bestämmelse för enskilda huvudmän som så långt som möjligt motsvarar dataskyddslagen bestämmelse om behandling av känsliga personuppgifter vid handläggningen av ett ärende hos en myndighet, och att det även i detta fall är fråga om behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse. I författ- ningskommentaren till bestämmelsen i dataskyddslagen anges att be- greppen handläggning och ärende tolkas på samma sätt som enligt förvaltningslagen. Eftersom förvaltningslagen inte är generellt tillämplig för enskilda utbildningsanordnare bör bestämmelsen i skollagen for- muleras på ett något annorlunda sätt. Justitiekanslern (JK) har förordat att så likartade lagtekniska lösningar som möjligt väljs med anledning av EU:s dataskyddsreform. Bestämmelsen i dataskyddslagen hänvisar inte till förvaltningslagen. Regeringen anser därför att bestämmelsen, trots Skolverket synpunkt, inte heller bör hänvisa till den lagen, utan bör ut- formas så att den gäller vid hantering som motsvarar handläggningen av ett ärende hos en myndighet.

Utbildningsdatautredningen har i sitt betänkande föreslagit att bestäm- melsen ska omfatta behandling av känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för hand- läggningen av det (SOU 2017:49). Den i propositionen Ny dataskyddslag (prop. 2017/18:108) föreslagna bestämmelsen för myndigheter är dock mer långtgående (se avsnitt 13.2.1). Den möjliggör för myndigheter att behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende. Regeringen anser att den kompletterande regleringen i skollagen bör utformas på ett sätt som motsvarar regle- ringen i dataskyddslagen. När det gäller Sveriges Kommuner och Landstings (SKL) synpunkt om att ytterligare bestämmelser för be- handling av känsliga personuppgifter kan behövas, kan konstateras att regeringens förslag innebär ett bredare tillämpningsområde än utred- ningens förslag. Regeringen återkommer dock till SKL:s synpunkt i avsnitt 13.3.8.

När det gäller Datainspektionen ifrågasättande av om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen kan konstateras att Datainspektionen framfört motsvarande synpunkt i fråga om den i data- skyddslagen föreslagna bestämmelsen. Regeringen har dock i propo- sitionen Ny dataskyddslag gjort bedömningen att myndighetsutövning och övriga uppgifter av allmänt intresse som myndigheter har befogenhet

Prop. 2017/18:218

139

Prop. 2017/18:218 att utföra alltid är fastställda i enlighet med svensk rätt. Behandling av personuppgifter kan därmed ske på denna rättsliga grund. Enligt regeringens bedömning står det klart att det också är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt (prop. 2017/18:105 s. 87 f.). Regeringen saknar anledning att nu i fråga om bestämmelsen i skollagen göra någon annan bedömning. Dessutom anser regeringen att det står klart att utbildning utgör ett viktigt allmänt intresse, även då den bedrivs av enskilda huvudmän (se avsnitt 8). Även bestämmelsen i skollagen bör därför avse behandling av känsliga personuppgifter i motsvarigheten till ärenden. Detta är också i linje med vad JK förordat i fråga om likartade lag- tekniska lösningar med anledning av EU:s dataskyddsreform.

Eftersom de aktuella huvudmännen har möjlighet att utföra dessa behandlingar redan i dagsläget med stöd av 5 a § PUL bedömer rege- ringen att integritetsintrånget för den enskilde varken blir större eller mindre genom att en sådan bestämmelse införs. Syftet med bestämmel- sen är att huvudmännen ska kunna behandla känsliga personuppgifter när så behövs för att de ska kunna uppfylla sina skyldigheter enligt skollagen och anslutande föreskrifter. Då bestämmelsen bara tillåter huvudmännen att behandla sådana uppgifter då behandlingen är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet anser regeringen att bestämmelsen står i proportion till det eftersträvande syftet.

13.3.4Behandling av känsliga personuppgifter ska tillåtas i annat fall om det inte innebär ett otillbörligt intrång

Regeringens förslag: En enskild huvudman inom skolväsendet eller en enskild aktör som bedriver verksamhet inom en särskild utbildningsform eller annan pedagogisk verksamhet, ska med stöd av artikel 9.2 g i EU:s dataskyddsförordning även få behandla känsliga personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integ- ritet.

Utredningens förslag: Överensstämmer delvis med regeringens för- slag. Utredningens förslag omfattar behandling i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga inte- gritet. I fråga om utredningens förslag att i sektorslagstiftningen dubbel- reglera vad som gäller för myndigheter enligt dataskyddslagen, se avsnitt 12.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot förslaget. Friskolornas riks- förbund och Academedia AB tillstyrker utredningens förslag.

Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

140

Uppsala universitet anser att begreppet otillbörligt intrång är vagt och kan få en vidsträckt tolkning.

Datainspektionen avstyrker förslaget i dess nuvarande utformning. Datainspektionen anser att begreppet absolut nödvändigt är ett begrepp som skapar otydlighet. Datainspektionen ifrågasätter även om en bestäm- melse som gäller i enstaka fall är tillräckligt för skolornas behandling av uppgifter om specialkost och pekar på vikten av en genomlysning av skolornas behov av behandling av personuppgifter som utgångspunkt för en mer specifik reglering. Sveriges Kommuner och Landsting anser att det kan vara så att ytterligare bestämmelser, utöver de som utredningen har föreslagit, behöver göras i författning. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över utkast till lagrådsremiss, vars förslag överensstämmer med regeringens förslag i detta avsnitt. De tillstyrker eller har inga synpunkter på förslaget.

Skälen för regeringens förslag: I propositionen Ny dataskyddslag (2017/18:105) föreslås att en myndighet, utöver behandling av känsliga personuppgifter som krävs enligt lag eller som är nödvändig för hand- läggningen av ett ärende, även i annat fall ska få behandla känsliga per- sonuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3).

Som angetts i avsnitt 8 anser regeringen att anordnande och bedrivande av utbildning utgör ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Som exempel på när bestämmelsen i dataskyddslagen kan vara tillämplig anges också faktisk verksamhet såsom i kommunikation mellan skola och föräldrar (propositionen Ny dataskyddslag, prop. 2017/18:108 s. 88). Vid sådan kommunikation kan det t.ex. finnas behov av att behandla känsliga personuppgifter om bar- nets hälsa. Ett annat exempel på när bestämmelsen kan vara tillämplig är vid behandling av uppgifter om behov av specialkost på grund av allergi eller religiös övertygelse. Även inom t.ex. elevhälsans psykosociala och specialpedagogiska insatser kan det förekomma situationer när bestäm- melsen är tillämplig.

Bestämmelsen i dataskyddslagen är tillämplig på kommunal verk- samhet och verksamhet vars huvudman är staten, ett landsting eller en kommun. De enskilda huvudmännen och privata aktörerna som bedriver utbildningsverksamhet enligt skollagen har, som angetts i avsnitt 13.3.3, samma behov av att kunna behandla känsliga personuppgifter som de offentliga huvudmännen.

Utbildningsdatautredningen har i sitt betänkande föreslagit att den kompletterande bestämmelsen i skollagen ska omfatta behandling av känsliga personuppgifter i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otill- börligt intrång i den registrerades personliga integritet. Den bestämmelse som föreslås i propositionen Ny dataskyddslag för myndigheter är mer långtgående (se avsnitt 13.2.1). Den innebär att en myndighet även i annat fall ska få behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen

Prop. 2017/18:218

141

Prop. 2017/18:218 inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3). Regeringen anser att den kompletterande regleringen i skollagen bör utformas på ett sätt som motsvarar regle- ringen i dataskyddslagen. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform. Eftersom det redan konstaterats i avsnitt 8 att anordnande och bedrivande av utbildning utgör ett viktigt allmänt intres- se anser regeringen att det är tillräckligt att i den kompletterande bestäm- melsen i skollagen ange att behandlingen av personuppgifter ska vara nödvändig i verksamheten. I övrigt bör bestämmelsens utformning följa den formulering som föreslås i dataskyddslagen.

Regeringens uppfattning är att en sådan bestämmelse står i proportion till det eftersträvade syftet. Då en behandling bara får ske om den är nödvändig av hänsyn till ett viktigt intresse och inte innebär ett otill- börligt intrång i den registrerades personliga integritet tillgodoses enligt regeringen dataskyddsförordningens krav på proportionalitet och skydd- såtgärder. Regeringen föreslår i avsnitt 13.3.10 dessutom en särskild sökbegränsning. Av avsnitt 13.3.5, 13.3.6 och 13.3.8 framgår fler exem- pel på när bestämmelsen bedöms vara tillämplig.

13.3.5Ytterligare rättsligt stöd för behandling av känsliga personuppgifter om hälsa behövs inte

Regeringens bedömning: Något ytterligare rättsligt stöd för behand- ling av känsliga personuppgifter om hälsa behövs inte på det skol- lagsreglerade området.

Utredningens förslag: Utredningen föreslår att det ska införas en be- stämmelse i skollagen om att känsliga personuppgifter om hälsa ska få behandlas med stöd av artikel 9.2 g i dataskyddsförordningen om det är nödvändigt för ändamålet med behandlingen och behandlingen inte inne- bär ett otillbörligt intrång i den registrerades personliga integritet i sådana verksamheter där utredningen bedömer att all personuppgifts- behandling utgör behandling av känsliga personuppgifter. Förslaget om- fattar därmed grundsärskolan, specialskolan, gymnasiesärskolan, särskild utbildning för vuxna, gymnasieskolan med Rh-anpassad utbildning, ut- bildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning samt fristående förskoleklasser, fristående grundskolor och fristående gymnasieskolor som har begränsats till att avse elever som är i behov av särskilt stöd.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Göte- borgs kommun är särskilt positiv till att utöka möjligheten för anordnare av t.ex. grundsärskola att på ett mer systematiskt sätt kunna behandla känsliga personuppgifter. Academedia AB tillstyrker utredningen förslag.

Friskolornas riksförbund anser att den föreslagna bestämmelsen som avser fristående skolor som har begränsat sitt mottagande till att avse elever som är i behov av särskilt stöd behöver kompletteras med mot- svarande möjlighet för fristående förskolor.

142

Stockholms kommun delar i stort utredningens förslag. Kommunen Prop. 2017/18:218 påpekar dock att när det gäller skolor som begränsats till att avse elever

som är i behov av särskilt stöd för sin utveckling (s.k. resursskolor) har Högsta förvaltningsdomstolen i en dom den 28 juni 2016 i mål 3086-16 har slagit fast att även offentliga huvudmän kan inrätta s.k. resursskolor. Därför anser förvaltningen att förslaget bör utvidgas så att även skolor med offentliga huvudmän får rätt att behandla känsliga personuppgifter vad avser elever i s.k. resursskolor.

Riksförbundet för barn, unga och vuxna med utvecklingsstörning

 

(FUB) vill inte att behandling av personuppgifter om hälsa, förutom i

 

elevhälsan, ska kunna behandlas utan samtycke i grundsärskolan,

 

specialskolan, gymnasiesärskolan och särskild utbildning för vuxna.

 

Sveriges Kommuner och Landsting (SKL) saknar en mer fullständig in-

 

ventering av vilka behandlingar av känsliga personuppgifter som är nöd-

 

vändiga för att huvudmän och hemkommunen enligt skollagen ska anses

 

fullgöra bestämmelserna i skollagen. Enligt SKL kan det därför vara så

 

att ytterligare bestämmelser, utöver de som utredningen har föreslagit,

 

behöver göras i författning. SKL saknar bl.a. resonemang kring hur

 

huvudmän inom skolväsendet ska hantera känsliga personuppgifter som

 

är nödvändiga att hantera i faktisk verksamhet och inte är kopplade till

 

ett ärende eller elevhälsan. SKL anser också att det kan vara ett problem

 

att specifikt räkna upp i vilka fall känsliga personuppgifter får behandlas

 

i skollagen. En uppräkning av tillåtna behandlingar innebär att när nya

 

befogenheter eller skyldigheter införs för huvudmän eller hemkommunen

 

enligt skollagen måste lagstiftaren överväga om den nya befogenheten

 

eller skyldigheten innebär att det är nödvändigt att behandla känsliga

 

personuppgifter och om en sådan behandling ska vara tillåten eller inte.

 

Datainspektionen avstyrker förslaget i dess nuvarande utformning och

 

ifrågasätter hur bestämmelsen uppfyller kravet på ett viktigt allmänt

 

intresse enligt artikel 9.2 g i dataskyddsförordningen. Datainspektionen

 

anser även att de av utredningen föreslagna bestämmelserna som rör

 

känsliga personuppgifter inte är tillräckliga för skolornas behandling av

 

uppgifter om specialkost. Dataskydd.net avstyrker förslaget och anser att

 

dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

 

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts

 

tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning

 

överensstämmer med regeringens bedömning i detta avsnitt. De tillstyr-

 

ker eller har inga synpunkter på bedömningen.

 

Skälen för regeringens bedömning

 

Ytterligare rättsligt stöd för behandling av personuppgifter om hälsa

 

behövs inte i grundsärskolan, specialskolan, gymnasiesärskolan eller

 

särskild utbildning för vuxna

 

Som nämnts i avsnitt 13.3.1 är behandling av alla personuppgifter om en

 

elev i grundsärskolan, specialskolan, gymnasiesärskolan och särskild

 

utbildning för vuxna en behandling av känsliga personuppgifter. Anled-

 

ningen till detta är att det endast är elever med funktionsnedsättning som

 

tillhör målgruppen för dessa skolformer och enbart uppgiften om att

 

eleven går i den skolan innebär därmed att man får reda på en uppgift om

 

elevens hälsa. Det innebär att huvudmännen måste tillämpa de särskilda

143

 

Prop. 2017/18:218 bestämmelserna som gäller för behandling av känsliga personuppgifter på all personuppgiftsbehandling, dvs. även för elevadministration som

 

t.ex. kontaktuppgifter, elevregister, närvarorapportering, klasslistor och

 

ämnesval. Det är uppgifter som, bortsett från att eleven går i en viss skol-

 

form, vanligen är harmlösa uppgifter. Även behandling av personupp-

 

gifter i samband med t.ex. dokumentation inför och vid skrivandet av

 

utvecklingsplaner omfattas av de särskilda bestämmelser som rör be-

 

handling av känsliga personuppgifter. Vidare är det med hänsyn till den

 

digitalisering som skett inom offentlig verksamhet i dag nödvändigt att

 

kunna behandla elevernas personuppgifter automatiserat, t.ex. i ett elev-

 

register, och inom den faktiska verksamheten såsom undervisningen.

 

Behandlingen av de känsliga personuppgifterna är därmed nödvändig för

 

det viktiga allmänna intresse som anordnande och bedrivande av utbild-

 

ning utgör. När det gäller skälen för att anordnande och bedrivande av

 

utbildning utgör ett viktigt allmänt intresse hänvisas till avsnitt 8.

 

I dagsläget är det rättsliga stödet för att behandlingen av de känsliga

 

personuppgifterna främst samtycke. Regeringen anser, till skillnad från

 

Riksförbundet för barn, unga och vuxna med utvecklingsstörning (FUB),

 

att samtycke inte är ett lämpligt rättsligt stöd för behandlingen av käns-

 

liga personuppgifter i dessa skolformer, eftersom lagstiftaren ålägger

 

huvudmännen skyldigheter gentemot eleven och då huvudmannen för att

 

kunna uppfylla dessa åligganden måste kunna behandla relevanta person-

 

uppgifter om eleven. Det framgår vidare av skäl 43 till dataskyddsförord-

 

ningen att samtycke inte bör utgöra giltig rättslig grund för behandling av

 

personuppgifter i ett särskilt fall där det råder betydande ojämlikhet

 

mellan den registrerade och den personuppgiftsansvarige, särskilt om den

 

personuppgiftsansvarige är en offentlig myndighet och det därför är

 

osannolikt att samtycket har lämnats frivilligt när det gäller alla för-

 

hållanden som denna särskilda situation omfattar.

 

De i dataskyddslagen föreslagna bestämmelserna som möjliggör dels

 

behandling av känsliga personuppgifter som krävs enligt lag, dels be-

 

handling av känsliga personuppgifter som är nödvändig för handlägg-

 

ningen av ett ärende (3 kap. 3 § första stycket 1 och 2) kommer inte kun-

 

na tillämpas på all den behandling av elevernas personuppgifter som sker

 

i bl.a. den elevadministrativa verksamheten. Däremot bedömer rege-

 

ringen att behandlingen hos myndigheter kommer kunna ske med stöd av

 

den i dataskyddslagen föreslagna bestämmelsen som möjliggör behand-

 

ling av känsliga personuppgifter i annat fall om behandlingen är nöd-

 

vändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otill-

 

börligt intrång i den registrerades integritet (3 kap. 3 § första stycket 3). I

 

avsnitt 13.3.4 föreslås en motsvarande bestämmelse införas i skollagen

 

för enskilda huvudmän och aktörer enligt 24 och 25 kap. skollagen.

 

Behandling av de nu aktuella uppgifterna hos enskilda kommer därmed

 

kunna ske med stöd av den bestämmelsen. Regeringen bedömer därför

 

att det inte finns något behov av ytterligare reglering för att möjliggöra

 

behandling av hälsa.

 

Elevernas personuppgifter behandlas redan i dagsläget automatiserat i

 

särskolor, specialskolor och särskild utbildning för vuxna i t.ex. elev-

 

register. De föreslagna bestämmelserna om behandling av känsliga

 

personuppgifter för myndigheter och enskilda möjliggör den behandling

144

av personuppgifter som sker i dag. De föreslagna bestämmelserna inne-

håller även åtgärder till skydd för den registrerade genom att behand- Prop. 2017/18:218 lingen endast får utföras om den är nödvändig och inte innebär ett otill-

börligt intrång i den registrerades personliga integritet och bedöms därför stå i proportion till det eftersträvade syftet.

Ytterligare rättsligt stöd för behandling av personuppgifter om hälsa i verksamhet som avser elever i behov av särskilt stöd behövs inte heller

Huvudregeln är att fristående skolor ska vara öppna för alla elever. En huvudman för en fristående förskoleklass, grundskola, grundsärskola och gymnasieskola får dock begränsa sitt mottagande till att avse elever som är i behov av särskilt stöd (9 kap. 17 §, 10 kap. 35 § 2, 11 kap. 34 § 2 och 15 kap. 33 § 1 skollagen). Skolorna med begränsat mottagande riktar sig ofta till elever med neuropsykiatriska funktionsnedsättningar som Atten- tion Deficit Hyperactivity Disorder (ADHD) och autismspektrumtillstånd (AST). Många skolor anger samtidigt att de även riktar sig till elever med annan problematik, bl.a. elever med social problematik eller elever med tidigare skolmisslyckanden (Skolverket, Fristående skolor för elever i behov av särskilt stöd – en kartläggning, Rapport nr 409, 2014, s. 8).

Regeringen anser att en uppgift om att en elev går i en fristående skola som begränsat sitt mottagande till elever som är i behov av särskilt stöd vanligen är en känslig personuppgift på motsvarande sätt som när det gäller en uppgift om att en elev går i t.ex. en grundsärskola, se under föregående rubrik. Anledningen är att skolorna endast mottar elever som är i behov av det slag av särskilt stöd som huvudmannen bestämt och en- bart uppgiften om att eleven går vid den skolan innebär därför att man får reda på en uppgift om elevens hälsa. Även övriga uppgifter om elever som behandlas inom en sådan verksamhet kan många gånger, beroende på i vilket sammanhang de förekommer, kopplas till en elevs hälsa och behöver därför i sådana fall betraktas som känsliga personuppgifter.

Friskolornas riksförbund anser att en bestämmelse som motsvarar utredningens förslag bör införas även för fristående förskolor. För fri- stående förskolor finns visserligen inte någon bestämmelse i skollagen som innebär att de kan begränsa sitt mottagande till att avse elever som är i behov av särskilt stöd. I 8 kap. 18 § skollagen anges dock att varje fristående förskola ska vara öppen för alla barn som ska erbjudas för- skola, om inte den kommun där förskoleenheten är belägen medger undantag med hänsyn till verksamhetens särskilda karaktär. Det kan där- för i dag finnas fristående förskolor som har, eller förskolor som fram- gent kommer att kunna ha, ett beslut om godkännande att begränsa sitt mottagande till barn i behov av särskilt stöd. Regeringen delar därför förbundets uppfattning om att även dessa verksamheter behöver kunna behandla känsliga personuppgifter om hälsa. Som Stockholms kommun påpekar gäller detsamma resursskolor som inrättas av offentliga huvud- män. Utifrån hur de i 3 kap. 3 § första stycket 3 dataskyddslagen och i avsnitt 13.3.4 föreslagna bestämmelserna om behandling av känsliga personuppgifter har utformats kommer dock behandlingen omfattas av dessa bestämmelser. Någon ytterligare reglering behövs därför enligt regeringens bedömning inte heller för dessa verksamheter.

145

Prop. 2017/18:218

146

Inte heller behövs ytterligare rättsligt stöd för behandling av personuppgifter om hälsa i vissa kommunala gymnasieskolor

Speciellt anpassad utbildning (Rh-anpassad) gymnasieutbildning anord- nas för ungdomar med svårt rörelsehinder (15 kap. 9 § första stycket skollagen). Den Rh-anpassade utbildningen ska så långt det är möjligt integreras med motsvarande utbildning i gymnasieskolan (11 kap. 1 § gymnasieförordningen [2010:2039]). Vidare får Örebro kommun i sin gymnasieskola anordna utbildning för döva och hörselskadade från hela landet (10 kap. 1 § gymnasieförordningen). Utbildningen ska vända sig även till dem som på grund av språkstörning behöver insatser av samma slag som döva och hörselskadade.

I de klasser i kommunala gymnasieskolor som anordnar Rh-anpassad gymnasieutbildning eller utbildning för personer med dövhet eller hörsel- nedsättning där det endast går elever som har funktionsnedsättningar, blir uppgiften om att eleven går en sådan utbildning även en uppgift om elevens hälsa. Detta eftersom det i dessa klasser endast går elever med funktionsnedsättning. Även övriga uppgifter om elever som behandlas inom en sådan verksamhet kan många gånger, beroende på i vilket sam- manhang de förekommer, kopplas till en elevs hälsa och behöver därför i sådana fall betraktas som känsliga personuppgifter. Av samma skäl som angetts under föregående rubriker i fråga om t.ex. gymnasiesärskolan och fristående gymnasieskola som begränsats till att avse elever som är i behov av särskilt stöd bedömer dock regeringen att någon ytterligare reglering inte behövs för att möjliggöra behandlingen och de bestäm- melser som möjliggör behandlingen är proportionerliga.

Ytterligare rättsligt stöd för behandling av personuppgifter om hälsa behövs inte heller i övrigt på det skollagsreglerade området

Som framgått ovan finns det vissa verksamheter inom det skolagsregle- rade området som har behov av att kunna behandla känsliga person- uppgifter om hälsa av det skälet att all personuppgiftsbehandling innebär behandling av uppgifter om hälsa. Regeringen delar dock Sveriges Kommuner och Landstings uppfattning att det även i faktisk verksamhet i andra delar av det skollagsreglerade området kan finnas behov av att behandla uppgifter om känsliga personuppgifter i fall som varken krävs enligt lag eller som utgör ärendehandläggning. Det gäller t.ex. löpande behov av behandling av uppgifter om specialkost, som uppmärksammats av Datainspektionen, mer långvariga sjukdomar och funktionsned- sättningar där eleverna är i behov av återkommande stöd och andra in- satser samt omfattande eller återkommande psykosociala insatser av exempelvis kurator som inte ingår i elevhälsan. Behov att behandla uppgifter om hälsa kan även uppstå när rektorn eller förskolechefen fullgör sitt ansvara att fördela resurser inom enheten efter barnens och elevernas olika förutsättningar och behov (2 kap. 10 § första stycket skol- lagen). Det är dock på grund av den stora mängd verksamheter och varierande behov inte möjligt att förutse och i detalj ange de olika specifika fall då behandling av känsliga personuppgifter kan vara nöd- vändig inom den faktiska verksamheten inom det skollagsreglerade området. Regeringen anser därför att det även i andra verksamheter inom skolväsendet än de som utredningen har föreslagit bör finnas möjlighet

för huvudmannen att behandla känsliga personuppgifter om hälsa om det Prop. 2017/18:218 är nödvändigt och behandlingen inte innebär ett otillbörligt intrång i den

registrerades personliga integritet. Utifrån hur de i 3 kap. 3 § första stycket 3 dataskyddslagen och i avsnitt 13.3.4 föreslagna bestämmelserna om behandling av känsliga personuppgifter har utformats kommer dock behandlingen omfattas av dessa bestämmelser. Någon ytterligare regle- ring behövs därför enligt regeringens bedömning inte heller för dessa verksamheter.

13.3.6

Ytterligare rättsligt stöd för behandling av

 

 

känsliga personuppgifter om etniskt ursprung i

 

 

sameskolan behövs inte

 

 

 

Regeringens bedömning: Något ytterligare rättsligt stöd för behand-

 

ling av känsliga personuppgifter om etniskt ursprung hos huvud-

 

mannen för sameskolan behövs inte.

 

 

 

Utredningens förslag: Utredningen föreslår att det ska införas en

 

bestämmelse i skollagen om att uppgifter om etniskt ursprung ska få

 

behandlas i sameskolan med stöd av artikel 9.2 g i dataskyddsförord-

 

ningen om det är nödvändigt för ändamålet med behandlingen och be-

 

handlingen inte innebär ett otillbörligt intrång i den registrerades person-

 

liga integritet.

 

Remissinstanserna: Det stora flertalet remissinstanser har inte några

 

synpunkter på eller har inget att erinra mot utredningens förslag.

 

Sameskolstyrelsen välkomnar förslaget.

 

Datainspektionen avstyrker förslaget i dess nuvarande utformning och

 

ifrågasätter om utformningen av bestämmelsen uttrycker det krav på ett

 

viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförord-

 

ningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsför-

 

ordningens bestämmelser utgör en tillräcklig reglering.

 

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts

 

tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning

 

överensstämmer med regeringens bedömning i detta avsnitt. De till-

 

styrker eller har inga synpunkter på bedömningen.

 

Skälen för regeringens bedömning: Som nämnts i avsnitt 13.3.1 får

 

barn till samer fullgöra sin skolplikt i sameskolan i stället för i årskurs 1–

 

6 i grundskolan. Även andra barn får fullgöra den delen av sin skolplikt i

 

sameskolan, om det finns särskilda skäl. Frågan om ett barn ska få full-

 

göra sin skolplikt i sameskolan prövas av Sameskolstyrelsen (7 kap. 7 §).

 

Som nämnts tidigare är enbart en uppgift om att en elev går i sameskolan

 

inte en personuppgift som avslöjar etniskt ursprung då undantagsbestäm-

 

melsen för särskilda skäl medför att även flickor och pojkar som inte är

 

barn till samer kan gå i sameskolan. Däremot kan uppgiften tillsammans

 

med andra uppgifter avslöja etniskt ursprung. Vidare är uppgiften att en

 

flicka eller pojke är barn till en same en personuppgift som avslöjar

 

etniskt ursprung och sådana uppgifter förekommer ofta när Sameskol-

 

styrelsen prövar om ett barn ska tas emot i sameskolan. Sameskolstyrel-

 

sen kan tillämpa 3 kap. 3 § dataskyddslagen vid handläggning av ett

 

sådant ärende.

147

 

 

Prop. 2017/18:218 Sameskolstyrelsen är vidare huvudman för samtliga sameskolor. Same- skolorna måste behandla personuppgifter för elevadministration såsom kontaktuppgifter, elevregister, närvarorapportering, klasslistor och ämnesval. Det är uppgifter som vanligen är harmlösa uppgifter. Behand- lingen av sådana uppgifter är därmed nödvändig för det viktiga allmänna intresse som anordnande och bedrivande av utbildningen utgör. När det gäller skälen för att anordnande och bedrivande av utbildning utgör ett viktigt allmänt intresse hänvisas till avsnitt 8. I dagsläget är det rättsliga stödet för att behandla känsliga personuppgifter i detta sammanhang samtycke. Regeringen bedömer dock, mot bakgrund av vad som anges i avsnitt 6.1, att samtycke inte är ett lämpligt rättsligt stöd för behand- lingen av känsliga personuppgifter eftersom lagstiftaren ålägger huvud- männen skyldigheter gentemot eleven och då huvudmannen för att kunna uppfylla dessa åligganden har ett berättigat behov av att kunna behandla relevanta personuppgifter om eleven.

De i dataskyddslagen föreslagna bestämmelserna som möjliggör dels behandling av känsliga personuppgifter som krävs enligt lag och dels be- handling av känsliga personuppgifter som är nödvändig för handlägg- ningen av ett ärende (3 kap. 3 § första stycket 1 och 2) kommer inte att kunna tillämpas på all den behandling av elevernas personuppgifter som sker i bl.a. den elevadministrativa verksamheten. Däremot bedömer rege- ringen att behandlingen hos myndigheter kommer kunna ske med stöd av den i dataskyddslagen föreslagna bestämmelsen som möjliggör behand- ling av känsliga personuppgifter i annat fall om behandlingen är nöd- vändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otill- börligt intrång i den registrerades integritet (3 kap. 3 § första stycket 3). I avsnitt 13.3.4 föreslås en motsvarande bestämmelse införas i skollagen för enskilda huvudmän och aktörer enligt 24 och 25 kap. skollagen. Behandling av de nu aktuella uppgifterna hos enskilda kommer därmed kunna ske med stöd av den bestämmelsen. Regeringen bedömer därför att det inte finns något behov av ytterligare reglering för att möjliggöra behandlingen.

I sameskolan behandlas redan i dagsläget elevernas personuppgifter automatiserat i t.ex. elevregister. De föreslagna bestämmelserna om behandling av känsliga personuppgifter för myndigheter och enskilda möjliggör den behandling av personuppgifter som sker i dag. De före- slagna bestämmelserna innehåller även åtgärder till skydd för den regi- strerade genom att behandlingen endast får utföras om den är nödvändig och inte innebär ett otillbörligt intrång i den registrerades personliga integritet och bedöms därför stå i proportion till det eftersträvade syftet.

13.3.7Ytterligare rättsligt stöd för hemkommuners behandling av känsliga personuppgifter i ärenden behövs inte

Regeringens bedömning: Hemkommuners behandling av känsliga personuppgifter i ärenden omfattas av dataskyddslagens bestämmelse om myndigheters behandling av känsliga personuppgifter i ärenden och behöver därför inte regleras i skollagen.

148

Utredningens förslag: Utredningen föreslår att det ska regleras i skol- Prop. 2017/18:218 lagen att uppgifter om hälsa med stöd av artikel 9.2 g i dataskydds-

förordningen ska få behandlas av en hemkommun om det är nödvändigt för handläggningen och om behandlingen inte innebär ett otillbörligt in- trång i den registrerades personliga integritet i vissa ärenden. Det gäller ärenden om mottagande i grundsärskolan, en sökande tillhör målgruppen för gymnasiesärskolan eller tilläggsbelopp för en elev som har ett om- fattande behov av särskilt stöd.

Remissinstanserna: Remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Göteborgs kommun är särskilt positiv till att utöka möjligheten för kommunen att kunna be- handla känsliga personuppgifter som den är ålagd enligt skollagen.

Dataskydd.net avstyrker förslaget och anser att dataskyddsförord- ningens bestämmelser utgör en tillräcklig reglering.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De till- styrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Som framgår av avsnitt 13.3.1 kan kommunerna vid utförandet av sina uppgifter som hemkommuner ha ett behov av att behandla känsliga personuppgifter, såsom när det gäller att besluta om skolskjuts, pröva mottagande i grundsärskola, pröva frågan om en sökande tillhör målgruppen för gymnasiesärskolan, och att besluta om fristående skolors ansökan om tilläggsbelopp för elever (t.ex. 7 kap. 5 §, 10 kap. 32 och 39 §§ och 18 kap. 5 § skollagen). Som utred- ningen konstaterar kan känsliga personuppgifter behöva behandlas vid handläggningen av sådana ärenden. Med hänsyn till det förslag som har lämnats i propositionen Ny dataskyddslag (prop. 2017/18:105) som innebär att myndigheter får behandla känsliga uppgifter med stöd av artikel 9.2 g i dataskyddsförordningen, om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2 dataskydds- lagen) får det numera anses finnas tillräckligt stöd för den behandling som Utbildningsdatautredningens förslag var avsett att tillgodose. Utred- ningens förslag bör därför inte genomföras.

13.3.8

Ytterligare rättsligt stöd för kommuners

 

 

behandling av känsliga personuppgifter i annat

 

 

fall behövs inte

 

 

 

Regeringens bedömning: Kommuners behandling av känsliga per-

 

sonuppgifter i andra situationer än då behandlingen krävs enligt lag

 

eller för handläggningen av ett ärende omfattas av dataskyddslagens

 

bestämmelse om myndigheters behandling av känsliga person-

 

uppgifter i annat fall och behöver därför inte regleras i skollagen.

 

 

 

Utredningens förslag: Utredningen föreslår att en hemkommun med

 

stöd av artikel 9.2 g i dataskyddsförordningen ska få behandla person-

 

uppgifter om etniskt ursprung och hälsa i form av namn, personnummer,

 

samordningsnummer, adress och vårdnadshavare om det är nödvändigt

 

för att fullgöra skyldigheten att se till att skolpliktiga barn som inte går i

149

 

 

Prop. 2017/18:218

150

dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.

Stockholms kommun anser att hemkommunen även bör kunna behandla uppgift om skola, för det fall det skulle anses vara en personuppgift. För att hemkommunen ska kunna fullgöra sitt skolpliktsbevakningsansvar behöver den ha uppgift om i vilken annan skola eleven fullgör skol- plikten. En sådan skola kan vara en s.k. resursskola med exempelvis sär- skild inriktning mot funktionsnedsättning. Uppgift om vid vilken skola eleven fullgör skolplikten är då en uppgift om hälsa,

Sveriges Kommuner och Landsting (SKL) bedömer att utredningens förslag som rör hemkommunen bör formuleras om så att det framgår att en hemkommun får behandla känsliga personuppgifter i form av etniskt ursprung och hälsa för att fullgöra skyldigheten om skolpliktsbevakning enligt 7 kap. 21 § skollagen, på så sätt att kommunens elevregister även får innehålla en uppgift om att eleven är inskriven i en grundsärskola, specialskola eller sameskolan.

SKL saknar även resonemang och bedömningar om i vilken mån det är nödvändigt för kommuner att hantera känsliga personuppgifter inom ramen för det kommunala resursfördelningssystemet. SKL påpekar att kommunen vid resursfördelningen har att ta hänsyn till principen om lika villkor för kommunala och enskilda huvudmän, vilket t.ex. kan innebära att känsliga personuppgifter i form av extraordinära stödbehov kan vara nödvändiga att hantera inom systemet även för elever i kommunala skolor.

Dataskydd.net avstyrker förslaget och anser att dataskyddsförord- ningens bestämmelser utgör en tillräcklig reglering.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De till- styrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning

Ytterligare rättsligt stöd för behandling av känsliga personuppgifter vid hemkommunens fullgörande av sitt skolpliktsansvar behövs inte

Hemkommunen ska se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbild- ning (7 kap. 21 § skollagen). Med anledning av detta åliggande kan det krävas att kommuner för ett fullständigt elevregister med uppgifter om personnummer, namn, adress och vårdnadshavare samt vid vilken skola eleven är inskriven i för att kommunen ska kunna fullgöra sitt ansvar. Registret bör omfatta samtliga elever som bor inom den egna kommunen och skolor oavsett huvudman, dvs. även t.ex. grundsärskolor och special- skolor. Att en elev går i en skola som är t.ex. en grundsärskola eller specialskola är en uppgift om hälsa, dvs. en känslig personuppgift. Som angetts i avsnitt 13.3.1 anser regeringen att enbart en uppgift om att ett barn går i samskolan skola inte ensamt torde avslöja elevens etniska ursprung, men att denna uppgift tillsammans med andra uppgifter, t.ex. ett efternamn med samiskt ursprung, kan göra det. Det kan inte uteslutas

att det i detta sammanhang även behöver behandlas sådana andra upp- Prop. 2017/18:218 gifter som tillsammans avslöjar elevens etniska ursprung.

Enligt regeringen är det nödvändigt att hemkommunerna kan behandla uppgifter om att en viss elev går i t.ex. grundsärskola för att kommunerna ska kunna fullgöra åliggandet att se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning. Om hemkommunen inte kan föra in dessa uppgifter i sådana register kommer de i praktiken inte kunna uppfylla sitt ansvar enligt 7 kap. 21 § skollagen.

Registren förs inte som en direkt följd av tryckfrihetsförordningens, offentlighets- och sekretesslagens eller förvaltningslagens bestämmelser om hur inkomna handlingar ska hanteras. Den bestämmelse i dataskydds- lagen som föreslås möjliggöra för myndigheter att med stöd av artikel 9.2 g i dataskyddsförordningen behandla känsliga personuppgifter när det krävs enligt lag kommer därför inte att bli tillämplig på ett sådant register (3 kap. 3 § första stycket 1). Personuppgifterna kommer i vissa fall behöva behandlas för handläggningen av ett ärende och behandlingen kan då ske med stöd av 3 kap. 3 § första stycket 2 dataskyddslagen. I övriga fall bedömer regeringen att behandlingen hos hemkommunen kommer kunna ske med stöd av den i dataskyddslagen föreslagna be- stämmelsen som möjliggör för myndigheter att behandla känsliga per- sonuppgifter i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades integritet (3 kap. 3 § första stycket 3). Regeringen bedömer därför att det inte finns något behov av ytterligare reglering för att möjliggöra hemkommunens behandling.

Ytterligare rättsligt stöd för behandling av känsliga personuppgifter vid kommunens resursfördelning behövs inte

Som SKL har påpekat ska kommunen fördela resurser till utbildning inom skolväsendet efter barnens och elevernas olika förutsättningar och behov (2 kap. 8 a § skollagen). Det finns även andra bestämmelser som reglerar kommunernas fördelning av resurser inom skolväsendet, exem- pelvis bestämmelserna om bidrag från hemkommunen till enskilda huvudmän i form av grundbelopp för varje elev och tilläggsbelopp för vissa elever. Grundbeloppet ska bestämmas efter samma grunder som hemkommunen tillämpar vid fördelningen av resurser till sina egna skol- enheter. Tilläggsbeloppet för en elev i behov av särskilt stöd ska vara individuellt bestämt efter elevens behov (se t.ex. 10 kap. 37–39 §§).

Regeringen bedömer att kommunens behov av att behandla känsliga personuppgifter vid resursfördelningen kan uppstå vid handläggningen av ärenden. Det kan inte heller uteslutas att ett sådant behov kan uppstå i sådana fall som inte utgör ärendehandläggning. När det är fråga om resursfördelning som utgör ärendehandläggning är 3 kap. 3 § första stycket 2 dataskyddslagen tillämplig. Som exempel på ärendehand- läggning kan nämnas kommunens hantering av ansökningar om tilläggs- belopp. Fördelningen av grundbelopp enligt 2 kap. 8 a § och 10 kap. 38 § torde däremot ske inom ramen för sådant budgetarbete och sådana budgetbeslut i kommunen som inte utgör ärendehandläggning. I dessa

fall bedömer regeringen att kommunens behandling kommer kunna ske

151

Prop. 2017/18:218 med stöd av den i dataskyddslagen föreslagna bestämmelsen som möjlig- gör behandling av känsliga personuppgifter i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades integritet (3 kap. 3 § första stycket 3). Regeringen bedömer därför att det inte finns något behov av ytterligare reglering i skollagen för att möjliggöra behandlingen.

Den föreslagna bestämmelsen i dataskyddslagen innehåller även åt- gärder till skydd för den registrerade genom att behandlingen endast får utföras om den är nödvändig och inte innebär ett otillbörligt intrång i den registrerades personliga integritet och bedöms därför stå i proportion till det eftersträvade syftet.

 

13.3.9

Det behövs inte något bemyndigande att meddela

 

 

föreskrifter om ytterligare bestämmelser om

 

 

behandling av känsliga personuppgifter

 

 

 

Regeringens bedömning: Det behövs inte något bemyndigande för

 

regeringen att meddela föreskrifter om ytterligare bestämmelser om

 

behandling av känsliga personuppgifter.

 

 

 

Utredningens förslag: Utredningen föreslår att regeringen ska få

 

meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i

 

dataskyddsförordningen om det behövs med hänsyn till det viktiga

 

allmänna intresset att anordna utbildning enligt skollagen eller före-

 

skrifter som har meddelats med stöd av skollagen.

 

Remissinstanserna: Det stora flertalet remissinstanser har inte några

 

synpunkter på eller har inget att erinra mot förslaget. Sveriges Kommuner

 

och Landsting (SKL) anser att ytterligare bestämmelser om behandling av

 

känsliga personuppgifter, utöver de som utredningen har föreslagit, kan

 

behöva införas i författning. SKL anser också att det kan vara ett prob-

 

lem att specifikt räkna upp i vilka fall känsliga personuppgifter får

 

behandlas i skollagen. Academedia AB tillstyrker förslaget.

 

Uppsala universitet är tveksamt till att regeringen ska få meddela före-

 

skrifter om ytterligare bestämmelser om behandling av känsliga person-

 

uppgifter, eftersom det inte kan uteslutas att behandling av känsliga

 

personuppgifter aktualiserar skyddet mot betydande intrång i den

 

personliga integriteten enligt 2 kap. 6 § regeringsformen som endast får

 

inskränkas med stöd av lag.

 

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts

 

tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning

 

överensstämmer med regeringens bedömning i detta avsnitt. De till-

 

styrker eller har inga synpunkter på bedömningen.

 

Skälen för regeringens bedömning: Som Sveriges Kommuner och

 

Landsting påpekar kan det på det skollagsreglerade området visa sig

 

föreligga även andra fall då känsliga personuppgifter behöver behandlas

 

än sådana som utredningen har identifierat. Myndigheter kommer dock

 

även i annat fall än då behandling krävs enligt lag eller är nödvändig för

 

handläggningen av ärenden kunna behandla känsliga personuppgifter

 

med stöd av 3 kap 3 § första stycket 3 dataskyddslagen, förutsatt att

152

behandlingen är nödvändig och inte utgör ett otillbörligt intrång i den

 

 

registrerades personliga integritet. I avsnitt 13.3.3 föreslås en mot- Prop. 2017/18:218 svarande bestämmelse införas i skollagen för enskilda huvudmän och

aktörer enligt 24 och 25 kap. skollagen. Det finns i dagsläget inte något som tyder på att det skulle finnas ett behov av att inom det skollagsreglerade området införa kompletterande bestämmelser på förordningsnivå. Regeringen anser därför att det saknas skäl att införa ett bemyndigande för regeringen att meddela ytterligare föreskrifter om be- handling av känsliga personuppgifter.

När det gäller Uppsala universitets synpunkt om regeringsformens krav, delar regeringen uppfattningen att det, om nya bestämmelser ändå skulle övervägs med stöd av bemyndigandet i dataskyddslagen, givetvis måste göras en noggrann bedömning av om lagform ändå krävs enligt 2 kap. 6 § RF. Ytterligare en förutsättning när nya bestämmelser över- vägs med stöd av bemyndigandet är att en noggrann bedömning görs för att säkerställa att dataskyddsförordningens krav i övrigt, bl.a. på skydds- åtgärder, är uppfyllda. Detta har också konstaterats i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 92).

13.3.10Det ska vara förbjudet att utföra vissa sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter

Regeringens förslag: Det ska vara förbjudet för en enskild huvudman inom skolväsendet eller en enskild aktör som bedriver verksamhet inom en särskild utbildningsform eller annan pedagogisk verksamhet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Regeringen ska få meddela föreskrifter om undantag från sök- begränsningen i skollagen och i dataskyddslagen i fråga om person- uppgifter om hälsa i verksamhet hos en huvudman för

1.grundsärskola,

2.specialskolan,

3.gymnasiesärskola,

3. särskild utbildning för vuxna,

5.gymnasieskola med Rh-anpassad utbildning,

6.utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning, och

7.förskola, förskoleklass eller skola som har begränsats till att avse elever som är i behov av särskilt stöd.

Regeringen ska också få meddela föreskrifter om undantag från sök- begränsningen i dataskyddslagen i fråga om personuppgifter om etniskt ursprung i verksamhet hos en huvudman för sameskolan

och hälsa och etniskt ursprung i verksamhet hos en kommun.

Utredningens förslag: Överensstämmer delvis med regeringens för-

 

slag. Utredningens förslag till sökförbud avser förbud mot att använda

 

sökbegrepp som avslöjar känsliga personuppgifter. Utredningen föreslår

 

också att ett antal undantag från sökförbudet införs i skollagen och att

 

regeringen ska få meddela föreskrifter om begränsningar av möjligheten

 

att använda vissa sökbegrepp.

153

 

Prop. 2017/18:218

154

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Acade- media AB tillstyrker utredningens förslag.

Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

Specialpedagogiska skolmyndigheten anser att förslaget om sökbeg- räsning innebär att myndigheten inte kan söka på vissa personuppgifter i diarium och arkiv och heller inte i de handläggningssystem som används inom myndigheten. Den begränsade sökmöjligheten kan därmed inne- bära att det inte blir möjligt att ta fram sådan statistik som efterfrågas i myndighetens regleringsbrev.

Dataskydd.net avstyrker förslaget och anser att dataskyddsförord- ningens bestämmelser utgör en tillräcklig reglering.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars förslag överensstämmer med regeringens förslag i detta avsnitt. Datainspek- tionen anser att det är av vikt att de föreslagna bestämmelserna om sökförbud, inte medför någon utökning av möjligheterna att söka på känsliga personuppgifter. Inspektionen anser att det är av vikt att det, som en konsekvens av de föreslagna bestämmelserna, görs en analys avseende behovet av vilka säkerhetsåtgärder som kan vara aktuella att kräva för att undvika risk för kringgående av det föreslagna sökförbudet.

Sveriges kommuner och Landsting (SKL) tillstyrker det i utkastet föreslagna bemyndigandet. SKL påpekar att en sökbegränsning kan inne- bära att det inte blir möjligt att ta fram statistik som efterfrågas i regle- ringsbrev eller statistik som kan behövas inom en enskild huvudmans verksamhet för att säkerställa likvärdighet och inkludering. Vidare påpekar SKL att det även i annan verksamhet än förskola, förskoleklass eller skola som har begränsats till att avse elever som är i behov av särskilt stöd kan finnas elever som är i behov av särskilt stöd.

Skälen för regeringens förslag

Det finns behov av motsvarande sökbegränsningar i skollagen som i dataskyddslagen

I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås det in- föras en skyddsåtgärd som innebär ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter (3 kap. 3 § andra stycket dataskyddslagen). Sökbegränsningen gäller för myndigheter vid tillämpningen av 3 kap. 3 § första stycket dataskydds- lagen, dvs. det är ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter vid behandling som krävs enligt lag, vid behandling som är nödvändig för hand- läggningen av ett ärende och vid behandling i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse.

I avsnitt 13.3.3 och 13.3.4 föreslår regeringen bestämmelser som inne- bär att även enskilda huvudmän och aktörer enligt 24 och 25 kap. skol- lagen ska kunna behandla vissa känsliga personuppgifter. De skäl som finns för att sökbegränsningar ska gälla för myndigheter gör sig enligt regeringen även gällande för enskilda huvudmän och nämnda enskilda

aktörer. En sökbegränsning bör därför, till skillnad mot vad som föreslås av Dataskydd.net, införas i skollagen.

Utredningens förslag till sökbegränsning avser förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. I linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform, anser dock regeringen att sök- förbudet i skollagen bör få en något annorlunda utformning än vad utred- ningen föreslagit för att överensstämma med utformningen i dataskydds- lagen. Regeringen föreslår därför att även sökbegränsningen i skollagen ska innebär ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Av propositionen Ny dataskyddslag (prop. 2017/18:105) följer att sök- begränsningen inte är avsedd att hindra sökningar som utförs för andra ändamål än att identifiera ett urval av individer, t.ex. i syfte att utöva tillsyn, ta fram verksamhetsstatistik eller för registervård (s. 86). Detsam- ma bör gälla sökbegränsningen i skollagen. Behandling för statistiska ändamål föreslås också tillåtas under vissa förutsättningar i förslaget till 3 kap. 7 § dataskyddslagen, som inte omfattas av sökförbudet.

Regeringen ska få meddela föreskrifter om undantag från sökbegränsningen

De sökningar om hälsa som kan behövas i samband med ärenden och uppgifter hos hemkommunerna behövs i syfte att handlägga ärenden och fullgöra skolpliktsansvaret, och inte i syfte att få fram ett personurval grundat på känsliga uppgifter. Regeringen ser därför, mot bakgrund av sökförbudets nu aktuella lydelse, inte behov av att för dessa fall särskilt möjliggöra undantag från sökbegränsningen. Regeringen gör samma bedömning när det gäller behandling av känsliga personuppgifter för statistiska ändamål. När det gäller sådana verksamheter där regeringen i avsnitt 13.3.5 konstaterat att personuppgifterna, på grund av den verk- samhet i vilken de förekommer, i de flesta sammanhang utgör känsliga personuppgifter om hälsa eller etnicitet kan sökningar i de aktuella verksamheterna behöva ske i olika syften. Det kan inte uteslutas att det t.ex. inom ramen för verksamheternas administrativa åtgärder, finns skäl att utföra sökningar som syftar till att få fram ett urval av personer. Eftersom personuppgifter i dessa verksamheter i de flesta sammanhang utgör känsliga uppgifter, kommer personurvalet att grundas på känsliga personuppgifter. Detta gäller i grundsärskolan, specialskolan, gymnasie- särskolan, särskild utbildning för vuxna, gymnasieskolan med Rh- anpassad utbildning, utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning, och utbildning som har begränsats till att avse elever som är i behov av särskilt stöd. För dessa verksamheter kan det därför finnas anledning att göra undantag från sökbegränsningen. Regeringen bör därför i skollagen bemyndigas att meddela föreskrifter om undantag från sökbegränsningen i fråga om personuppgifter om hälsa i dessa verksamheter. Bemyndigandet bör gälla både offentliga och enskilda huvudmän.

Av motsvarande skäl bör bemyndigandet även avse föreskrifter om undantag från sökbegränsningen i fråga om personuppgifter om etniskt ursprung i sameskolan.

Prop. 2017/18:218

155

Prop. 2017/18:218 När det gäller Datainspektionens synpunkt att det är av vikt att före- slagna bestämmelserna om sökförbud inte medför någon utökning av möjligheterna att söka på känsliga personuppgifter, vill regeringen framhålla att bemyndigandet inte syftar till att ge de aktuella verksam- heterna en utökad sökmöjlighet jämfört med övriga skolformers, utan endast till att möjliggöra motsvarande sökningar som är möjliga i andra skolformer. Enligt regeringens mening bör begränsningen till de aktuella verksamheterna och till uppgifter om hälsa respektive etniskt ursprung tillgodose dataskyddsförordningens krav på proportionalitet och skydds- åtgärder.

Enligt regeringens bedömning kan det även i vissa andra fall finnas behov av att utföra sökningar grundat på känsliga personuppgifter som syftar till att få fram ett urval av personer. Det gäller t.ex. sökningar i form av uppgifter om hälsa i hemkommunens ärenden om mottagande i grundsärskolan enligt 7 kap. 5 § skollagen, ärenden om en sökande till- hör målgruppen för gymnasiesärskolan enligt 18 kap. 5 § skollagen och ärenden om tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd. Detsamma gäller vid kommunens fördelning av resurser till utbildning inom skolväsendet efter barnens och elevernas olika förutsätt- ningar och behov (2 kap. 8 a § skollagen). Vidare kan hemkommunen ha behov av att utföra sökningar grundat på känsliga personuppgifter hälsa och etniskt ursprung när den fullgör uppgiften att se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning enligt 7 kap. 21 § skollagen. Av dessa skäl bör bemyndigandet att meddela föreskrifter om undantag från sökbe- gränsningen även gälla i fråga om behandling av personuppgifter om hälsa och etniskt ursprung i verksamhet hos en kommun.

13.4Kompletterande bestämmelser om känsliga personuppgifter ska införas i lagen om tillstånd att utfärda vissa examina

13.4.1Det finns behov av att behandla känsliga personuppgifter på högskoleområdet

Både statliga högskolor och enskilda utbildningsanordnare kan behöva behandla känsliga personuppgifter i olika sammanhang. Nedan redogörs översiktligt för de huvudsakliga behandlingarna av känsliga person- uppgifter som sker hos lärosätena. I efterföljande avsnitt behandlas vilka kompletterande bestämmelser om behandling av känsliga personupp- gifter som behövs på högskoleområdet med anledning av artikel 9 i data- skyddsförordningen. Som framgår av avsnitt 12 anser regeringen att så- dana bestämmelser ska föras in i lagen om tillstånd att utfärda vissa exa- mina.

Det finns behov av behandling av känsliga personuppgifter i ärenden om anpassning av högskoleprovet

 

Personer med vissa specifika svårigheter har möjlighet att göra anpassade

156

versioner av högskoleprovet. Det krävs då att provdeltagaren styrker

 

behovet av anpassning i samband med anmälan. Högskolan eller UHR beslutar om anpassning (4–8 §§ Universitets- och högskolerådets föreskrifter om högskoleprovet [UHRFS 2015:3]). För att kunna fatta beslutet är det nödvändigt att behandla uppgifter om hälsa, dvs. känsliga personuppgifter.

Det finns behov av behandling av känsliga personuppgifter vid antagningsförfarandet

Statliga högskolor ska, så långt det är möjligt, som studenter ta emot de sökande som uppfyller behörighetskraven för studierna. Kan inte alla be- höriga sökande till en utbildning tas emot ska ett urval göras bland de sökande på vissa grunder. Högskolorna får dock i viss utsträckning själv bestämma urvalsgrunder och får i enstaka fall göra avsteg från angivna urvalsgrunder (4 kap. 1 och 3 §§ högskolelagen och 7 kap. 16, 23, 27 och 32 §§ högskoleförordningen).

Göteborgs universitet har en antagningsordning som anger att medi- cinska skäl och permanent eller mycket långvarig funktionsnedsättning kan vara skäl för avsteg under vissa förutsättningar. Stiftelsen Högskolan i Jönköping, som är en enskild utbildningsanordnare, har en antagnings- ordning av vilken det framgår att lärosätet tillämpar en urvalsgrund där en dokumenterad funktionsnedsättning under vissa förutsättningar kan beaktas. Såväl statliga högskolor som enskilda utbildningsanordnare kan alltså behöva behandla känsliga personuppgifter i antagningsförfarandet.

Det finns behov av behandling i ärenden om särskilt pedagogiskt stöd

Till universitet och högskolor får statsbidrag lämnas för kostnader för särskilt utbildningsstöd som erbjuds studerande med svåra rörelsehinder eller psykiska och neuropsykiatriska funktionsnedsättningar. Special- pedagogiska skolmyndigheten prövar frågor om bidraget (2 och 5 §§ för- ordningen [2011:1163] om statsbidrag för särskilt utbildningsstöd). Bidrag lämnas både till statliga högskolor och enskilda utbildnings- anordnare som därmed kan behöva behandla känsliga personuppgifter i samband med en ansökan om statsbidrag för särskilt utbildningsstöd. Detsamma gäller vid högskolornas handläggning av studenters ansök- ningar om särskilt pedagogiskt stöd, som t.ex. kan omfatta läkarintyg, och när beslutade stödåtgärder ska verkställas.

Det finns behov av behandling i ärenden om trakasserier, disciplinära åtgärder och avskiljande

Statliga högskolor får vidta disciplinära åtgärder i form av varning och avstängning av studenter som exempelvis utsätter andra studenter för trakasserier eller sexuella trakasserier (10 kap. 1, 2, 9 och 10 §§ hög- skoleförordningen). Om en utbildningsanordnare får kännedom om att en student som deltar i eller söker till utbildningsanordnarens verksamhet i samband med verksamheten anser sig ha blivit utsatt för trakasserier eller sexuella trakasserier, är utbildningsanordnaren också skyldig att utreda omständigheterna kring de uppgivna trakasserierna och i förekommande fall vidta åtgärder (2 kap. 7 § diskrimineringslagen [2008:567]). Vidare får en student som lider av psykisk störning, missbrukar alkohol eller narkotika eller har gjort sig skyldig till allvarlig brottslighet under vissa

Prop. 2017/18:218

157

Prop. 2017/18:218 förutsättningar avskiljas från utbildningen. (4 kap. 6 § högskolelagen och förordningen [2007:989] om avskiljande av studenter från högskole- utbildning). Ovanstående medför att statliga högskolor kan behöva be- handla känsliga personuppgifter i utredningar och i ärenden om disci- plinära åtgärder och avskiljande.

Diskrimineringslagens bestämmelse om utredning av trakasserier eller sexuella trakasserier gäller även enskilda utbildningsanordnare. Vidare kan enskilda utbildningsanordnare ha motsvarande regler om disciplinära åtgärder och avskiljande som den offentligrättsliga reglering som gäller för statliga högskolor. Chalmers tekniska högskola AB, Handelshög- skolan i Stockholm och Stiftelsen Högskolan i Jönköping är exempel på enskilda utbildningsanordnare som har en disciplinstadga eller ett regel- verk för disciplinära åtgärder. Även enskilda utbildningsanordnare har således behov av att kunna behandla känsliga personuppgifter i utred- ningar och i ärenden om disciplinära åtgärder och avskiljande.

Det finns behov av behandling av känsliga personuppgifter inom studenthälsans och högskolebibliotekens verksamhet

Statliga högskolor ska ansvara för att studenterna har tillgång till hälso- vård, särskilt förebyggande hälsovård som har till ändamål att främja studenternas fysiska och psykiska hälsa (1 kap. 11 § högskoleförord- ningen). Inom studenthälsan registreras personuppgifter i form av namn, personnummer och kontaktuppgifter. Det skapas också en patientjournal där det behandlas känsliga personuppgifter. Även om högskoleförord- ningen gäller för statliga högskolor kan även enskilda utbildnings- anordnare erbjuda studenthälsovård, vilket bl.a. Handelshögskolan i Stockholm gör. Den personuppgiftsbehandling som sker inom student- hälsans medicinska verksamhet omfattas dock och kommer även fort- sättningsvis att omfattas av bestämmelser i patientdatalagen (2008:355) och behandlas därför inte vidare i denna proposition.

Känsliga personuppgifter om hälsa kan även behöva behandlas i sam- band med att högskolebibliotek förfogar över upphovsrättsligt skyddade verk som personer med funktionsnedsättning behöver för att kunna ta del av verken, t.ex. genom att överföra dem till den funktionsnedsatte enligt lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.

Det finns behov av behandling av känsliga personuppgifter vid uppfyllandet av offentlighetsprincipen

Eftersom statliga högskolor är myndigheter omfattas de av offentlighets- principen och bestämmelserna i tryckfrihetsförordningen och offentlig- hets- och sekretesslagen (2009:400, OSL) om rätten att ta del av allmänna handlingar. För att kunna uppfylla detta åliggande kan det bli nödvändigt att behandla känsliga personuppgifter.

För enskilda utbildningsanordnares del får ett tillstånd att utfärda examina förenas med villkor om rätt för enskilda att ta del av handlingar

hos utbildningsanordnaren (4 § lagen (1993:792) om tillstånd att utfärda

vissa examina). Denna skyldighet gäller för bl.a. Chalmers tekniska hög- skola AB och Stiftelsen Högskolan i Jönköping (2 kap. 4 § OSL och lagens bilaga). Även enskilda utbildningsanordnare kan därmed ha behov

158

av att behandla känsliga personuppgifter i samband med att de uppfyller Prop. 2017/18:218 sina åligganden enligt offentlighetsprincipen.

13.4.2Ytterligare reglering av behandling av känsliga personuppgifter som krävs enligt lag behövs inte

Regeringens bedömning: För behandling av känsliga personuppgifter som krävs enligt lag behövs det på högskoleområdet inte någon ytterligare reglering utöver den som föreslås i dataskyddslagen.

Utredningens förslag: Utredningen föreslår att det i lagen om tillstånd att utfärda vissa examina bör införas en möjlighet för enskilda utbild- ningsanordnare att behandla känsliga personuppgifter, om uppgifterna har lämnats till anordnaren och behandlingen krävs enligt lag.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.

Karlstads universitet och Universitets- och högskolerådet tillstyrker utredningens författningsförslag. Chalmers tekniska högskola AB till- styrker utredningens förslag i de delar som rör deras verksamhet som enskilda utbildningsanordnare.

Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i data- skyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Skälen för regeringens bedömning: Enligt propositionen Ny data- skyddslag är den hantering av allmänna handlingar som krävs enligt svensk rätt motiverad av hänsyn till ett viktigt allmänt intresse (prop. 2017/18:105 s. 86). I dataskyddslagen föreslås också en bestämmelse om att myndigheter får behandla känsliga personuppgifter om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 3 § första stycket 1 dataskyddslagen). Vidare ska andra organ än myn- digheter jämställas med myndigheter i den mån bestämmelserna om all- männa handlingar och sekretess i tryckfrihetsförordningen och offent- lighets- och sekretesslagen gäller i organets verksamhet (3 kap. 3 § tredje stycket dataskyddslagen). Förslaget innebär att både statliga högskolor och, i förekommande fall, enskilda utbildningsanordnare kommer att kunna uppfylla de åligganden enligt bl.a. offentlighetsprincipen som an- kommer på dem, t.ex. att diarieföra handlingar som innehåller känsliga personuppgifter och att lämna ut allmänna handlingar. Någon ytterligare reglering krävs därmed inte för att de lärosäten som omfattas av offent- lighetsprincipen också ska kunna uppfylla sina åligganden enligt denna princip. Som framgår av avsnitt 12, anser också regeringen att det saknas behov av att i lagen om tillstånd att utfärda vissa examina införa en bestämmelse som innebär en dubbelreglering av vad som följer av data- skyddslagen.

159

Prop. 2017/18:218

160

13.4.3Behandling av känsliga personuppgifter som är nödvändiga för en hantering som motsvarar handläggning av ett ärende ska tillåtas

Regeringens förslag: Enskilda utbildningsanordnare ska få behandla känsliga personuppgifter om behandlingen är nödvändig för en hante- ring som motsvarar handläggningen av ett ärende hos en myndighet.

Utredningens förslag: Överensstämmer delvis med regeringens för- slag. Utredningens förslag omfattar behandling av känsliga person- uppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Karl- stads universitet och Universitets- och högskolerådet tillstyrker utredningens författningsförslag. Chalmers tekniska högskola AB till- styrker utredningens förslag i de delar som rör deras verksamhet som enskilda utbildningsanordnare.

Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i data- skyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Skälen för regeringens förslag: Enligt propositionen Ny dataskydds- lag är myndighetsutövning och övriga uppgifter av allmänt intresse som myndigheter har befogenhet att utföra alltid fastställda i enlighet med svensk rätt. Behandling av personuppgifter kan därmed ske på denna rättsliga grund. Enligt regeringens bedömning i den propositionen står det också klart att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt (prop. 2017/18:105 s. 87). I dataskyddslagen föreslås också en bestämmelse om att myndigheter får behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen).

Bestämmelsen i dataskyddslagen möjliggör för statliga högskolor att, i den mån det är nödvändigt, även fortsättningsvis kunna behandla känsliga personuppgifter i sådana fall som nämns i avsnitt 13.4.1, såsom ärenden om anpassning av högskoleprov, antagning, särskilt pedagogiskt stöd, trakasserier, disciplinära åtgärder och avskiljande. Någon ytter- ligare reglering krävs därmed inte för att statliga högskolor ska få be- handla känsliga personuppgifter om behandlingen är nödvändig för hand- läggningen av ett ärende.

Som framgår av avsnitt 13.4.1 kan motsvarande behov av hantering finnas hos enskilda utbildningsanordnare. I dessa fall har enskilda utbild- ningsanordnare, förutsatt att det är relevant och nödvändigt, således samma behov av att kunna behandla känsliga personuppgifter som de statliga högskolorna. Regeringen anser att det även i detta fall är fråga om behandling som är nödvändig av hänsyn till ett viktigt allmänt

intresse. Förslaget i dataskyddslagen omfattar dock inte enskilda utbild- Prop. 2017/18:218 ningsanordnare. Regeringen föreslår därför, i likhet med utredningen

men till skillnad mot Dataskydd.net, att det i lagen om tillstånd att ut- färda vissa examina ska införas en bestämmelse för enskilda utbild- ningsanordnare som så långt som möjligt motsvarar dataskyddslagens bestämmelse om ärendehandläggning.

Utbildningsdatautredningen har i sitt betänkande föreslagit att bestäm- melsen ska omfatta behandling av känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Den i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagna bestämmelsen för myndigheter är mer långtgående (se avsnitt 13.2.1). Den har utformats så att myndigheter får behandla känsliga personuppgifter om det är nödvändigt för hand- läggningen i ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen). Regeringen anser att kompletterande reglering i lagen om tillstånd att utfärda vissa examina så långt som möjligt bör utformas på motsvarande sätt. I propositionen Ny dataskyddslag (prop. 2017/18:105 s. 194) anges att begreppet ärende ska tolkas på samma sätt som i förvaltningslagen (2017:900). Eftersom förvaltningslagen inte gäller i de enskilda utbild- ningsanordnarnas verksamhet bör dock bestämmelsen formuleras så att den gäller behandling som är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet.

När det gäller Datainspektionen ifrågasättande av om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen kan konstateras att Datainspektionen framfört motsvarande synpunkt i fråga om den i data- skyddslagen föreslagna bestämmelsen. Regeringen har dock i propo- sitionen Ny dataskyddslag (prop. 2017/18:105) gjort bedömningen att myndighetsutövning och övriga uppgifter av allmänt intresse som myn- digheter har befogenhet att utföra alltid är fastställda i enlighet med svensk rätt. Behandling av personuppgifter kan därmed ske på denna rättsliga grund. Enligt regeringens bedömning står det klart att det också är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt. Regeringen saknar anledning att nu i fråga om bestämmelsen i lagen om tillstånd att utförda vissa examina göra någon annan bedömning. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform.

Eftersom de enskilda utbildningsanordnarna redan i dagsläget har möj- lighet att utföra sådana behandlingar av känsliga personuppgifter, blir integritetsintrånget för den enskilde varken större eller mindre genom att en sådan bestämmelse införs.

13.4.4Behandling av känsliga personuppgifter ska tillåtas i annat fall om det inte innebär ett otillbörligt intrång

Regeringens förslag: En enskild utbildningsanordnare ska med stöd av artikel 9.2 g i EU:s dataskyddsförordning även få behandla känsliga

161

Prop. 2017/18:218

162

personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Utredningens förslag: Överensstämmer delvis med regeringens för- slag. Utredningens förslag omfattar behandling i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integri- tet.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.

Karlstads universitet och Universitets- och högskolerådet tillstyrker utredningens författningsförslag. Chalmers tekniska högskola AB till- styrker utredningens förslag i de delar som rör deras verksamhet som enskilda utbildningsanordnare.

Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i data- skyddsförordningen. Datainspektionen och Högskolan i Skövde anser att begreppet absolut nödvändigt är ett begrepp som skapar otydlighet. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Skälen för regeringens förslag: I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås att en myndighet utöver behandling av känsliga personuppgifter som krävs enligt lag eller som är nödvändig för handläggningen av ett ärende, även i annat fall ska få behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3).

Som angetts i avsnitt 8 anser regeringen att anordnande och bedrivande av utbildning utgör ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Bestämmelsen i dataskyddslagen kan därmed tillämpas av statliga högskolor. Även för enskilda utbildnings- anordnare kan behandling av känsliga personuppgifter vara nödvändig i vissa fall när det saknas koppling till ett visst ärende.

Regeringen anser därför, i likhet med utredningen men till skillnad mot Dataskydd.net, att det ska införas en bestämmelse i lagen om tillstånd att utfärda vissa examina som ger enskilda utbildningsanordnare som om- fattas av lagen möjlighet att med stöd av artikel 9.2 g i dataskyddsför- ordningen behandla känsliga personuppgifter i motsvarande fall.

Utbildningsdatautredningen har i sitt betänkande föreslagit att bestäm- melsen ska omfatta behandling av känsliga personuppgifter i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och be- handlingen inte innebär ett otillbörligt intrång i den registrerades person- liga integritet. Den i propositionen Ny dataskyddslag föreslagna bestäm- melsen är mer långtgående, eftersom den avser behandling av personuppgifter i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt

intrång i den registrerades personliga integritet (se avsnitt 13.2.1). Prop. 2017/18:218 Regeringen anser att den kompletterande regleringen i lagen om tillstånd

att utfärda vissa examina bör utformas på ett sätt som motsvarar regleringen i dataskyddslagen. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform. Eftersom det redan konstaterats i avsnitt 8 att anordnande och bedrivande av utbildning utgör ett viktigt allmänt intresse anser regeringen att det är tillräckligt att i den kompletterande bestämmelsen i lagen om tillstånd att utfärda vissa examina ange att behandlingen av personuppgifter ska vara nödvändig i verksamheten. I övrigt bör bestämmelsens utformning följa den föreslagna formuleringen i dataskyddslagen.

Regeringens uppfattning är att en bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla känsliga personuppgifter i annat fall om det är nödvändigt av hänsyn till ett viktigt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet, i t.ex. faktiskt verksamhet som undervisning, står i proportion till det efter- strävade syftet. En bestämmelse med sådana starkt begränsande rekvisit tillgodoser enligt regeringen dataskyddsförordningens krav på proportio- nalitet och skyddsåtgärder. Dessutom föreslår regeringen avsnitt 13.4.5 även en bestämmelse om sökbegränsningar.

13.4.5Det ska vara förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter

Regeringens förslag: Det ska vara förbjudet för enskilda utbildnings- anordnare att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter.

Utredningens förslag: Utredningen har föreslagit ett förbud mot att

 

använda sökbegrepp som avslöjar känsliga personuppgifter.

 

Remissinstanserna: Det stora flertalet remissinstanser har inte några

 

synpunkter på eller har inget att erinra mot utredningens förslag. Karl-

 

stads universitet och Universitets- och högskolerådet tillstyrker utred-

 

ningens författningsförslag. Chalmers tekniska högskola AB tillstyrker

 

utredningens förslag i de delar som rör deras verksamhet som enskilda

 

utbildningsanordnare.

 

Justitiekanslern anser generellt att det är mycket angeläget att likartade

 

lagtekniska lösningar väljs för de författningar som tillkommer eller ses

 

över med anledning av EU:s dataskyddsreform.

 

Dataskydd.net avstyrker förslaget och anser att dataskyddsförord-

 

ningens bestämmelser utgör en tillräcklig reglering.

 

Skälen för regeringens förslag: I propositionen Ny dataskyddslag

 

(prop. 2017/18:105) föreslås det införas en skyddsåtgärd som innebär ett

 

förbud mot att utföra sökningar i syfte att få fram ett personurval grundat

 

på känsliga personuppgifter (3 kap. 3 § andra stycket dataskyddslagen).

 

Sökbegränsningen gäller för myndigheter vid tillämpningen av samtliga

 

bestämmelser om behandling av känsliga personuppgifter i 3 kap. 3 §

 

första stycket dataskyddslagen, dvs. vid behandling som krävs enligt lag,

163

 

Prop. 2017/18:218 vid behandling som är nödvändig för handläggningen av ett ärende och vid behandling i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. I fråga om behandling som krävs enligt lag gäller sökbegränsningen även sådana organ som ska jämställas med myn- digheter enligt 3 kap. 3 § tredje stycket dataskyddslagen. Det har redo- gjorts för denna sökbegränsning i avsnitt 13.2.2.

Sökbegränsningen omfattar därmed statliga högskolor som är myndig- heter, men inte merparten av de enskilda utbildningsanordnarna eftersom dessa inte omfattas av bestämmelserna om allmänna handlingar och sekretess. De skäl som finns för att sökbegränsningar ska gälla för myn- digheter, såsom statliga högskolor, gör sig dock gällande även för en- skilda utbildningsanordnare. Regeringen föreslår därför att en motsva- rande bestämmelse som innebär förbud mot att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter ska införas även för samtliga enskilda utbildningsanordnare.

Regeringens förslag innebär att regleringen får en något annorlunda utformning än vad som föreslagits av utredningen. I likhet med utred- ningens förslag syftar dock regeringens förslag till att införa en kompletterande reglering som motsvarar den som föreslås i data- skyddslagen. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s data- skyddsreform.

13.5Kompletterande bestämmelser om känsliga personuppgifter ska införas i lagen om yrkeshögskolan

13.5.1Det finns behov av att behandla känsliga personuppgifter inom yrkeshögskolan och annan eftergymnasial utbildning

Utbildningsanordnare inom yrkeshögskolan och de som anordnar sådana utbildningar som avses i förordningen om stöd för konst- och kultur- utbildningar och vissa andra utbildningar kan behöva behandla känsliga personuppgifter i ett antal olika situationer. Nedan redogörs översiktligt för de huvudsakliga behandlingarna av känsliga personuppgifter hos des- sa aktörer. I efterföljande avsnitt behandlas vilka kompletterande bestäm- melser om behandling av känsliga personuppgifter som med anledning av artikel 9 i dataskyddsförordningen behövs inom yrkeshögskolan och annan eftergymnasial utbildning än högskoleutbildning. Som framgår av avsnitt 12 anser regeringen att sådana bestämmelser bör placeras i lagen om yrkeshögskolan och förordningen om stöd för konst- och kultur- utbildningar och vissa andra utbildningar.

 

Det finns behov av behandling av känsliga personuppgifter i samband

 

med stödåtgärder och trakasserier

 

Behandling av känsliga personuppgifter kan förekomma vid handlägg-

 

ning av ansökningar om särskilt pedagogiskt stöd, när beslutade stöd-

164

åtgärder ska verkställas och i samband med ansökningar om statsbidrag

eller särskilda medel för kostnader för särskilt pedagogiskt stöd (2 kap. Prop. 2017/18:218 3 § och 5 kap. 2 och 4 §§ förordningen om yrkeshögskolan samt 30 §

förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar). Behandling av känsliga personuppgifter kan även före- komma i ärenden om trakasserier och sexuella trakasserier (1 kap. 4 och 2 kap. 7 §§ diskrimineringslagen [2008:567]).

Det finns behov av behandling av känsliga personuppgifter i ärenden om anstånd och studieuppehåll

När det gäller konst- och kulturutbildningar och vissa andra utbildningar kan behandling av känsliga personuppgifter även förekomma i ärenden om anstånd med att påbörja studier eller studieuppehåll av hälsoskäl (24 a § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar). För utbildningsanordnare inom yrkeshögskolan saknas det en motsvarande reglering, men dessa anordnare kan i stället ha egna regelverk som medför motsvarande behov av behandling av känsliga personuppgifter.

Det finns behov av behandling av känsliga personuppgifter i ärenden om avskiljande

När det gäller utbildning inom yrkeshögskolan som bedrivs av offentliga utbildningsanordnare, får studerande tills vidare avskiljas från utbild- ningen om han eller hon lider av psykisk störning, missbrukar alkohol eller narkotika eller har gjort sig skyldig till allvarlig brottslighet. För ett avskiljande krävs även att det, till följd av något av nämnda förhållanden, bedöms finnas en påtaglig risk att den studerande kan komma att skada någon annan person eller värdefull egendom under utbildningen (19 § lagen om yrkeshögskolan). Även enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan ha egna regelverk som medför motsvarande behov av behandling av känsliga personuppgifter i form av hälsa i samband med utredningar och ärenden om avskiljande.

Det finns behov av behandling av känsliga personuppgifter vid uppfyllandet av offentlighetsprincipen

Utbildningsanordnare som är myndigheter omfattas av tryckfrihetsför- ordningens, offentlighets- och sekretesslagens och förvaltningslagens bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot e-post. För att kunna uppfylla de åligganden som följer av att om- fattas av offentlighetsprincipen kan det för dessa utbildningsanordnare bli nödvändigt att behandla känsliga personuppgifter.

13.5.2Ytterligare reglering av behandling av känsliga personuppgifter som krävs enligt lag behövs inte

Regeringens bedömning: I fråga om behandling av känsliga person- uppgifter som krävs enligt lag behövs det för utbildningsanordnare

inom yrkeshögskolan eller för dem som anordnar utbildning som

165

Prop. 2017/18:218 avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar inte någon ytterligare reglering utöver den som föreslås i dataskyddslagen.

Utredningens förslag: Utredningen föreslår att det i lagen om yrkes- högskolan bör införas en möjlighet för offentliga utbildningsanordnare inom yrkeshögskolan att behandla känsliga personuppgifter, om upp- gifterna har lämnats till anordnaren och behandlingen krävs enligt lag.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Det gäller t.ex. Sveriges Kommuner och Landsting och Landstinget Dalarna.

Academedia AB tillstyrker utredningen förslag.

Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i data- skyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Skälen för regeringens bedömning: Enligt propositionen Ny data- skyddslag är den hantering av allmänna handlingar som krävs enligt svensk rätt motiverad av hänsyn till ett viktigt allmänt intresse (prop. 2017/18:105 s. 86). I dataskyddslagen föreslås också en bestämmelse om att myndigheter får behandla känsliga personuppgifter om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 2 § första stycket 1 dataskyddslagen). Förslaget innebär att offentliga utbildningsanordnare inom yrkeshögskolan även fortsättningsvis kommer att kunna uppfylla de åligganden enligt bl.a. offentlighetsprincipen som ankommer på dem, t.ex. att diarieföra handlingar som innehåller känsliga personuppgifter. Förslaget i dataskyddslagen är i detta avseende därmed tillräckligt för de offentliga utbildningsanordnarnas nödvändiga behand- ling av känsliga personuppgifter. Som framgår av avsnitt 12 anser reger- ingen att det saknas behov av att i lagen om yrkeshögskolan införa en bestämmelse som innebär en dubbelreglering i förhållande till data- skyddslagens bestämmelser.

Enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturut- bildningar och vissa andra utbildningar, vilka också är enskilda fysiska eller juridiska personer, omfattas inte av offentlighetsprincipen. För deras del behöver det således inte införas en motsvarande bestämmelse.

13.5.3 Behandling av känsliga personuppgifter som är nödvändiga för en hantering som motsvarar handläggning av ett ärende ska tillåtas

 

Regeringens förslag: En enskild utbildningsanordnare inom yrkes-

 

högskolan ska få behandla känsliga personuppgifter om behandlingen

 

är nödvändig för en hantering som motsvarar handläggningen av ett

 

ärende hos en myndighet.

 

Regeringens bedömning: Motsvarande bestämmelse bör införas

 

för dem som anordnar utbildning som avses i förordningen om stöd

166

för konst- och kulturutbildningar och vissa andra utbildningar.

 

Utredningens förslag och bedömning: Överensstämmer delvis med regeringens förslag. Utredningens förslag omfattar behandling av käns- liga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Det gäller t.ex. Sveriges Kommuner och Landsting och Landstinget Dalarna.

Academedia AB tillstyrker utredningen förslag. Luleå kommun välkom- nar att motsvarande bestämmelser ska gälla för enskilda som för offent- liga utbildningsanordnare inom yrkeshögskolan.

Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

Myndigheten för yrkeshögskolan anser att det finns anledning att tydliggöra om känsliga personuppgifter i intyg som ges in av sökande för att styrka att förkunskapskraven till en utbildning är uppfyllda kommer få behandlas.

Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i data- skyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Skälen för regeringens förslag och bedömning: Enligt propositionen Ny dataskyddslag (prop. 2017/18:105) är myndighetsutövning och övriga uppgifter av allmänt intresse som myndigheter har befogenhet att utföra alltid fastställda i enlighet med svensk rätt. Behandling av personupp- gifter kan därmed ske på denna rättsliga grund. Enligt regeringens be- dömning i den propositionen står det också klart att det är ett viktigt all- mänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt (s. 82). I dataskyddslagen föreslås också en bestämmelse om att myndigheter får behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen).

Bestämmelsen i dataskyddslagen möjliggör för offentliga utbildnings- anordnare inom yrkeshögskolan att, i den mån det är nödvändigt, även fortsättningsvis kunna behandla känsliga personuppgifter i ärenden om t.ex. särskilt pedagogiskt stöd, i ärenden om statsbidrag eller särskilda medel för kostnader för särskilt pedagogiskt stöd samt i ärenden om trakasserier, sexuella trakasserier och avskiljande från utbildningen. Det- samma gäller sådana känsliga personuppgifter som kan förekomma i antagningsärenden, vilket också har uppmärksammats av Myndigheten för yrkeshögskolan.

Någon ytterligare reglering krävs därmed inte för att offentliga utbild- ningsanordnare inom yrkeshögskolan ska få behandla känsliga person- uppgifter om behandlingen är nödvändig för handläggningen av ett ärende. Som framgår av avsnitt 12 anser regeringen att det saknas behov av att i lagen om yrkeshögskolan införa en bestämmelse som innebär en dubbelreglering i förhållande till dataskyddslagens bestämmelser.

Som anges i avsnitt 13.5.1 kan motsvarande behov av behandling som nämnts ovan även finnas hos de enskilda utbildningsanordnarna inom

Prop. 2017/18:218

167

Prop. 2017/18:218 yrkeshögskolan och enskilda anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Dessa utbildningsanordnare har därmed, förutsatt att det är relevant och nödvändigt, samma behov av att kunna behandla känsliga personuppgifter som de offentliga utbildningsanordnarna inom yrkeshög- skolan. Regeringen anser att det även i detta fall är fråga om behandling som är nödvändig med hänsyn till ett viktigt allmänt intresse. Förslaget i dataskyddslagen omfattar dock inte enskilda utbildningsanordnare. Regeringen föreslår därför, till skillnad mot Dataskydd.net, att det i lagen om yrkeshögskolan införs en bestämmelse som för enskilda utbildnings- anordnare inom yrkeshögskolan som motsvarar dataskyddslagens be- stämmelse för ärendehandläggning för myndigheter.

Utbildningsdatautredningen har i sitt betänkande föreslagit att bestäm- melsen ska omfatta behandling av känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handlägg- ningen av det. Den i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagna bestämmelsen för myndigheter är mer långt- gående (se avsnitt 13.2.1). Den har utformats så att myndigheter får behandla känsliga personuppgifter om det är nödvändigt för handlägg- ningen av ett ärende. Regeringen anser att den kompletterande regle- ringen i lagen om yrkeshögskolan så långt som möjligt bör utformas på ett sätt som motsvarar regleringen i dataskyddslagen. I propositionen Ny dataskyddslag (prop. 2017/18:105 s. 194) anges att begreppet ärende ska tolkas på samma sätt som i förvaltningslagen (2017:900). Eftersom förvaltningslagen inte gäller i de enskilda utbildningsanordnarnas verk- samhet bör dock bestämmelsen formuleras så att den gäller behandling som är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet.

När det gäller Datainspektionens ifrågasättande av om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intres- se som framgår av artikel 9.2 g i dataskyddsförordningen kan konstateras att Datainspektionen framfört motsvarande synpunkt i fråga om den i datassyddslagen föreslagna bestämmelsen. Regeringen har dock i propositionen Ny dataskyddslag (prop. 2017/18:105) inte funnit anled- ning att justera bestämmelsen med anledning av den synpunkten och saknar anledning att i fråga om bestämmelsen i lagen om yrkeshögskolan göra någon annan bedömning. Detta är också i linje med vad Justitie- kanslern förordat i fråga om likartade lagtekniska lösningar med anled- ning av EU:s dataskyddsreform.

Eftersom de enskilda utbildningsanordnarna redan i dagsläget har möjlighet att utföra sådana behandlingar, blir integritetsintrånget för den enskilde varken blir större eller mindre genom att en sådan bestämmelse införs.

Av samma skäl som gör sig gällande i fråga om de enskilda utbild- ningsanordnarna inom yrkeshögskolan, bör en motsvarande bestämmelse som möjliggör behandling av känsliga personuppgifter om behandlingen är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet införas för dem som anordnar utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Som nämnts tidigare bör den bestämmelsen införas i

168

förordningen om stöd till konst- och kulturutbildningar och vissa andra Prop. 2017/18:218 utbildningar.

13.5.4Behandling av känsliga personuppgifter ska tillåtas i annat fall om det inte innebär ett otillbörligt intrång

Regeringens förslag: En enskild utbildningsanordnare inom yrkes- högskolan ska med stöd av artikel 9.2 g i EU:s dataskyddsförordning även få behandla känsliga personuppgifter i annat fall, om behand- lingen är nödvändig i verksamheten och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Regeringens bedömning: Motsvarande bestämmelse bör införas för dem som anordnar utbildning som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Utredningens förslag: Överensstämmer delvis med regeringens för- slag. Utredningens förslag omfattar behandling i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga inte- gritet. I fråga om utredningens förslag att i sektorslagstiftningen dubbel- reglera vad som gäller för myndigheter enligt dataskyddslagen, se avsnitt 12. Utredningen föreslår även ett bemyndigande för regeringen att med- dela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Det gäller t.ex. Sveriges Kommuner och Landsting och Landstinget Dalarna.

Academedia AB tillstyrker utredningen förslag. Luleå kommun välkom- nar att motsvarande bestämmelser ska gälla för enskilda som för offent- liga utbildningsanordnare inom yrkeshögskolan.

Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i data- skyddsförordningen. Datainspektionen anser att begreppet absolut nöd- vändigt är ett begrepp som skapar otydlighet. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Skälen för regeringens förslag och bedömning: I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås att en myndighet, utöver be- handling av känsliga personuppgifter som krävs enligt lag eller som är nödvändig för handläggningen av ett ärende, även i annat fall ska få be- handla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3).

169

Prop. 2017/18:218 Som angetts i avsnitt 8 anser regeringen att anordnande och bedrivande av utbildning utgör ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Bestämmelsen i dataskyddslagen kan därmed tillämpas av offentliga utbildningsanordnare inom yrkeshög- skolan. När det gäller deras behandling av känsliga personuppgifter kan bestämmelsen vara tillämplig t.ex. när beslut att bevilja särskilt peda- gogiskt stöd ska verkställas.

Även för enskilda utbildningsanordnare inom yrkeshögskolan och an- ordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan behand- ling av känsliga personuppgifter vara nödvändig i vissa fall när det inte är fråga om handläggningen av ett ärende. Till exempel tillhandahåller även dessa utbildningsanordnare särskilt pedagogiskt stöd. De har där- med samma behov som offentliga utbildningsanordnare inom yrkeshög- skolan att behandla känsliga personuppgifter även när det inte är fråga om ärendehandläggning. Regeringen anser därför, till skillnad mot Data- skydd.net, att det ska införas en bestämmelse i lagen om yrkeshögskolan som möjliggör även för enskilda utbildningsanordnare inom yrkes- högskolan att med stöd av artikel 9.2 g i dataskyddsförordningen behand- la känsliga personuppgifter i motsvarande fall som myndigheter.

Utbildningsdatautredningen har i sitt betänkande föreslagit att bestäm- melsen i lagen om yrkeshögskolan ska omfatta behandling av känsliga personuppgifter i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Den bestämmelse för myndigheter som föreslås i propositionen Ny dataskyddslag är mer långtgående (se avsnitt 13.2.1). Den innebär att myndigheter, även i annat fall får behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Regeringen anser att kompletterande reglering i lagen om yrkeshögskolan bör utfor- mas på ett sätt som motsvarar regleringen i dataskyddslagen. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lag- tekniska lösningar med anledning av EU:s dataskyddsreform. Eftersom det redan konstaterats i avsnitt 8 att anordnande och bedrivande av utbildning utgör ett viktigt allmänt intresse anser regeringen att det är tillräckligt att i den kompletterande bestämmelsen i lagen om yrkeshögskolan ange att behandlingen av personuppgifter ska vara nödvändig i verksamheten. I övrigt bör bestämmelsens utformning följa den föreslagna formuleringen i dataskyddslagen.

Regeringens uppfattning är att en bestämmelse som möjliggör för en- skilda utbildningsanordnare inom yrkeshögskolan att behandla känsliga personuppgifter i annat fall om det är nödvändigt av hänsyn till ett viktigt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet, i t.ex. faktiskt verksamhet som undervisning, står i proportion till det eftersträvade syftet. En bestämmelse med sådana starkt begränsande rekvisit tillgodoser enligt regeringen dataskyddsförord- ningens krav på proportionalitet och skyddsåtgärder. I avsnitt 13.5.5 föreslås dessutom vissa sökbegränsningar i fråga om känsliga person- uppgifter.

170

Av samma skäl som gör sig gällande i fråga om de enskilda utbild- Prop. 2017/18:218 ningsanordnarna inom yrkeshögskolan, bör en motsvarande bestämmelse

som möjliggör behandling av känsliga personuppgifter även i annat fall införas för dem som anordnar utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Utredningen har även föreslagit ett bemyndigande i lagen om yrkes- högskolan för regeringen att meddela föreskrifter om ytterligare undan- tag från förbudet att behandla känsliga personuppgifter. Något mot- svarande bemyndigande har inte föreslagits i lagen om tillstånd att utfär- da vissa examina, trots att behovet av behandling av känsliga person- uppgifter är likartat på det området. Det finns i dagsläget inte heller något som tyder på att det skulle finnas ett behov av att införa kompletterande bestämmelser på förordningsnivå. Regeringen anser därför att det saknas behov av att införa ett bemyndigande för regeringen att meddela ytter- ligare föreskrifter om behandling av känsliga personuppgifter. Skulle ett sådant behov trots allt uppstå finns dock en möjlighet för regeringen att meddela föreskrifter med stöd av bemyndigandet i 3 kap. 4 § dataskydds- lagen.

13.5.5Det ska vara förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter

Regeringens förslag: Det ska vara förbjudet för enskilda utbildnings- anordnare inom yrkeshögskolan att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter.

Regeringens bedömning: Motsvarande bestämmelse bör införas för dem som anordnar utbildning som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Utredningens förslag: Utredningen har föreslagit ett förbud mot att

 

använda sökbegrepp som avslöjar känsliga personuppgifter.

 

Remissinstanserna: Det stora flertalet remissinstanser har inte några

 

synpunkter på eller har inget att erinra mot utredningens förslag.

 

Academedia AB tillstyrker utredningen förslag.

 

Justitiekanslern anser generellt att det är mycket angeläget att likartade

 

lagtekniska lösningar väljs för de författningar som tillkommer eller ses

 

över med anledning av EU:s dataskyddsreform.

 

Dataskydd.net avstyrker förslaget och anser att dataskyddsförord-

 

ningens bestämmelser utgör en tillräcklig reglering.

 

Skälen för regeringens förslag och bedömning: I propositionen Ny

 

dataskyddslag (2017/18:105) föreslås det införas en skyddsåtgärd som

 

innebär ett förbud mot att utföra sökningar i syfte att få fram ett person-

 

urval grundat på känsliga personuppgifter (3 kap. 3 § andra stycket data-

 

skyddslagen). Sökförbudet gäller för myndigheter vid tillämpningen av

 

samtliga de bestämmelser om behandling av känsliga personuppgifter

 

som finns i 3 kap. 3 § första stycket dataskyddslagen, dvs. vid behandling

 

som krävs enligt lag, vid behandling som är nödvändig för hand-

 

läggningen av ett ärende och vid behandling i enstaka fall om behand-

 

lingen är nödvändig av hänsyn till ett viktigt allmänt intresse. I avsnitt

171

 

Prop. 2017/18:218 13.2.2 har redogjorts för detta sökförbud och skälen för att införa sök- förbudet. Eftersom sökförbudet gäller myndigheter omfattar det offent- liga utbildningsanordnare inom yrkeshögskolan, men inte enskilda ut- bildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturut- bildningar och vissa andra utbildningar. De skäl som finns för att sök- förbudet ska gälla för myndigheter, såsom offentliga utbildnings- anordnare inom yrkeshögskolan, gör sig dock gällande även för enskilda utbildningsanordnare inom yrkeshögskolan. Regeringen föreslår därför, till skillnad mot Dataskydd.net, att en motsvarande bestämmelse som innebär att enskilda utbildningsanordnare inom yrkeshögskolan inte får utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter ska införas i lagen om yrkeshögskolan.

Av samma skäl som gör sig gällande i fråga om de enskilda utbild- ningsanordnarna inom yrkeshögskolan, bedömer regeringen att en mot- svarande bestämmelse om sökbegränsningar även bör införas för dem som anordnar utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Regeringens förslag och bedömning innebär att regleringen får en något annorlunda utformning än vad som föreslagits av Utbildningsdata- utredningen. Liksom förslaget i betänkandet syftar dock regeringens förslag och bedömning till att införa en kompletterande reglering som motsvarar den som föreslås i dataskyddslagen. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform.

13.6Folkbildningen bör ges rättsligt stöd för att behandla känsliga personuppgifter

Regeringen bedömning: Folkhögskolorna och studieförbunden bör inte behandla känsliga personuppgifter inom statsbidragsfinansierad folkbildning med stöd av samtycke utan bör ges rättsligt stöd för behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i EU:s dataskyddsförordning.

Utredningens bedömning: Utredningen bedömer att folkhögskolornas och studieförbundens behandling av känsliga personuppgifter kan ske med stöd av den rättsliga grunden samtycke i artikel 9.2 a i dataskydds- förordningen.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Det gäller t.ex. Folkbildningsrådet, Lärarnas Riksförbund, Lärarförbundet och Studieförbundet SISU Idrottsutbildarna.

Migrationsverket påpekar att om det i folkhögskolornas verksamhet för asylsökande med stöd av förordningen (2015:521) om statsbidrag till särskilda folkbildningsinsatser för asylsökande och vissa nyanlända in- vandrare förekommer en uppgift om ett dossiénummer, så röjer det i någon mån att en person är eller har varit asylsökande. Det kan därför

172

finnas anledning att överväga om uppgiften ska anses som integritets- känslig vid behandling av personuppgifter.

Datainspektionen delar inte utredningens uppfattning att folkhögskolor och studieförbund kan stödja sin behandling av känsliga personuppgifter på samtycke, eftersom det inte går att utgå från att en frivillig studieform innebär att även behandlingen av personuppgifter är frivillig. Även Studieförbunden i samverkan vänder sig emot utredningens bedömning att studieförbunden enbart ska använda samtycke som rättslig grund för sin personuppgiftsbehandling.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över vissa delar av ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt.

Folkbildningsrådet, Studieförbunden i samverkan, Studieförbundet SISU Idrottsutbildarna och Statistiska centralbyrån tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Det förekommer att vissa folk- högskolor och studieförbund som anordnar kontakttolkutbildning anteck- nar tolkspråket i sitt register. Folkhögskolor och studieförbund som anordnar sådan utbildning kan under vissa förutsättningar erhålla stats- bidrag som beviljas av Myndigheten för yrkeshögskolan enligt förord- ningen (2012:140) om statsbidrag för viss utbildning som rör tolkning och teckenspråk. Uppgifter om namn och språkkunskaper har i vissa ut- redningar ansetts utgöra indirekta upplysningar om en persons etniska ursprung (t.ex. SOU 2001:32 s. 124 och SOU 2003:40 s. 180). Data- inspektionen har i en rapport angett att en uppgift om en persons moders- mål i vissa fall kan vara en uppgift som indirekt avslöjar etniskt ursprung (Datainspektionens rapport 2002:2, s. 8). Regeringen har dock tidigare bedömt att en isolerad uppgift om medborgarskap eller uppgifter om nationalitet eller ursprungsland inte avslöjar vare sig ras eller etniskt ur- sprung (prop. 2001/02:144 s. 41 och prop. 2009/10:85 s. 325). I linje med dess tidigare bedömning anser regeringen att en uppgift om tolkspråk i sig inte utgör en känslig personuppgift, men att den tillsammans med andra uppgifter kan bli en uppgift om etniskt ursprung, alltså en känslig personuppgift. Det är svårt att uttala sig generellt om gränsdragningen för när sådana uppgifter utgör känsliga personuppgifter.

Liknande gränsfrågor skulle kunna uppstå i den verksamhet som be- drivs av folkhögskolor och studieförbund och som avser särskilda insat- ser för personer som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl., eller avses i förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar och som bor i Migrations- verkets anläggningsboende, och för vilka statsbidrag kan lämnas enligt förordningen (2015:521) om statsbidrag till särskilda folkbildnings- insatser för asylsökande och vissa nyanlända invandrare, som också har uppmärksammats av Migrationsverket.

Utredningen om ökad insyn i välfärden (S 2015:04) har i betänkandet Ökad insyn i välfärden (SOU 2016:62 s. 168 ff.) föreslagit att folkhög- skolor som anordnar utbildning som motsvarar kommunal vuxenutbild- ning i svenska för invandrare enligt 24 kap. 11−15 §§ skollagen ska omfattas av offentlighetsprincipen. Offentlighetsprincipen föreslås dock begränsas till de handlingar som hör till den offentligt finansierade verk-

Prop. 2017/18:218

173

Prop. 2017/18:218 samheten. Stöd för behandling av känsliga personuppgifter som eventu- ellt förekommer i dessa handlingar berörs i avsnitt 13.3.2.

Vidare kan folkhögskolorna ansöka om statsbidrag för kostnader för särskilt utbildningsstöd som erbjuds studerande med funktionsnedsätt- ningar enligt förordningen (2011:1163) om statsbidrag för särskilt utbild- ningsstöd. Ansökan görs till Specialpedagogiska skolmyndigheten (SPSM). Såvitt Utbildningsdatautredningen erfarit lämnas inga direkta personuppgifter in i samband med ansökan. I ansökan framgår endast uppgift om kön och funktionsnedsättning per skola och kurs (SOU 2017:49 s. 358). Då själva ansökan till SPSM inte innehåller några personuppgifter behöver folkhögskolorna inte något rättsligt stöd för att behandla dessa uppgifter i ansökan. Även om en ansökan om statsbidrag för särskilt utbildningsstöd inte innehåller några känsliga personuppgifter kan folkhögskolorna i sin verksamhet behöva behandla sådana uppgifter inför upprättande av ansökan och beträffande studerande med funktions- nedsättning. I dagsläget hämtar folkhögskolorna in en form av samtycke från de studerande för behandlingen.

Folkhögskolorna och studieförbunden som bedriver statsbidrags- finansierad folkbildning kan alltså i vissa sammanhang ha behov av att behandla känsliga personuppgifter. Av de skäl som angetts i avsnitt 9.4.2, delar regeringen Datainspektionens och Studieförbunden i samver- kans uppfattning att personuppgiftbehandlingen inte bör grundas på sam- tycke. Då behandlingen inte omfattas av de generella bestämmelser för myndigheter som föreslås i 3 kap. 3 § dataskyddslagen om sådan be- handling av känsliga personuppgifter som krävs enligt lag, i ärenden eller i annat fall, behöver folkhögskolorna och studieförbundet därför ges ett rättsligt stöd för behandling av känsliga personuppgifter som är nöd- vändig med hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen. Av avsnitt 12 framgår att regeringen bedömer att regleringen kan införas på förordningsnivå.

 

13.7

Studiestödsdatalagens bestämmelser om

 

 

känsliga personuppgifter ska hänvisa till

 

 

dataskyddsförordningen

 

 

 

Regeringens bedömning: CSN ska även i fortsättningen få behandla

 

känsliga personuppgifter för de ändamål som anges i studiestöds-

 

datalagen.

 

Regeringens förslag: Studiestödsdatalagens uppräkning av de käns-

 

liga personuppgifter som bara får behandlas för vissa ändamål ska

 

ersättas av en hänvisning till artikel 9.1 och 9.2 g i EU:s dataskydds-

 

förordning.

 

Studiestödsdatalagens uppräkning av känsliga personuppgifter som

 

inte får användas som sökbegrepp ska ersättas av en hänvisning till

 

artikel 9.1 i dataskyddsförordningen.

 

Utredningens förslag och bedömning: Utredningens bedömning

 

överensstämmer med regeringens. Utredningen föreslår dock att studie-

174

stödsdatalagens bestämmelser om CSN:s behandling av känsliga person-

 

 

uppgifter och sökförbud ska kompletteras med de nya kategorier av känsliga personuppgifter som anges i artikel 9.1 i dataskyddsförord- ningen.

Remissinstanserna: Det stora flertalet remissinstanser, däribland Centrala studiestödsnämnden, har inte några synpunkter på eller har inget att erinra mot utredningens förslag och bedömning.

Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

Migrationsverket anser att det kan finnas anledning att överväga om underrättelser som Migrationsverket lämnar med stöd av lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemet till berörda myndigheter om att en ekonomisk förmån har beslutats eller betalats ut felaktigt eller med ett för högt belopp kan innefatta integritetskänsliga personuppgifter.

Datainspektionen delar uppfattningen att ett undantag kan grundas på artikel 9.2 g i dataskyddsförordningen, men under förutsättning att det är frågan om ett viktigt allmänt intresse och det ska gälla alla kategorier av känsliga personuppgifter och alla behandlingar som bestämmelsen om- fattar. En sådan bestämmelse kräver också enligt förordningen lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Datainspektionen saknar en analys och redo- visning av bestämmelsen i förhållande till artikel 9.2 g. Datainspektionen avstyrker förslaget att behålla bestämmelsen om känsliga personuppgifter i sin nuvarande utformning. Datainspektionen anser också att det bör hänvisas till artikel 9.2 g i dataskyddsförordningen eftersom det är den bestämmelsen som utgör det faktiska undantaget. Utan en sådan hänvis- ning är det inte tydligt vare sig för den personuppgiftsansvarige eller den registrerade med vilket stöd som behandlingen av känsliga personupp- gifter sker. Dataskydd.net avstyrker förslagen och anser att dataskydds- förordningens bestämmelser utgör en tillräcklig reglering.

Skälen för regeringens bedömning och förslag

CSN ska även fortsättningsvis kunna behandla känsliga personuppgifter för de i studiestödsdatalagen angivna ändamålen

Regeringen har i samband med införandet av studiestödsdatalagen i pro- positionen Behandling av personuppgifter inom studiestödsområdet (prop. 2008/09:96) gjort en analys av s CSN behov av behandling av känsliga personuppgifter. I propositionen konstaterar regeringen bl.a. att vissa av de känsliga personuppgifterna som anges i 13 § PUL normalt inte torde förekomma i CSN:s studiestödsverksamhet, men att det dock inte kan uteslutas att uppgifter som avslöjar t.ex. ras eller filosofisk övertygelse kan förekomma i verksamheten. Även om CSN inte efter- frågar sådana uppgifter kan de ändå förekomma som information i t.ex. ansökningshandlingar eller intyg som lämnas in till myndigheten. Enligt regeringen ska därför samtliga känsliga personuppgifter som avses i 13 § PUL omfattas av studiestödsdatalagen (prop. 2008/09:96 s. 48–49).

Till följd av den i propositionen gjorda analysen anges i studiestöds- datalagen att behandling av personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller med-

Prop. 2017/18:218

175

Prop. 2017/18:218 lemskap i fackförening eller som rör hälsa eller sexualliv får behandlas bara för att

handlägga ärenden i studiestödsverksamheten, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för hand- läggningen av ett sådant ärende,

anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheten,

lämnas ut till den registrerade själv, riksdagen och regeringen samt i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra, och

ge tillgång till vägledande avgöranden, om uppgifterna inte direkt pekar ut den registrerade (6 § studiestödsdatalagen).

När det gäller den av Datainspektionen efterfrågade analysen, anser rege- ringen således att CSN:s behov av behandling av känsliga personupp- gifter redan har analyserats och att det saknas anledning att nu göra en förnyad analys. I fråga om Datainspektionens påpekande att behandling av känsliga personuppgifter enligt artikel 9.2 g i dataskyddsförordningen förutsätter att det är fråga om ett viktigt allmänt intresse, kan konstateras att regeringen i avsnitt 9.5.2 har redogjort för varför CSN:s studiestöds- verksamhet bedöms utgöra en uppgift av allmänt intresse och att rege- ringen av samma skäl anser att verksamheten även utgör ett viktigt all- mänt intresse. De specifika avgränsningar som gäller för behandlingen uppfyller enligt regeringens mening också dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Mot denna bakgrund anser rege- ringen att CSN alltjämt ska ha möjlighet att behandla känsliga person- uppgifter för de i studiestödsdatalagen angivna ändamålen. När det gäller underrättelser som inkommer till CSN till följd av lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemet, som uppmärksammats av Migrationsverket, anser regeringen att even- tuella känsliga personuppgifter i sådana underrättelser bör kunna behand- las med stöd av den bestämmelse som gäller för CSN:s handläggning av ärenden.

Studiestödsdatalagens uppräkning av känsliga personuppgifter ska ersättas av en hänvisning till artikel 9.1 i dataskyddsförordningen

Utredningen föreslår att uppräkningen i 6 § studiestödsdatalagen av vilka kategorier av känsliga personuppgifter som får behandlas ska komplette- ras med de nya kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen, dvs. genetiska uppgifter eller biometriska upp- gifter för att entydigt identifiera en person och uppgifter om sexuell lägg- ning.

Regeringen har i propositionen Ny dataskyddslag (2017/18:105) föreslagit ett antal bestämmelser i dataskyddslagen om när känsliga personuppgifter ska få behandlas. Dataskyddslagen föreslås dock inte innehålla någon uppräkning av de kategorier av uppgifter som utgör känsliga personuppgifter. Däremot anges att med begreppet känsliga personuppgifter avses i lagen sådana känsliga personuppgifter som anges

i artikel 9.1 i EU:s dataskyddslag (3 kap. 1 § dataskyddslagen). Vidare

176

har varken utredningen eller regeringen sett skäl att i skollagen, lagen om Prop. 2017/18:218 tillstånd att utfärda vissa examina eller lagen om yrkeshögskolan, i

anslutning till de bestämmelser som anger när känsliga personuppgifter får behandlas med stöd av artikel 9.2 g i dataskyddsförordningen, göra en uppräkning av vilka kategorier av uppgifter som utgör känsliga person- uppgifter. Regeringen ser mot denna bakgrund, och mot bakgrund av att likartade lagtekniska lösningar efterfrågats av Justitiekanslern, inte skäl att i studiestödsdatalagen ha en uppräkning av de olika kategorierna av känsliga personuppgifter. Regeringen föreslår därför att det i 6 § studie- stödsdatalagen i stället ska anges att sådana personuppgifter som avses i artikel 9.1 i dataskyddsförordningen med stöd av artikel 9.2 g i EU:s dataskyddsförordning får behandlas av CSN för de i lagen angivna ända- målen. I paragrafen bör även kortformen känsliga personuppgifter införas som benämning på sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen.

Studiestödsdatalagens förbud mot sökbegrepp ska hänvisa till dataskyddsförordningen

Vilka sökbegrepp som, förutom i vissa undantagsfall, inte får användas i CSN:s studiestödsverksamhet regleras i 8 § studiestödsdatalagen. Förbu- det omfattar bland annat känsliga personuppgifter enligt motsvarande definition som PUL, dvs. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.

Som framgått ovan anser regeringen, att studiestödsdatalagens bestäm- melse om behandling av känsliga personuppgifter, genom en hänvisning till dataskyddsförordningen, bör omfatta samtliga de kategorier av personuppgifter som anges i artikel 9.1 i förordningen. Följaktligen delar regeringen också utredningens bedömning att även studiestödsdatalagen förbud mot vissa sökbegrepp ska omfatta samtliga de kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen. Regeringen anser dock att förbudet i 8 §, i stället för att innehålla en uppräkning av alla kategorier av känsliga personuppgifter, bör hänvisa till sådana personuppgifter som avses i artikel 9.1 i dataskyddsförord- ningen och som benämns känsliga personuppgifter.

14Sektorslagstiftningen ska kompletteras med bestämmelser om behandling av personuppgifter som rör lagöverträdelser

14.1 Dataskyddsförordningen tillåter bara behandling av personuppgifter som rör lagöverträdelser i vissa fall

Enligt dataskyddsförordningen får behandling av personuppgifter som

 

rör fällande domar i brottmål och överträdelser eller därmed samman-

177

 

Prop. 2017/18:218 hängande säkerhetsåtgärder endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättig-

heter och friheter fastställs. Ett fullständigt register över fällande domar i

brottmål får endast föras under kontroll av en myndighet (artikel 10). Regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18 s. 98) är att artikel 10 i förordningen, för svenskt vidkommande, tar sikte på personuppgifter som rör fällande domar i brottmål, lagöver- trädelser som innefattar brott eller straffprocessuella tvångsmedel.

En motsvarande bestämmelse finns i dag i artikel 8.5 i dataskydds- direktivet, där det framgår att uppgifter om lagöverträdelser, brottmåls- domar eller säkerhetsåtgärder får behandlas endast under kontroll av en myndighet eller med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Artikel 8.5 i dataskyddsdirektivet har genomförts i svensk rätt genom 21 § PUL, vars första stycke är avsett att uppfylla det som krävs enligt artikel 8.5 (prop. 1997/98:44, s. 129).

Artikel 10 i dataskyddsförordningen skiljer sig dock något från regle- ringen i direktivet. Förordningens bestämmelse har begränsats till enbart fällande brottmålsdomar. En annan skillnad i förordningen jämfört med direktivet är att hänvisningen till personuppgifter om avgöranden i tviste- mål och administrativa sanktioner har tagits bort. Som regeringen konsta- terar i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 98) innebär detta att uppgifter om administrativa frihetsberövanden inte omfattas av någon särskild reglering enligt dataskyddsförordningen, om de inte utgör känsliga personuppgifter enligt artikel 9.1, exempelvis om de också avslöjar uppgifter om etniskt ursprung eller psykisk ohälsa.

I det följande används begreppet lagöverträdelser som ett samlings- begrepp för de personuppgifter som avses i artikel 10 i dataskyddsförord- ningen.

14.2 Dataskyddslagen kompletterar dataskydds- förordningen

 

I propositionen Ny dataskyddslag (2017/18:105) föreslår regeringen att

 

bestämmelser om behandling av personuppgifter som rör lagöverträ-

 

delser införs i dataskyddslagen. I lagen anges att personuppgifter som av-

 

ses i artikel 10 i dataskyddsförordningen får behandlas av myndigheter

 

och att även andra än myndigheter får behandla sådana personuppgifter

 

om behandlingen är nödvändig för att den personuppgiftsansvarige ska

 

kunna följa föreskrifter om arkiv (3 kap. 8 §).

 

Regeringen eller den myndighet som regeringen bestämmer bemyn-

 

digas att meddela föreskrifter om i vilka fall andra än myndigheter får

 

behandla de aktuella personuppgifterna. Vidare bemyndigas den myn-

 

dighet som regeringen bestämmer att i enskilda fall besluta att andra än

 

myndigheter får behandla nämnda personuppgifter (3 kap. 9 §). Data-

 

skyddsutredningen har också i sitt betänkande (SOU 2017:39 s. 55 f.)

 

föreslagit en ny förordning med kompletterande bestämmelser om be-

 

handling av personuppgifter som rör lagöverträdelser med ett bemyndig-

178

ande för Datainspektionen att meddela ytterligare föreskrifter härom.

 

14.3

Kompletterande bestämmelser om

Prop. 2017/18:218

 

lagöverträdelser ska införas i skollagen

 

14.3.1Det finns behov av behandling av personuppgifter som rör lagöverträdelser i skollagsreglerad verksamhet

I skollagen finns bestämmelser om disciplinära och andra särskilda åt- gärder. Med sådana åtgärder avses utvisning, kvarsittning, tillfällig om- placering, tillfällig placering vid annan skolenhet, avstängning och om- händertagande av föremål. Rektor eller en lärare får vidta de omedelbara och tillfälliga åtgärder som är befogade för att tillförsäkra eleverna trygghet och studiero eller för att komma till rätta med en elevs ordnings- störande uppträdande. Huvudmannen får under vissa förutsättningar be- sluta att helt eller delvis stänga av en elev från gymnasieskolan, gymna- siesärskolan, kommunal vuxenutbildning och särskild utbildning för vuxna (5 kap. skollagen).

Om vissa särskilda åtgärder vidtagits enligt 5 kap. skollagen, såsom t.ex. utvisning ur undervisningslokalen, tillfällig omplacering till en annan undervisningsgrupp än den eleven annars hör till, tillfällig place- ring till en annan skolenhet, avstängning från vissa obligatoriska skolformer och avstängning från de frivilliga skolformerna, ska åtgärden dokumenteras skriftligt av den som genomfört den (5 kap. 24 § skol- lagen).

I samband med att disciplinära eller andra särskilda åtgärder, t.ex. avstängning, behöver vidtas kan det i vissa fall vara nödvändigt att be- handla en uppgift om bl.a. lagöverträdelser. Ett exempel kan vara i ett ärende rörande avstängning av en narkotikapåverkad elev som dyker upp i skolan och är farlig för sig själv eller andra. I detta sammanhang skulle det, om eleven tidigare har dömts för t.ex. ringa narkotikabrott, kunna bli aktuellt att även anteckna den uppgiften.

Även inom elevhälsan skulle det kunna uppstå situationer där det finns ett berättigat behov av att i löpande text behandla en uppgift om en lag- överträdelse. Datainspektionen har också genom föreskrifter möjliggjort för den elevvårdande verksamheten i fristående skolor att i anteckningar behandla uppgifter om bl.a. lagöverträdelser (1 § b Datainspektionens föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. [DIFS 1998:3] som ändrats genom DIFS 2010:1). För dessa skolor har det således bedömts finnas ett behov av att i den elevvårdande verksamheten kunna behandla uppgifter om bl.a. lagöverträdelser i anteckningar, dvs. löpande text. Be- greppet elevvårdande verksamhet används dock inte i skollagen, utan i stället används begreppet elevhälsa som ska omfatta medicinska, psykologiska, psykosociala och specialpedagogiska insatser (2 kap. 25 § skollagen).

179

Prop. 2017/18:218

180

14.3.2Behandling av personuppgifter som rör lagöverträdelser ska tillåtas i vissa fall

Regeringens förslag: I skollagen ska det anges att personuppgifter om lagöverträdelser som avses i artikel 10 i EU:s dataskyddsförordning ska få behandlas i verksamhet hos en huvudman för en fristående skola dels i elevhälsan i löpande text, dels i skriftlig dokumentation som ska föras om disciplinära och andra särskilda åtgärder enligt skollagen. Behand- lingen ska vara tillåten om den är nödvändig och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningen har föreslagit att fristående skolor får behandla personuppgifter om lagöverträdelser om det är absolut nödvändigt i löpande text inom elevhälsan och i skriftlig dokumentation om särskilda åtgärder enligt skollagen.

Remissinstanserna: De flesta remissinstanserna har tillstyrkt eller inte kommenterat utredningens förslag. Stockholms kommun anser att för- slaget är väl avvägt. Statens skolinspektion framhåller att det enligt skol- lagen råder en skyldighet för den som erbjuds en anställning inom förskolan, förskoleklassen, fritidshemmet, grundskolan, grundsärskolan, specialskolan och annan pedagogisk verksamhet att lämna ett utdrag ur belastningsregister och att det därför behövs en reglering för samtliga skolformer som avser behandling av personuppgifter om lagöverträdelser m.m. Även Friskolornas riksförbund uppmärksammar detta behov. Dataskydd.net avstyrker utredningens förslag med motiveringen att det redan regleras i dataskyddsförordningen när personuppgifter om lagöver- trädelser får behandlas och att ytterligare reglering skulle framstå som missvisande.

Skälen för regeringens förslag: Av artikel 10 i dataskyddsförord- ningen följer att uppgifter om lagöverträdelser får behandlas om det sker under kontroll av myndighet, vilket enligt regeringens bedömning i pro- positionen Ny dataskyddslag (prop. 2017/18:105 s. 99) innebär att myn- digheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter som rör lagöverträdelser. Enligt förslaget i den propositionen har det i 3 kap. 8 § dataskyddslagen förtydligats att myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen.

Inom utbildning med offentlig huvudman kommer alltså person- uppgifter som rör lagöverträdelser kunna behandlas.

Någon motsvarande möjligt att behandla uppgifter om lagöverträdelser som omfattar enskilda skolhuvudmän föreslås dock inte i dataskydds- lagen. Behovet av att behandla uppgifter om lagöverträdelser är dock detsamma hos enskilda skolhuvudmän som hos offentliga, då det om- fattas av samma regelverk i skollagen. Exempelvis kan nämnas att bestämmelser om tillfällig omplacering och avstängning i 5 kap. skol- lagen tar sikte på bl.a. övriga elevers trygghet och studiero. Det måste därmed anses vara lika angeläget att det i fristående skolor är möjligt att behandla personuppgifter som rör lagöverträdelser i dessa sammanhang som i skolor med offentlig huvudman. Till skillnad från Dataskydd.net anser regeringen därför att en bestämmelse som möjliggör att hos

huvudmän för fristående skolor behandla personuppgifter som rör lagöverträdelser dels i elevhälsan, dels i skriftlig dokumentation som ska föras om disciplinära och andra särskilda åtgärder enligt 5 kap. 24 § skollagen, bör införas i skollagen. I likhet med den bestämmelse om lagöverträdelser som föreslås i propositionen Ny dataskyddslag (prop. 2017/18:105) bör bestämmelsen, i stället för att innehålla en uppräkning av de personuppgifter som får behandlas, formuleras så att den hänvisar till de personuppgifter som avses i artikel 10 i dataskyddsförordningen.

Däremot kommer det behov av behandling av personuppgifter från belastningsregister som Statens skolinspektion framhåller att upphöra. I lagrådsremissen Offentlighetsprincipen ska gälla i fristående skolor före- slås att den skyldighet som följer av 2 kap. 31 § skollagen, att i samband med anställningen inom det skollagsreglerade området lämna ett utdrag från belastningsregister, ska ersättas med en skyldighet att visa upp ett utdrag från belastningsregistret. Det ska enligt förslaget endast antecknas att den sökande har visat upp registerutdraget men inte innehållet i registerutdraget. Det innebär att de uppgifter om lagöverträdelser som eventuellt finns på registerutdraget inte kommer att behandlas. Änd- ringen föreslås träda i kraft den 1 juli 2019, och något behov av att behandla uppgifter om lagöverträdelser och liknande i belastningsregis- terutdrag kommer därför inte finnas efter det.

En bestämmelse som möjliggör att i fristående skolor behandla person- uppgifter som rör lagöverträdelser måste, enligt artikel 10 i dataskydds- förordningen, omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. En sådan bestämmelse bör därför bestå av rekvisit som betonar att det är fråga om en restriktiv tillämpning där en noggrann avvägning behöver göras mellan behovet av behandling och intrånget i den enskildes integritet. Utbildningsdatautredningen har med utgångspunkten i Dataskyddsutredningens förslag till bestämmelsen om myndigheters behandling av känsliga personuppgifter i enstaka fall (3 kap. 3 § 3) föreslagit att fristående skolor ska få behandla personupp- gifter om lagöverträdelser om det är absolut nödvändigt i löpande text inom elevhälsan och för dokumentation om särskilda åtgärder enligt skollagen. I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås en bestämmelse i dataskyddslagen om myndigheters behandling av käns- liga personuppgifter i annat fall med en ändrad lydelse i förhållande till betänkandet. Enligt förslaget i propositionen ska myndigheter få behand- la känsliga personuppgifter i annat fall om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § 3). I syfte att skapa så enhetlig reglering som möjligt anser regeringen att det är lämp- ligt att använda samma typ av begränsning som i dataskyddslagen. Be- handling av personuppgifter som rör lagöverträdelser bör enligt reger- ingens uppfattning därför tillåtas om det är nödvändigt för dokumen- tation i löpande text inom elevhälsan och dokumentation av vidtagna disciplinära och andra särskilda åtgärder, under förutsättning att behand- lingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. På detta sätt skapas en möjlighet för dels elevhälsan, dels huvudman, rektor och lärare att, när de har en skyldighet enligt 5 kap. 24 § skollagen att dokumentera åtgärder, behandla nödvändiga uppgifter om t.ex. fällande domar samtidigt som den enskilda elevens integritet

Prop. 2017/18:218

181

Prop. 2017/18:218 skyddas genom att bestämmelsen ska tillämpas restriktivt. En bestäm- melse med sådana begränsande rekvisit får anses uppfylla kraven i artikel 10 i dataskyddsförordningen och bör därför införas.

Då det redan i dagsläget är tillåtet att hos huvudmän för fristående skolor behandla uppgifter om lagöverträdelser i löpande text med stöd av 5 a § PUL blir den föreslagna bestämmelsens intrång i de enskildas inte- gritet varken större eller mindre än med gällande bestämmelser.

14.4Kompletterande bestämmelser om lagöverträdelser ska införas i lagen om tillstånd att utfärda vissa examina

14.4.1Det finns behov av behandling av personuppgifter som rör lagöverträdelser på högskoleområdet

Som angetts i avsnitt 3.4.1, får en student vid en statlig högskola under vissa förutsättningar avskiljas från utbildningen. En sådan grund för av- skiljande är att studenten har gjort sig skyldig till allvarlig brottslighet (4 kap. 6 § högskolelagen och förordningen [2007:989] om avskiljande av studenter från högskoleutbildning). Detta medför att statliga högskolor kan behöva behandla personuppgifter som rör fällande domar i brottmål i utredningar och ärenden om avskiljande.

Vidare finns det samma behov hos enskilda utbildningsanordnare att ha motsvarande regler om disciplinära åtgärder och avskiljande som statliga högskolor. Chalmers tekniska högskola AB, Handelshögskolan i Stock- holm och Stiftelsen högskolan i Jönköping är exempel på enskilda utbild- ningsanordnare som har en disciplinstadga eller ett regelverk för disci- plinära åtgärder och där allvarlig brottslighet kan utgöra grund för åtgärd. Även enskilda utbildningsanordnare har således behov av att kunna behandla personuppgifter om fällande domar i brottmål i utredningar och i ärenden om disciplinära åtgärder och avskiljande.

14.4.2Behandling av personuppgifter som rör fällande domar i brottmål ska tillåtas i ärenden om avskiljande från utbildning

Regeringens förslag: I lagen om tillstånd att utfärda vissa examina ska det anges att enskilda utbildningsanordnare får behandla person- uppgifter som rör fällande domar i brottmål om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en student från utbildning.

Regeringens bedömning: Något sökförbud behövs inte för person- uppgifter som rör fällande domar i brottmål.

Utredningens förslag: Överensstämmer delvis med regeringens för- slag. Utredningens förslag omfattar behandling av personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande

av en student från utbildning om det är absolut nödvändigt för ändamålet

182

med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära. Utredningen har också föreslagit ett förbud mot att använda sökbegrepp som avslöjar personuppgifter som rör fällande domar i brottmål.

Remissinstanserna: De flesta remissinstanserna har tillstyrkt eller inte kommenterat utredningens förslag. Sveriges lantbruksuniversitet anser att det skulle kunna förtydligas vad som avses med det av utredningen före- slagna sökförbudet. Dataskydd.net avstyrker utredningens förslag med motiveringen att det redan regleras i dataskyddsförordningen när person- uppgifter om lagöverträdelser får behandlas och att ytterligare reglering skulle framstå som missvisande.

Skälen för regeringens förslag och bedömning

Av avsnitt 14.3.2 framgår att det i propositionen Ny dataskyddslag (prop. 2017/18:105) har föreslagits att det i 3 kap. 8 § dataskyddslagen ska för- tydligas att myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen. Statliga högskolor kommer alltså att kunna behandla personuppgifter om fällande domar i ärenden om av- skiljande av studenter från utbildningen.

Frånvaron av offentligrättslig reglering om avskiljande av studenter för enskilda utbildningsanordnare betyder inte att frågan är av underordnad betydelse för deras del. Som framgår i avsnitt 13.4.1 har flera enskilda utbildningsanordnare en egen disciplinstadga eller liknande. Vidare tar bestämmelser om avskiljande sikte på bl.a. övriga studenters och utbild- ningsanordnarnas arbetstagares och studenters säkerhet. Det måste där- med anses vara lika angeläget att enskilda utbildningsanordnare har möjlighet att behandla personuppgifter som rör fällande domar i brottmål i deras motsvarighet till ärenden om avskiljande. Regeringen föreslår därför, i motsats till vad Dataskydd.net anför, att en bestämmelse som möjliggör detta införs i lagen om tillstånd att utfärda vissa examina. Eftersom något behov för de enskilda utbildningsanordnarna att behandla andra slags personuppgifter som avses i artikel 10 i dataskyddsförord- ningen inte har identifierats, anser regeringen att bestämmelsen bör begränsas till att avse fällande domar i brottmål.

En bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål måste dock omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter (artikel 10 i dataskyddsförordningen).

Utbildningsdatautredningen har i sitt betänkande föreslagit att bestäm- melsen ska omfatta behandling av personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande av en student från utbildning om det är absolut nödvändigt för ändamålet med behand- lingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registre- rades personliga integritet som behandlingen kan innebära (SOU 2017:49). Den i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagna bestämmelsen i dataskyddslagen om myndigheters behandling av känsliga personuppgifter för handläggningen av ett ärende har ut- formats utan några särskilda avvägningsrekvisit. Enligt förslaget i propo-

Prop. 2017/18:218

183

Prop. 2017/18:218 sitionen får myndigheter behandla känsliga personuppgifter om behand- lingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § 2). Regeringen anser att kompletterande reglering i lagen om tillstånd att utfärda vissa examina som avser de enskilda utbildningsanordnarnas behandling av personuppgifter som rör fällande domar som är nödvändig i ärenden om avskiljande av student från utbildningen bör utformas på ett sätt som motsvarar regleringen i dataskyddslagen. Regeringens uppfatt- ning är att den snäva avgränsning som endast ger möjlighet för enskilda utbildningsanordnare att behandla personuppgifter om fällande domar i brottmål i ett specifikt ärendeslag, dvs. avskiljande från utbildningen, utgör en sådan skyddsåtgärd som avses i artikel 10 dataskyddsförord- ningen.

Något sökförbud behövs inte i fråga personuppgifter som rör fällande domar i brottmål

Utbildningsdatautredningen har i sitt betänkande även föreslagit ett förbud för enskilda utbildningsanordnare att använda sökbegrepp som avslöjar personuppgifter som rör fällande domar i brottmål. I proposi- tionen Ny dataskyddslag (prop. 2017/18:105) föreslås inte något förbud för myndigheter att som sökbegrepp använda personuppgifter om fällan- de domar i brottmål eller liknande uppgifter. Med hänsyn till att behand- ling av personuppgifter som rör fällande domar i brottmål bedöms vara ytterst begränsad inom högre utbildning anser regeringen inte att det är mer angeläget att införa ett sådant förbud för enskilda utbildnings- anordnare. Som det framhållits i avsnitt 14.3.2 strävar regeringen efter att skapa en reglering om behandling av personuppgifter på utbildnings- området som motsvarar den som föreslås i dataskyddslagen. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lag- tekniska lösningar med anledning av EU:s dataskyddsreform. Därför avstår regeringen, till skillnad från Utbildningsdatautredningen, från att föreslå några sökbegränsningar med avseende på uppgifter om fällande domar i brottmål i lagen om tillstånd att utfärda vissa examina.

 

14.5

Kompletterande bestämmelser om

 

 

lagöverträdelser ska införas i lagen om

 

 

yrkeshögskolan

 

14.5.1 Det finns behov av behandling av personuppgifter

 

 

som rör lagöverträdelser i yrkeshögskolan och

 

 

annan eftergymnasial utbildning

 

Som angetts i avsnitt 13.5.1, får studerande inom yrkeshögskola som

 

bedrivs offentliga utbildningsanordnare, under vissa förutsättningar

 

avskiljas från utbildningen. En sådan grund för avskiljande är att studen-

 

ten har gjort sig skyldig till allvarlig brottslighet (19 § lagen om yrkes-

 

högskolan). Detta medför att offentliga anordnare av utbildning inom

 

yrkeshögskolan kan behöva behandla personuppgifter som rör fällande

184

domar i brottmål i ärenden om avskiljande.

Enskilda utbildningsanordnare har motsvarande behov av regler om Prop. 2017/18:218 disciplinära åtgärder och avskiljande som statliga högskolor. Även en-

skilda utbildningsanordnare kan således ha bestämmelser som till viss del motsvarar ett avskiljande enligt den reglering som gäller för offentliga utbildningsanordnare, och därmed ha behov av att behandla person- uppgifter om fällande domar i brottmål.

Det går inte heller att utesluta att även anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har egna regelverk om avskiljande. Även dessa en- skilda utbildningsanordnare kan således ha bestämmelser som till viss del motsvarar ett avskiljande enligt den reglering som gäller för offentliga utbildningsanordnare och därmed ha behov att behandla personuppgifter om fällande domar i brottmål.

14.5.2

Behandling av personuppgifter som rör

 

 

lagöverträdelser m.m. ska tillåtas i ärenden om

 

 

avskiljande från utbildning

 

 

 

Regeringens förslag: I lagen om yrkeshögskolan ska det anges att en-

 

skilda utbildningsanordnare får behandla personuppgifter som rör

 

fällande domar i brottmål om behandlingen är nödvändig för hantering

 

som motsvarar handläggning av ett ärende om att avskilja en student

 

från utbildning.

 

Regeringens bedömning: En motsvarande bestämmelse bör införas

 

i förordningen om stöd för konst- och kulturutbildningar och vissa

 

andra utbildningar.

 

Något sökförbud för personuppgifter som rör fällande domar i

 

brottmål behövs inte i lagen eller förordningen.

 

 

 

Utredningens förslag: Överensstämmer delvis med regeringens för-

 

slag. Utredningens förslag omfattar behandling av personuppgifter som

 

rör fällande domar i brottmål i löpande text i ett ärende om avskiljande

 

av en student från utbildning om det är absolut nödvändigt för ändamålet

 

med behandlingen och om intresset av att skydda andra personer och

 

värdefull egendom klart väger över den risk för otillbörligt intrång i den

 

registrerades personliga integritet som behandlingen kan innebära. Utred-

 

ningen har också föreslagit ett förbud mot att använda sökbegrepp som

 

avslöjar personuppgifter som rör fällande domar i brottmål.

 

Remissinstanserna: De flesta remissinstanserna har tillstyrkt eller inte

 

kommenterat utredningens förslag. Dataskydd.net avstyrker utredningens

 

förslag med motiveringen att det redan regleras i dataskyddsförordningen

 

när personuppgifter om lagöverträdelser får behandlas och att ytterligare

 

reglering skulle framstå som missvisande.

 

Skälen för regeringens förslag och bedömning: Av avsnitt 14.3.2

 

framgår att det i propositionen Ny dataskyddslag (prop. 2017/18:105) har

 

föreslagits att det i 3 kap. 8 § datalyddslagen ska förtydligas att myndig-

 

heter får behandla sådana personuppgifter som avses i artikel 10 i data-

 

skyddsförordningen. Offentliga anordnare av utbildning inom yrkeshög-

 

skolan kommer alltså att kunna behandla personuppgifter om fällande

 

domar i ärenden om avskiljande av studerande från utbildningen.

185

 

 

Prop. 2017/18:218 Någon motsvarande möjligt att behandla uppgifter om fällande domar för enskilda utbildningsanordnare inom yrkeshögskolan eller utbild- ningsanordnare som omfattas av förordningen om stöd för konst- och kulturutbildningar eller vissa andra utbildningar finns dock inte i data- skyddslagen.

Av motsvarande skäl som i avsnitt 14.4.2 anges för att enskilda utbild- ningsanordnare på högskoleområdet ska få behandla personuppgifter som rör fällande domar i brottmål i ett ärende om avskiljande av studenter från utbildning, anser regeringen att en sådan bestämmelse behöver införas även för enskilda utbildningsanordnare inom yrkeshögskolan.

Regeringen bedömer även av motsvarande skäl att en bestämmelse med motsvarande avgränsningar bör införas i förordningen om stöd till konst- och kulturutbildningar och vissa andra utbildningar.

När det gäller frågan om sökförbud har regeringen i avsnitt 14.4.2 konstaterat att det i propositionen Ny dataskyddslag (prop. 2017/18:105) inte föreslås något förbud för myndigheter att som sökbegrepp använda personuppgifter om fällande domar i brottmål eller liknande uppgifter. Med hänsyn dels till att behandling av personuppgifter som rör fällande domar i brottmål bedöms vara ytterst begränsad inom yrkeshögskolan eller inom konst- och kulturutbildningar, dels till strävan att skapa en reglering om behandling av personuppgifter på utbildningsområdet som motsvarar den som föreslås i dataskyddslagen, avstår regeringen från att föreslå sökbegränsningar med avseende på uppgifter om fällande domar i brottmål i lagen om yrkeshögskolan och förordningen om stöd till konst- och kulturutbildningar.

14.6Någon särskild reglering om lagöverträdelser behövs inte för folkhögskolorna eller studieförbunden

Regeringens bedömning: Någon särskild reglering för folkhögskolornas och studieförbundens behandling av personuppgifter som rör lagöver- trädelser behövs inte.

Utredningens bedömning: Överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Remissinstanserna har inte kommenterat utred- ningens bedömning.

Skälen för regeringens bedömning: Folkhögskolorna och studieför- bunden har i sin verksamhet inte något behov av att behandla person- uppgifter omlagöverträdelser. Något behov av att för deras del särskilt reglera sådan behandling finns därför inte.

186

14.7Studiestödsdatalagens bestämmelser om lagöverträdelser ska hänvisa till dataskydds- förordningen

Regeringens bedömning: CSN ska även i fortsättningen få behandla personuppgifter om lagöverträdelser för de ändamål som anges i studiestödsdatalagen.

Regeringens förslag: Studiestödsdatalagens uppräkning av de personuppgifter om lagöverträdelser som bara får behandlas för vissa ändamål ska ersättas av en hänvisning till artikel 10 i EU:s data- skyddsförordning.

Utredningens bedömning och förslag: Utredningens bedömning överensstämmer med regeringens bedömning. Utredningen föreslår dock att studiestödsdatalagens bestämmelser om CSN:s behandling av person- uppgifter om lagöverträdelser och sökförbud ska innehålla en uppräkning av de kategorier av uppgifter som anges i artikel 10 i dataskyddsförord- ningen

Remissinstanserna: De flesta remissinstanserna har tillstyrkt eller inte kommenterat utredningens förslag. Dataskydd.net avstyrker utredningens förslag med motiveringen att det redan regleras i dataskyddsförordningen när personuppgifter om lagöverträdelser får behandlas och att ytterligare reglering skulle framstå som missvisande.

Skälen för regeringens bedömning och förslag: Inom studiestöds- verksamheten utförs all behandling av personuppgifter av CSN. Av artikel 10 i dataskyddsförordningen följer att uppgifter om lagöverträ- delser får behandlas om det sker under kontroll av myndighet, vilket enligt regeringens bedömning i propositionen Ny dataskyddslag innebär att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter som rör lagöverträdelser (prop. 2017/18:105 s. 99). Enligt förslaget i den propositionen har det i 3 kap. 8 § datalyddslagen förtydligats att myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen.

Regleringen i studiestödsdatalagen tillåter behandling av personuppgif- ter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast om uppgifterna har lämnats i ett ärende eller om det behövs för handläggningen av det, om det behövs för att anmäla oegentligheter inom studiestödsverksamheten och för utlämnande i de fall som anges i lagen. Sådana personuppgifter får också behandlas för att ge tillgång till vägledande avgöranden, om de inte direkt pekar ut den registrerade (6 §). Denna begränsning har införts i syfte att skydda den personliga integri- teten (se prop. 2008/09:96, s. 47–50). Regleringen innebär en begräns- ning i förhållande till dataskyddsförordningens och dataskyddslagens bestämmelse om myndigheters behandling av lagöverträdelser. Enligt regeringens mening har det inte framkommit skäl att på annat sätt än i dag begränsa möjligheterna till behandling av uppgifter som rör lagöver- trädelser m.m. i studiestödsverksamheten. Den nuvarande regleringen av uppgifter som rör behandling av lagöverträdelser för vissa angivna ända- mål, som får anses utgöra en sådan specifik bestämmelse för att anpassa

Prop. 2017/18:218

187

Prop. 2017/18:218 tillämpningen av bestämmelserna i förordningen som är tillåten enligt artikel 6.2 i dataskyddsförordningen, bör därför kvarstå.

I syfte att åstadkomma en enhetligare reglering och i likhet med det förslag som avser behandling av känsliga personuppgifter inom studie- stödsverksamheten, föreslår dock regeringen att den uppräkning av personuppgifter om lagöverträdelser m.m. som omfattas av begräns- ningen i stället ska ersättas med en hänvisning till den bestämmelse i dataskyddsförordningen som reglerar behandlingen av personuppgifter om lagöverträdelser (artikel 10). På motsvarande sätt föreslås också upp- räkningen av de personuppgifter om lagöverträdelser som inte får an- vändas som sökbegrepp ersättas av en hänvisning till artikel 10 i data- skyddsförordningen.

15Vissa ytterligare anpassningar till dataskyddsförordningen ska göras i studiestödsdatalagen

När det gäller behandling av personuppgifter i CSN:s studiestödsverk- samhet som regleras i studiestödsdatalagen har frågor som rör rättslig grund, känsliga personuppgifter och lagöverträdelser redan behandlats i avsnitt 9.5, 13.7 och 14.7. Nedan redogörs för behovet av ytterligare anpassningar av studiestödsdatalagen till dataskyddsförordningen.

 

15.1

Bestämmelser i studiestödsdatalagen som

 

 

bedöms vara förenliga med

 

 

dataskyddsförordningen

 

 

 

Regeringens bedömning: Studiestödsdatalagens bestämmelser om per-

 

sonuppgiftsansvar, ändamål med behandlingen, intern elektronisk till-

 

gång till personuppgifter och elektroniskt utlämnande av personuppgifter

 

är förenliga med dataskyddsförordningen och bör behållas.

 

Utredningens bedömning: Överensstämmer med regeringens.

 

Remissinstanserna: Remissinstanserna har inte några synpunkter på

 

bedömningen.

 

Skälen för regeringens bedömning

 

Bestämmelsen om personuppgiftsansvar kan och bör behållas

 

I 3 § studiestödsdatalagen finns en upplysning om att CSN är person-

 

uppgiftsansvarig för den behandling av personuppgifter som myndig-

 

heten utför. Personuppgiftsansvarig enligt dataskyddsförordningen är en

 

fysisk eller juridisk person, offentlig myndighet, institution eller annat

 

organ som ensamt eller tillsammans med andra bestämmer ändamålen

 

och medlen för behandlingen av personuppgifter. Om ändamålen och

188

medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas

nationella rätt kan den personuppgiftsansvarige eller de särskilda krite- Prop. 2017/18:218 rierna för hur denne ska utses föreskrivas i unionsrätten eller i med-

lemsstaternas nationella rätt (artikel 4.7 i dataskyddsförordningen). Som framgår nedan är ändamålen för personuppgiftsbehandlingen reglerade i studiestödsdatalagen. Även i övrigt är personuppgiftsbehandlingen regle- rad i studiestödsdatalagen och studiestödsdataförordningen. Enligt rege- ringens bedömning är därmed bestämmelsen i 3 § studiestödsdatalagen förenlig med dataskyddsförordningen och kan därmed behållas.

Bestämmelserna om ändamål, intern elektronisk tillgång till person- uppgifter och elektroniskt utlämnande av personuppgifter kan behållas

I 4 § studiestödsdatalagen regleras vilka ändamål med personuppgiftsbe- handlingen som är tillåtna. I 9 § studiestödsdatalagen finns bestämmelser om intern elektronisk tillgång till personuppgifter. Vidare innehåller 10– 14 §§ studiestödsdatalagen bestämmelser om direktåtkomst och annat elektroniskt utlämnande av personuppgifter.

Regeringen har i avsnitt 9.5.2 bedömt att det för CSN finns en i enlig- het med artikel 6.1 e och artikel 6.3 första stycket i dataskyddsförord- ningen i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet. I sådana fall är det också tillåtet att i en register- författning behålla specifika bestämmelser i form av bl.a. ändamålsbe- gränsningar, de allmänna villkor som ska gälla för den personuppgifts- ansvariges behandlingar och de enheter till vilka personuppgifter får lämnas ut (artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen). Regeringen anser följaktligen att 4, 9 och 10–14 §§ studiestödsdatalagen är förenliga med dataskyddsförordningen och kan och bör behållas.

15.2Rätten att göra invändningar ska inte gälla behandling av personuppgifter som är tillåten enligt studiestödsdatalagen

Regeringens förslag: I studiestödsdatalagen ska det anges att artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar inte gäller vid sådan behandling som är tillåten enligt studiestödsdatalagen eller enligt föreskrifter som har meddelats i anslutning till lagen.

Utredningens bedömning: Överensstämmer med regeringens i fråga om att förutsättningarna för att göra undantag från den registrerades rätt att göra invändningar är uppfyllda. Utredningen anser dock att undan- taget i 5 § studiestödsdatalagen fortsatt kan vara formulerat så att be- handlingen får utföras även om den registrerade motsätter sig behand- lingen.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot förslaget.

Centrala studiestödsnämnden anser att bestämmelsen i 5 § studiestöds- datalagen bör ändras så att det tydligare framgår att behandling av personuppgifter får ske trots invändning från den registrerade. Bestäm- melsen blir då anpassad till terminologin i dataskyddsförordningens

189

Prop. 2017/18:218 artikel 21 och det blir tydligare att 5 § studiestödsdatalagen innebär en begränsning med stöd i denna artikel.

Skälen för regeringens förslag

Förutsättningarna för att i studiestödsdatalagen göra undantag från rätten att göra invändningar är uppfyllda

Enligt 5 § studiestödsdatalagen får behandling av personuppgifter som enligt studiestödsdatalagen är tillåten utan den registrerades samtycke utföras även om den registrerade motsätter sig behandlingen. Frågan är om bestämmelsen är förenlig med dataskyddsförordningen

Som angetts i avsnitt 9.5.2 är det regeringens uppfattning att det är den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskydds- förordningen som är tillämplig på CSN:s behandling av personuppgifter inom studiestödsverksamheten. Den registrerade ska då ha rätt att göra invändningar mot behandlingar och den personuppgiftsansvarige får då inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk (artikel 21.1 i dataskyddsförordningen).

Enligt artikel 23.1 ska det dock i unionsrätten eller i en medlemsstats nationella rätt vara möjligt att införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i bl.a. artikel 21. En sådan begränsning ska ske med respekt för ande- meningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa något av de intressen som listas i artikel 23.1 i dataskyddsför- ordningen, bl.a. en medlemsstats viktiga mål av generellt allmänt intres- se. Vidare måste alla sådana lagstiftningsåtgärder enligt artikel 23.2 inne- hålla specifika bestämmelser, åtminstone när så är relevant, avseende följande:

a)ändamålen med behandlingen eller kategorierna av behandling,

b)kategorierna av personuppgifter,

c)omfattningen av de införda begränsningarna,

d)skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,

e)specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga,

f)lagringstiden samt tillämpliga skyddsåtgärder med beaktande av be- handlingens art, omfattning och ändamål eller kategorierna av be- handling,

g)riskerna för de registrerades rättigheter och friheter, och

h)de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.

 

Dataskyddsförordningen ställer därmed högre krav på den nationella

 

begränsande regleringen än dataskyddsdirektivet, eftersom det i data-

 

skyddsdirektivet inte anges några särskilda villkor för en sådan reglering.

 

När det gäller frågan om de krav

som uppställs i artikel 23 i data-

190

skyddsförordningen är uppfyllda kan

konstateras att regeringen i avsnitt

9.5.2 har gjort bedömningen att CSN:s studiestödsverksamhet utgör en Prop. 2017/18:218 sådan uppgift av allmänt intresse och även ett sådant viktigt allmänt

intresse som avses i artikel 6.1 e och artikel 9.2 g i dataskyddsförord- ningen. Regeringen anser därför att verksamheten även uppfyller kravet på att verksamheten ska syfta till att ett viktigt mål av generellt allmänt intresse enligt artikel 23.1 e.

Vidare innehåller studiestödsdatalagen med tillhörande förordning även sådana relevanta begränsningar som räknas upp i artikel 23.2, dvs. ändamålen med behandlingen (4 § studiestödsdatalagen), kategorierna av personuppgifter (bl.a. 3–6 §§ studiestödsdataförordningen), omfattningen av de införda begränsningarna (5 § studiestödsdatalagen), skyddsåtgärder (bl.a. 8 och 9 §§ studiestödsdatalagen), specificering av den person- uppgiftsansvarige (3 § studiestödsdatalagen) och lagringstiden (16 § studiestödsdatalagen och 16 § studiestödsdataförordningen). Enligt reger- ingens bedömning har studiestödsdatalagen och studiestödsdataförord- ningen införts efter noggranna överväganden av vilka bestämmelser som är relevanta i sammanhanget.

Det är av stor betydelse att personuppgifter får behandlas i studiestöds- verksamhet oberoende av den registrerades inställning. Den personupp- giftsansvarige får närmast undantagslöst anses kunna påvisa skäl för fort- satt behandling som väger tyngre än den registrerades intressen i det en- skilda fallet. Under sådana förhållanden och för att fullt ut säkerställa förutsättningarna för CSN att behandla relevanta personuppgifter bör den registrerade inte heller fortsättningsvis ha någon rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen. En sådan begränsning måste anses utgöra en nödvändig och proportionell åtgärd i syfte att säkerställa ett viktigt mål av generellt allmänt intresse.

Undantaget i studiestödsdatalagen bör anpassas till dataskyddsförord- ningen terminologi

Liksom CSN anser regeringen att undantaget från rätten att göra invänd- ningar i studiestödsdatalagen bör anpassas till terminologin i artikel 21 i dataskyddsförordningen, så att det tydligt framgår att 5 § studiestödsdata- lagen innebär en begränsning med stöd i denna artikel. I 5 § studiestöds- datalagen bör därför anges att artikel 21.1 i dataskyddsförordningen om rätten att göra invändningar inte gäller vid sådan behandling som är tillåten enligt studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till lagen.

15.3Studiestödsdatalagens bestämmelse om rättelse och skadestånd ska upphävas

Regeringens förslag: Studiestödsdatalagens bestämmelse om rättelse och skadestånd ska upphävas, eftersom rättelse och skadestånd regle- ras i dataskyddsförordningen.

Utredningens bedömning: Överensstämmer med regeringens.

 

Remissinstanserna: Remissinstanserna har inte några synpunkter på

 

förslaget.

191

 

Prop. 2017/18:218 Skälen för regeringens förslag: I 15 § studiestödsdatalagen anges att bestämmelserna i 28 och 48 §§ PUL om rättelse och skadestånd gäller vid behandling av personuppgifter enligt studiestödsdatalagen eller före- skrifter som har meddelats i anslutning till den lagen. Bestämmelserna i 15 § studiestödsdatalagen har utformats på detta sätt eftersom de angivna bestämmelserna i PUL, enligt lydelsen i PUL, bara gäller behandlingar i strid med PUL eller, enligt 28 § PUL, behandlingar i strid med bestäm- melser som har meddelats med stöd av den lagen. Eftersom PUL kom- mer att upphävas till följd av dataskyddsförordningen behöver 15 § studiestödsdatalagen ändras eller upphävas.

När det gäller rättelse anges i dataskyddsförordningen att den registre- rade har rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med be- aktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande (artikel 16). Dataskyddsförordningens be- stämmelser om rättelse kommer vara direkt tillämpliga även vid sådan personuppgiftsbehandling som sker i strid med studiestödsdatalagen. Någon hänvisning till dataskyddsförordningens bestämmelser om rättelse behövs därför inte införas i studiestödsdatalagen.

När det gäller skadestånd anges i dataskyddsförordningen att varje per- son som har lidit materiell eller immateriell skada till följd av en över- trädelse av dataskyddsförordningen ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan (artikel 82.1). Även denna bestämmelse är direkt tillämplig. Regeringen föreslår dessutom i propositionen Ny dataskyddslag (prop. 2017/18:105) att rätten till ersättning enligt dataskyddsförordningen ska gälla vid överträdelser av bestämmelser i dataskyddslagen och andra för- fattningar som kompletterar dataskyddsförordningen (7 kap. 1 data- skyddslagen). Någon hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen behövs därför inte heller i studiestödsdatalagen.

 

15.4

Studiestödsdatalagens bemyndigande om

 

 

gallring ska omfatta samma personuppgifter

 

 

som dataskyddsförordningen

 

 

 

Regeringens förslag: Studiestödsdatalagens bestämmelser om gall-

 

ring av personuppgifter och bemyndigande för regeringen eller den

 

myndighet som regeringen bestämmer att meddela föreskrifter om be-

 

varande kan och bör behållas. Terminologin i bemyndigandet bör an-

 

passas till dataskyddsförordningen.

 

 

 

Utredningens förslag: Överensstämmer med regeringens förslag.

 

Remissinstanserna: Det stora flertalet remissinstanser har inte några

 

synpunkter på eller har inget att erinra mot utredningens förslag.

 

Centrala studiestödsnämnden tillstyrker förslaget.

 

Skälen för regeringens förslag: I 16 § studiestödsdatalagen finns

 

bestämmelser om när gallring av personuppgifter ska ske och ett bemyn-

192

digande för regeringen eller den myndighet som regeringen bestämmer

 

 

att meddela föreskrifter i vissa fall. Som framgår av avsnitt 9.5.2 Prop. 2017/18:218 bedömer regeringen att det för CSN finns en, i enlighet med artikel 6.1 e

och artikel 6.3 första stycket i dataskyddsförordningen, i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet. Enligt artikel 6.2 och 6.3 andra stycket är det då tillåtet att i en register- författning behålla specifika bestämmelser i form av lagringstid. Gall- ringsbestämmelserna i 16 § studiestödsdatalagen kan följaktligen behål- las.

I 16 § tredje stycket studiestödsdatalagen anges att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål. Detta gäller även om föreskrif- terna kommer att avvika från de tidpunkter för gallring som anges i första stycket. I dataskyddsförordningen finns en motsvarande bestämmelse, av vilken bl.a. framgår att personuppgifter under vissa förutsättningar får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 (artikel 5.1 e). Den nuvarande formuleringen i dataskydds- direktivet om historiska, statistiska eller vetenskapliga ändamål har i dataskyddsförordningen således ändrats till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Enligt regeringens bedömning innebär omformule- ringen dock inte någon skillnad i sak. Regeringen anser dock att bestämmelsen i 16 § tredje stycket studiestödsdatalagen bör anpassas till den terminologi som används i dataskyddsförordningen.

16

Förhållandet till annan

 

 

 

dataskyddsreglering ska framgå av

 

 

 

sektorslagstiftningen

 

 

 

 

 

 

Regeringens förslag: I det nya kapitlet i skollagen, lagen om tillstånd att

 

 

 

utfärda vissa examina, lagen om yrkeshögskolan och studiestödsdata-

 

 

 

lagen ska det införas upplysningsbestämmelser som anger att bestäm-

 

 

 

melserna kompletterar EU:s dataskyddsförordning. I de tre förstnämnda

 

 

 

lagarna ska det även upplysas om att bestämmelser om behandling av

 

 

 

personuppgifter också finns i dataskyddslagen. I studiestödsdatalagen ska

 

 

 

det anges att vid behandling av personuppgifter enligt den lagen gäller

 

 

 

dataskyddslagen och föreskrifter som har meddelats i anslutning till den

 

 

 

lagen, om inte annat följer av lag eller föreskrifter som har meddelats i

 

 

 

anslutning till studiestödsdatalagen.

 

 

 

I det nya kapitlet i skollagen och i lagen om yrkeshögskolan ska det

 

 

 

upplysas om var i dataskyddslagen eller dataskyddsförordningen det

 

 

 

finns bestämmelser om myndigheters behandling av känsliga personupp-

 

 

 

gifter och lagöverträdelser. I lagen om tillstånd att utfärda vissa examina

 

 

 

ska det upplysas om var i dataskyddslagen det finns bestämmelser om

 

 

 

känsliga

personuppgifter för vissa enskilda organ som jämställs med

 

193

 

 

Prop. 2017/18:218 myndigheter och om lagöverträdelser för enskilda utbildningsanordnare som är skyldiga att följa föreskrifter om arkiv. Upplysningarna ska ges i anslutning till de nya bestämmelserna i sektorslagstiftningen om enskil- das behandling av känsliga personuppgifter och lagöverträdelser.

I det nya kapitlet i skollagen ska det också anges att kapitlet inte ska tillämpas på behandling av personuppgifter i elevhälsan som utförs inom hälso- och sjukvården.

Regeringens bedömning: Motsvarande bestämmelser som i lagen om tillstånd att utfärda vissa examina och lagen om yrkeshögskolan bör in- föras i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Utredningens förslag och bedömning: Överensstämmer med reger- ingens förslag i den del som innebär att det ska framgå av sektorslagstift- ningen att den kompletterar annan dataskyddsreglering och har företräde framför dataskyddslagen.

I fråga om myndigheter och organ som i dataskyddslagen jämställs med myndigheter, föreslår utredningen materiella bestämmelser i sektorslagstiftningen i stället för upplysningar om att bestämmelser som gäller för dessa aktörer finns i dataskyddslagen.

Utredningen föreslår även att det ska anges i skollagen att det nya kapitlet inte gäller behandling av personuppgifter i Kriminalvårdens verksamhet enligt 24 kap. 10 § skollagen.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag och be- dömning. Sveriges Kommuner och Landsting anser det särskilt väl- kommet att även kommunen i egenskap av hemkommun ska tillämpa det föreslagna kapitlet i skollagen trots att kommuners personuppgifts- behandling även faller in under dataskyddslagens tillämpningsområde och anser att detta förenklar tillämpningen avsevärt för kommunerna.

Justitiekanslern (JK) anser att det är mycket angeläget att likartade lag- tekniska lösningar väljs, t.ex. i fråga om i vilken mån det behövs upp- lysningsparagrafer som hänvisar till dataskyddsförordningens bestäm- melser och hur sådana ska utformas. JK anser också att det är viktigt att så långt det är möjligt eftersträva en likartad systematik i alla de lagar och förordningar som reglerar personuppgiftsbehandling.

Specialpedagogiska skolmyndigheten undrar om förslaget till det nya kapitlet i skollagen som ska komplettera dataskyddslagen innebär att skolor som också är myndigheter parallellt ska använda regleringen i de båda lagarna.

Statens skolinspektion föreslår att det i skollagen även införs en upp- lysningsbestämmelse om att Datainspektionen är tillsynsmyndighet över den personuppgiftsbehandling som sker inom Skolinspektionens tillsyns- område.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över vissa delar av ett utkast till lagrådsremiss, vars förslag och bedömning överensstämmer med regeringens förslag och bedömning i detta avsnitt. Statens skolverk anser att det är otydligt vad som i det nya kapitlet i skollagen avses med uttrycket inom hälso- och sjukvården.

194

Skälen för regeringens förslag och bedömning

Det ska framgå av sektorslagstiftningen att den kompletterar annan dataskyddsreglering

Regeringen delar Justitiekanslerns (JK) uppfattning om vikten av lik- artade lösningar i de författningar som reglerar personuppgiftsbehand- ling. I likhet med vad som föreslagits i dataskyddslagen anser regeringen att det nya kapitlet i skollagen och de nya bestämmelserna om behand- ling av personuppgifter i lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan och studiestödsdatalagen av tydlighetsskäl inledningsvis bör upplysa om att bestämmelserna utgör en komplettering till dataskyddsförordningen.

När det gäller förhållandet till dataskyddslagen föreslår regeringen att det i studiestödsdatalagen, som är en registerförfattning, bör införas en bestämmelse med samma lydelse som har föreslagits i registerförfatt- ningar på andra områden och som anger att vid behandling av person- uppgifter enligt studiestödsdatalagen gäller dataskyddslagen, och före- skrifter som har meddelats i anslutning till den lagen, om inte annat följer av studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till den lagen. Bestämmelse bör ersätta bestämmelsen i 2 § om förhållandet till PUL. Regeringen har i propositionen Ny dataskyddslag redogjort för skälen till att såväl lagar som förordningar som avviker från dataskyddslagen bör ha företräde framför bestämmelserna i dataskydds- lagen (prop. 2017/18:105 s. 26 f.).

Skollagen, lagen om tillstånd att utfärda vissa examina och lagen om yrkeshögskolan är inte registerförfattningar. De bestämmelser om be- handling av personuppgifter som föreslås där avser också endast att komplettera dataskyddslagens bestämmelser för myndigheter med mot- svarande bestämmelser för enskilda utbildningsanordnare. Det är alltså inte fråga om några bestämmelser i sektorsförfattning som avviker från dataskyddslagens reglering. Regeringen ser därför inte behov att i dessa lagar införa en bestämmelse om att bestämmelserna i sektorslagarna ska ha företräde framför dataskyddslagen. Det bör i dessa fall räcka att upp- lysa om att bestämmelser om behandling av personuppgifter även finns i dataskyddslagen.

Av samma skäl som ovan bedömer regeringen också att de nya bestäm- melserna om behandling av känsliga personuppgifter i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar inled- ningsvis bör innehålla motsvarande upplysningsbestämmelser som lagen om tillstånd att utfärda vissa examina och lagen om yrkeshögskolan.

Sektorslagstiftningen ska av tydlighetsskäl även innehålla vissa mer specifika hänvisningar till bestämmelser i andra författningar

Skollagen och lagen om yrkeshögskolan gäller både offentliga och en- skilda utbildningsanordnare. Utbildningsdatautredningen har föreslagit att vissa bestämmelser om personuppgiftsbehandling, som ska ge enskil- da utbildningsanordnare samma möjligheter till behandling som offent- liga utbildningsanordnare, i dessa lagar ska omfatta både enskilda och offentliga utbildningsanordnare. Som framgår av avsnitt 12, anser rege- ringen att bestämmelser som innebär en dubbelreglering för myndigheter inte ska införas i sektorslagstiftningen utan att kompletteringarna i den

Prop. 2017/18:218

195

Prop. 2017/18:218 lagstiftningen ska begränsas till att avse enskilda utbildningsanordnare. Regeringen anser dock att det av tydlighetsskäl är lämpligt att i sektors- lagstiftningen upplysa om var i dataskyddslagen det finns motsvarande bestämmelser för myndigheter i fråga om känsliga personuppgifter och lagöverträdelser.

Lagen om tillstånd att utfärda vissa examina gäller endast enskilda ut- bildningsanordnare. I den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen (TF) och offentlig- hets- och sekretesslagen (2009:400, OSL) gäller i en enskild utbildnings- anordnares verksamhet kommer dock denne att även omfattas av data- skyddslagens bestämmelse om behandling av känsliga personuppgifter som krävs enligt lag (3 kap. 3 § första stycket 1 och tredje stycket data- skyddslagen). Som angetts i avsnitt 13.4.2 finns det på högskoleområdet några enskilda utbildningsanordnare som ska tillämpa TF och OSL därför att de finns angivna i bilagan till OSL. Av tydlighetsskäl bör det därför i lagen om tillstånd att utfärda vissa examina, i anslutning till den nya bestämmelsen om behandling av känsliga personuppgifter, upplysas om var i dataskyddslagen det finns en motsvarande bestämmelse om behandling av känsliga personuppgifter för vissa enskilda utbildnings- anordnare som jämställs med myndigheter. I 3 kap. 8 andra stycket dataskyddslagen finns vidare en bestämmelse om att andra än myndig- heter får behandla personuppgifter om lagöverträdelser om behandlingen är nödvändig för att följa bestämmelser om arkiv. I lagen om tillstånd att utfärda vissa examina bör det därför i anslutning till den nya bestäm- melsen om behandling av fällande domar i brottmål, som är en form av uppgifter om lagöverträdelser som avses i artikel 10 i dataskyddsför- ordningen, upplysas om nämnda bestämmelse i dataskyddslagen.

Som anges i avsnitt 13.3.2 har regeringen i lagrådsremissen Offentlighetsprincipen ska gälla i fristående skolor föreslagit att en ny bestämmelse ska införas i OSL med innebörden att vad som föreskrivs i TF om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar också ska gälla handlingar hos huvudmän för fristående skolor. Enligt förslaget ska huvudmännen vid tillämpningen av OSL jäm- ställas med myndigheter. Av tydlighetsskäl bör det därför upplysas även i skollagen om var i dataskyddslagen det finns motsvarande bestämmelser för andra än myndigheter. Upplysningen bör införas i anslutning till de nya bestämmelserna om behandling av känsliga personuppgifter och lagöverträdelser.

Lagrådet anser att det är överflödigt att i lagen om tillstånd att utfärda vissa examina upplysa om att andra än myndigheter enligt 3 kap. 8 § dataskyddslagen får behandla personuppgifter om lagöverträdelser om behandlingen är nödvändig för att följa bestämmelser om arkiv. Lagrådet anser därför att en sådan bestämmelse kan undvaras. Regeringen anser dock att bestämmelsen, i likhet med motsvarande upplysning som föreslås i skollagen, bidrar till att tydliggöra vilka ytterligare möjligheter som finns för andra än myndigheter att behandla personuppgifter om lagöverträdelser. Regeringen anser därför att upplysningsbestämmelsen bör behållas. Regeringen anser dock att bestämmelsen kan förenklas redaktionellt, i likhet med vad Lagrådet föreslår i fråga om andra be- stämmelser som upplyser om innehållet i dataskyddslagen.

196

Av tydlighetsskäl föreslår regeringen även att det i det nya kapitlet i Prop. 2017/18:218 skollagen anges att kapitlet inte ska tillämpas på behandling av person-

uppgifter i elevhälsan som utförs inom hälso- och sjukvården. Skälet är att sådan personuppgiftsbehandling i stället omfattas av bl.a. patient- datalagens (2008:355) bestämmelser. Hälso- och sjukvården är ett väl- etablerat begrepp som också definieras i hälso- och sjukvårdslagen (2017:30) och sedan tidigare används i skollagen (20 kap. 20 §). Till skillnad från Statens skolverk anser regeringen därför att en sådan avgränsning av tillämpningsområdet är tillräckligt tydlig. Utredningen har även föreslagit att det ska anges i skollagen att det nya kapitlet inte gäller behandling av personuppgifter i Kriminalvårdens verksamhet en- ligt 24 kap. 10 § skollagen. Eftersom de bestämmelser om behandling av känsliga personuppgifter och lagöverträdelser som regeringen föreslår i skollagen endast gäller enskilda aktörer och det föreslagna bemyndi- gande endast gäller vissa angivna skolformer, omfattas inte Kriminal- vårdens verksamhet av bestämmelserna. Det saknas därför anledning att särskilt undanta viss verksamhet hos Kriminalvården från kapitlets tillämpningsområde.

När det gäller Statens skolinspektions förslag att i det nya kapitlet i skollagen även upplysa om att Datainspektionen är tillsynsmyndighet över den personuppgiftsbehandling som sker inom Skolinspektionens tillsynsområde, anser regeringen att detta är ett exempel på en fråga som, i enlighet med JK:s generella synpunkt om likartad hantering, bör hante- ras på samma sätt i sektorsförfattningarna. Datainspektionen pekas inte heller ut som tillsynsmyndighet i dataskyddslagen. Regeringen anser där- för att det saknas anledning att införa en sådan upplysning just i skol- lagen.

17

Hänvisningar till

 

 

dataskyddsförordningen ska vara

 

 

dynamiska

 

 

 

Regeringens förslag: De hänvisningar till EU:s dataskyddsförordning

 

som förslås i skollagen, i lagen om tillstånd att utfärda vissa examina,

 

lagen om yrkeshögskolan och studiestödsdatalagen ska vara dyna-

 

miska, dvs. avse förordningen i den vid varje tidpunkt gällande lydel-

 

sen.

 

 

 

 

Utredningens förslag: Överensstämmer med regeringens förslag.

 

Remissinstanserna: Remissinstanserna har inte haft några synpunkter

 

på förslaget.

 

Skälen för regeringens förslag: Flera av de föreslagna bestämmel-

 

serna i skollagen, i lagen om tillstånd att utfärda vissa examina, lagen om

 

yrkeshögskolan och studiestödsdatalagen innehåller hänvisningar till

 

bestämmelser i dataskyddsförordningen. Hänvisningar till EU-rättsakter

 

kan göras antingen statiska eller dynamiska. En statisk hänvisning inne-

 

bär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En

197

 

 

Prop. 2017/18:218 dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen.

Hänvisningar till dataskyddsförordningen föreslås i skollagen, i lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan och studiestödsdatalagen i de bestämmelser som anger att de nya bestämmel- serna i respektive lag kompletterar dataskyddsförordningen, i bestämmel- ser som anger att termer och uttrycks ska ha samma betydelse om i data- skyddsförordningen och i bestämmelser som kompletterar dataskydds- lagens bestämmelser om känsliga personuppgifter och lagöverträdelser. Motsvarande bestämmelser i dataskyddslagen har i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagits få en dynamisk utform- ning. Regeringen anser därför att även hänvisningarna i skollagen, lagen om tillstånd att utfärda vissa examina och lagen om yrkeshögskolan bör ges en dynamisk utformning.

18 Ikraftträdande och övergångsbestämmelser

18.1 Lagändringarna ska träda i kraft den 1 augusti

2018

Regeringens förslag: Ändringarna i lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan, studiestödsdatalagen och skollagen ska träda i kraft den 1 augusti 2018.

 

Utredningens förslag: Utredningen föreslår att lagändringarna träder i

 

kraft den 25 maj 2018.

 

Remissinstanserna: Remissinstanserna har inte några synpunkter på

 

utredningens förslag.

 

Som nämnts i avsnitt 3 har Datainspektionen beretts tillfälle att yttra

 

sig över ett utkast till lagrådsremiss. Datainspektionen anser att förslaget

 

i utkastet, som överensstämmer med bedömningen i rutan, kan påverka

 

enskilda utbildningsanordnare möjlighet att behandla känsliga person-

 

uppgifter från den 25 maj 2018. Även Statens skolverk, som beretts

 

tillfälle att yttra sig över lagförslaget i utkastet, anser att den föreslagna

 

tidpunkten för ikraftträdande bör övervägas noga.

 

Skälen för regeringens förslag: Enligt artikel 99.1 i dataskydds-

 

förordningen träder förordningen i kraft den tjugonde dagen efter det att

 

den har offentliggjorts i Europeiska unionens officiella tidning, vilket

 

skedde den 4 maj 2016. Av artikel 99.2 följer att förordningen ska

 

tillämpas från och med den 25 maj 2018. I artikel 94 anges vidare att

 

dataskyddsdirektivet ska upphöra att gälla med verkan från och med

 

samma dag och att hänvisningar till det upphävda direktivet ska anses

 

som hänvisningar till förordningen. I propositionen Ny dataskyddslag

 

(prop. 2017/18:105) föreslås att dataskyddslagen ska träda i kraft den

 

25 maj 2018 och att personuppgiftslagen (1998:204) samtidigt ska upp-

198

höra att gälla. Med hänsyn till ovanstående delar regeringen Data-

 

inspektionens och Statens skolverks uppfattning att även ändringarna i Prop. 2017/18:218 lagen (1993:792) om tillstånd att utfärda vissa examina, lagen (2009:128)

om yrkeshögskolan, studiestödsdatalagen (2009:287) och skollagen (2010:800) bör träda i kraft så snart som möjligt i anslutning till detta datum. Ett ikraftträdande föreslås därför den 1 augusti 2018, dvs. så snart som det bedöms möjligt med hänsyn till lagstiftningsprocessen.

18.2Övergångsbestämmelser behövs inte

Regeringens bedömning: Övergångsbestämmelser behövs inte.

Utredningens bedömning och förslag: Överensstämmer med rege- ringens bedömning i fråga om att övergångsbestämmelser inte behövs när det gäller ändringarna i lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan och skollagen. När det gäller ändringarna i studiestödsdatalagen föreslår utredningen övergångsbestämmelser i fråga om ärenden, överklagande av beslut och skadestånd för skada som har orsakats före ikraftträdandet.

Remissinstanserna: Remissinstanserna har inte några synpunkter på utredningens förslag.

Skälen för regeringens bedömning

Det behövs inte övergångsbestämmelser i fråga om ärenden

Utredningen föreslår att äldre föreskrifter fortfarande ska gälla i fråga om ärenden hos Datainspektionen eller CSN som har inletts men inte avgjorts före ikraftträdandet av ändringarna i studiestödsdatalagen och som avser behandlingar som utförts före ikraftträdandet.

I propositionen Ny dataskyddslag anges att en utgångspunkt i data- skyddsförordningen är att behandling som pågår den dag då förordningen börjar tillämpas ska ha bringats i överensstämmelse med förordningen. Personuppgiftsansvariga och personuppgiftsbiträden får därför förutsättas ha ordnat sin behandling så att exempelvis en begäran om information från en registrerad som inkommit men inte hunnit besvaras före ikraft- trädandet kan tillmötesgås i enlighet med förordningens bestämmelser. Även tillsynsmyndighetens verksamhet bör i möjligaste mån ha anpas- sats till förordningens regelverk vid denna tidpunkt. Tillsynsärenden kan dock pågå under en längre tid och det är inte självklart att tillsyns- myndigheten helt kan styra över när underlaget är så fullständigt att beslut i ärendet kan fattas. Dataskyddsutredningen har mot denna bak- grund föreslagit en övergångsbestämmelse om att ärenden som har inletts hos Datainspektionen före ikraftträdandet av dataskyddslagen men som vid den tidpunkten ännu inte har avgjorts, ska handläggas enligt person- uppgiftslagen. Datainspektionen har dock invänt mot det förslaget och anfört att behandling av personuppgifter i de allra flesta fall är en pågå- ende aktivitet samt att pågående behandling ska bedömas enligt regle- ringen i dataskyddsförordningen från och med dess ikraftträdande. Regeringen har mot den bakgrunden bedömt att det inte finns skäl att

införa någon sådan övergångsbestämmelse som Dataskyddsutredningen

199

Prop. 2017/18:218 har föreslagit (prop. 2017/18:105 s. 175 f.). På grund härav ser reger- ingen inte heller anledning att införa en övergångsbestämmelse i studie- stödsdatalagen.

Det behövs inte övergångsbestämmelser i fråga om överklagande

Utredningen föreslår att äldre föreskrifter fortfarande ska gälla i fråga om överklagande av beslut som avser behandlingar som utförts före ikraft- trädandet av ändringarna i studiestödsdatalagen. I propositionen Ny data- skyddslag (prop. 2017/18:105) föreslås också en övergångsbestämmelse till dataskyddslagen som innebär att PUL ska fortsätta gälla för över- klagande av beslut som har meddelats med stöd av den lagen.

En skillnad mellan PUL och studiestödsdatalagen är dock att studie- stödsdatalagen inte innehåller någon bestämmelse om överklagande av beslut. Regeringen ser därför ingen anledning att införa en övergångs- bestämmelse om att äldre föreskrifter i lagen fortfarande ska gälla i detta avseende.

Det behövs inte övergångsbestämmelser i fråga om skadestånd

Utredningen föreslår även att äldre föreskrifter fortfarande ska gälla i fråga om skadestånd för skada som har orsakats före ikraftträdandet av ändringarna i studiestödsdatalagen. En motsvarande bestämmelse har föreslagits av Dataskyddsutredningen i dataskyddslagen. Som regeringen konstaterar i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 176) följer dock av allmänna grundsatser att ny lagstiftning ska gälla i fråga om skadestånd med anledning av skadefall som inträffar efter ikraftträd- andet, medan äldre lag ska tillämpas på skadefall som har inträffat dess- förinnan. Regeringen konstaterar därför i den propositionen att det inte behöver införas någon övergångsbestämmelse om skadestånd i data- skyddslagen. På grund härav, och ser regeringen inte heller anledning att införa en övergångsbestämmelse om skadestånd i studiestödsdatalagen.

19 Konsekvenser

Nedan redovisas konsekvensbedömningar med anledning av förslagen i denna proposition. I konsekvensbedömningen ingår inte de konsekvenser som följer av direkt tillämpliga bestämmelser i dataskyddsförordningen eller den i propositionen Ny dataskyddslag föreslagna dataskyddslagen vars konsekvenser bedöms i den propositionen (prop. 2017/18:105).

Föreslagna lagändringar möjliggör fortsatt nödvändig behandling av personuppgifter på utbildningsområdet

 

Lagförslagen i denna proposition innebär anpassningar till dataskydds-

 

förordningen genom att det i skollagen, lagen om tillstånd att utfärda

 

vissa examina och lagen om yrkeshögskolan införs bestämmelser som

 

möjliggör nödvändig behandling av känsliga personuppgifter och uppgif-

 

ter om lagöverträdelser i de fall sådan behandling inte kan ske med stöd

200

av dataskyddslagen.

 

Ett alternativ, som berörs i avsnitt 11, skulle kunna vara att föreslå mer detaljerade registerförfattningar för bl.a. skollagsreglerad utbildnings- verksamhet, högskolor och yrkeshögskolor. Regeringen anser dock att det är lämpligare att endast föreslå bestämmelser som möjliggör nöd- vändig behandling av känsliga personuppgifter och uppgifter om lag- överträdelser i befintliga författningar.

Om bestämmelser som kompletterar dataskyddslagen och som möjlig- gör nödvändig behandling av känsliga personuppgifter och uppgifter om lagöverträdelser inte införs, skulle det innebära att enskilda huvudmän och enskilda utbildningsanordnare inte fullt ut skulle kunna fullgöra sina åligganden, t.ex. enligt skollagen. Bestämmelserna syftar därmed till att möjliggöra en fortsatt ändamålsenlig behandling av personuppgifter på utbildningsområdet.

De ändringar som föreslås i studiestödsdatalagen utgör anpassningar till dataskyddsförordningen och den föreslagna dataskyddslagen. Om inga ändringar görs, kommer studiestödsdatalagen att innehålla bestäm- melser som hänvisar till personuppgiftslagen, som kommer att upphävas till följd av förslagen i propositionen Ny dataskyddslag, och bestäm- melser som inte överensstämmer med det nya regelverket på dataskydds- området.

Förslagen kommer inte att innebära någon kostnadsökning för staten, kommuner och landsting

Avsikten med de förslag som lämnas i denna proposition är att de, när dataskyddsförordningen ska börja tillämpas, ska möjliggöra den person- uppgiftsbehandling som redan sker i dagsläget med stöd av PUL.

När ny lagstiftning införs krävs det normalt utbildningsinsatser. Det är dock inte unikt för de förslag som presenterar i denna proposition, utan uppkommer regelmässigt i olika lagstiftningsärenden. Att det krävs ut- bildning i detta fall beror inte heller enbart på den lagstiftning som före- slås, utan främst på den samlade dataskyddsreformen. Kostnader för ut- bildning täcks normalt av myndigheternas anslag.

Regeringen anser därför, trots de synpunkter som Bergs kommun, För- valtningsrätten i Linköping och Stockholms kommun framfört om ökade kostnader för utbildning, att dessa kostnader bör rymmas inom befintliga ramar och att de förslag som lämnas i denna proposition även i övrigt är kostnadsneutrala.

Förslagen kommer inte att innebära någon kostnadsökning för enskilda huvudmän och utbildningsanordnare

Förslagen rör ett stort antal enskilda huvudmän och enskilda utbildnings- anordnare som anordnar utbildningsverksamhet och som och som där- med berörs av förslagen. I utredningens betänkande redogörs mer detal- jerat för hur många enskilda huvudmän och utbildningsanordnare som finns inom olika utbildningsformer (SOU 2017:49 s. 476–478). Antalet enskilda som anordnar utbildningsverksamhet varierar dock från år till år.

Som angetts ovan är avsikten med de förslag som lämnas i denna proposition att de, när dataskyddsförordningen ska börja tillämpas, ska möjliggöra den personuppgiftsbehandling som redan sker i dagsläget

Prop. 2017/18:218

201

Prop. 2017/18:218 med stöd av PUL. Detta gäller inte minst de enskilda huvudmännen och enskilda utbildningsanordnarna, eftersom de inte omfattas av dataskydds- lagens bestämmelser om behandling av känsliga personuppgifter som gäller ett viktigt allmänt intresse och behandling av uppgifter om lag- överträdelser och liknande.

Förslagen som möjliggör för enskilda huvudmän som driver grund- särskolor och gymnasiesärskolor att behandla känsliga personuppgifter utan att behöva inhämta samtycke bedöms kunna innebära att den admi- nistrativa bördan och därmed kostnader för administration minskar.

När ny lagstiftning införs krävs det normalt utbildningsinsatser. Det är dock inte unikt för förslagen i denna proposition, utan uppkommer regelmässigt i olika lagstiftningsärenden. Att det krävs utbildning i detta fall beror inte heller enbart på den lagstiftning som föreslås i denna proposition, utan främst på den samlade dataskyddsreformen.

Ny lagstiftning kräver normalt också nya interna föreskrifter och sty- rande dokument. Även detta behov är dock så gott som uteslutande ett resultat av dataskyddsförordningens ikraftträdande och alltså inte ett resultat av förslagen i denna proposition. Sådan anpassning som krävs med anledning av förslagen får anses ingå i de normala uppgifterna för organisationerna.

Eftersom de föreslagna bestämmelserna rör integritetsskydd för de registrerade har det vid utformningen av bestämmelserna inte varit möj- ligt att beakta den personuppgiftsansvariges organisationsform eller före- tagsstorlek.

Förslagen är neutrala rörande integritetsskyddet

Dataskyddsförordningen stärker integritetsskyddet för enskilda och ger dem bättre möjligheter att kunna kontrollera hur deras personuppgifter behandlas. De bestämmelser som regeringen föreslår i denna proposition möjliggör behandling av personuppgifter motsvarande vad som är möj- ligt med gällande dataskyddsbestämmelser. Förslagen bedöms därför vara neutrala beträffande det integritetsintrång som de innebär jämfört med det integritetsintrång som finns i dagsläget med gällande bestäm- melser.

Förslagen förväntas inte få några andra konsekvenser

Förslagen får inte några konsekvenser för kommuner och landsting generellt eller för den kommunala självstyrelsen. Förslagen får inte heller några konsekvenser för jämställdheten, miljön, integrationen eller några konsekvenser i övrigt.

202

20

Författningskommentar

Prop. 2017/18:218

20.1Förslag till lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina

Behandling av personuppgifter

10 § Bestämmelserna i 13 och 14 §§ tillämpas vid behandling av person- uppgifter i verksamhet hos en enskild utbildningsanordnare som har fått tillstånd att utfärda examina och som bedrivs med stöd av denna lag, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.

Paragrafen är ny och har utformats med förslaget till 26 a kap. 1 § skollagen (2010:800) som förebild. Bestämmelser som gäller för enskilda utbildningsanordnare som har fått tillstånd att utfärda examina finns i denna lag men kan även finnas i annan författning eller beslut som meddelats med stöd av författning. Med föreskrifter i annan författning avses t.ex. föreskrifter som finns i annan lag, exempelvis diskrimi- neringslagen (2008:567), föreskrifter som har meddelats med stöd av annan lag och föreskrifter som har meddelats med stöd av regeringens restkompetens.

Paragrafen har utformats enligt Lagrådets förslag. Övervägandena finns i avsnitt 12, 13.4 och 14.4.

11 § Bestämmelserna i 13 och 14 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i 13 och 14 §§ har samma betydelse som i EU:s data- skyddsförordning.

Paragrafen är ny.

I första stycket anges att 13 och 14 §§ innehåller kompletterande be- stämmelser till dataskyddsförordningen. Detta innebär att bestämmel- serna inte kan tillämpas fristående, utan endast tillsammans med data- skyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat i EU. I vissa avseenden förutsätter eller tillåter dataskydds- förordningen emellertid att medlemsstaterna inför bestämmelser om behandling av personuppgifter som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Bestämmelserna i 13 och 14 §§ innehåller kompletterande bestämmelser som gäller för enskilda utbildningsanordnare som har fått tillstånd att utfärda examina i enlighet med denna lag.

Av andra stycket framgår att de termer och uttryck som används i 13 och 14 §§ ska förstås på samma sätt som i dataskyddsförordningen. Det innebär bl.a. att definitionerna i artikel 4 i dataskyddsförordningen även gäller vid tillämpningen av dessa bestämmelser.

Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska,

dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

203

Prop. 2017/18:218 Övervägandena finns i avsnitt 16 och 17.

12 § Bestämmelser om behandling av personuppgifter finns även i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.

Paragrafen är ny och upplyser om att bestämmelser om behandling av personuppgifter även finns i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen. I data- skyddslagen finns det generella bestämmelser om behandling av per- sonuppgifter som kompletterar och preciserar dataskyddsförordningen och som i tillämpliga delar även gäller vid behandling av personuppgifter som utförs av de utbildningsanordnare som omfattas av lagen om till- stånd att utfärda vissa examina.

Paragrafen har utformats enligt Lagrådets förslag. Övervägandena finns i avsnitt 16 och 17.

13 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare

1.om behandlingen är nödvändig för en hantering som motsvarar hand- läggning av ett ärende hos en myndighet, eller

2.i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga person-

uppgifter.

För vissa enskilda utbildningsanordnare som jämställs med myndigheter finns det bestämmelser om behandling av känsliga personuppgifter och om sök- begränsningar i 3 kap. 3 § dataskyddslagen.

 

Paragrafen är ny.

 

I första stycket anges när en enskild utbildningsanordnare får behandla

 

personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning, som

 

här benämns känsliga personuppgifter. De personuppgifter som avses är

 

personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter,

 

religiös eller filosofisk övertygelse eller medlemskap i fackförening samt

 

genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en

 

fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons

 

sexualliv eller sexuella läggning.

 

Stycket kompletterar bestämmelserna i 3 kap. 3 § första stycket 2 och 3

 

dataskyddslagen om möjlighet för myndigheter att behandla känsliga

 

personuppgifter om behandlingen är nödvändig för handläggningen av

 

ett ärende och i annat fall, genom att det införs motsvarande möjlighet till

 

behandling för enskilda utbildningsanordnare.

 

Av punkt 1 framgår att känsliga personuppgifter får behandlas om

 

behandlingen är nödvändig för en hantering som motsvarar handläggning

 

av ett ärende hos en myndighet. Även om förvaltningslagen (2017:900)

 

som träder i kraft den 1 juli 2018 inte gäller i de enskilda utbildnings-

204

anordnarnas verksamhet, bör begreppen handläggning och ärende tolkas

på samma sätt som enligt 1 § förvaltningslagen. Begreppet handläggning innefattar alla åtgärder som vidtas från det att ett ärende inleds till dess att det avslutas. Kännetecknande för ett ärende är att det regelmässigt avslutas genom ett uttalande som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Ett ärende avslutas således genom ett beslut av något slag. Vid bedömningen av om ett uttalande är att anse som ett beslut i denna mening är det uttalandets syfte och innehåll som är avgörande, inte dess yttre form.

Att behandlingen måste vara nödvändig för en hantering som mot- svarar handläggning av ett ärende hos en myndighet innebär bl.a. att bara sådana uppgifter som behövs för hanteringen får behandlas. Begreppet nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed tillåten om den leder till effektivitetsvinster (se avsnitt 6.2).

Punkt 1 möjliggör behandling av känsliga personuppgifter i enskilda utbildningsanordnares motsvarighet till ärenden om t.ex. avsteg vid antagningsförfarandet, statsbidrag för särskilt utbildningsstöd, särskilt pedagogiskt stöd, trakasserier, sexuella trakasserier, disciplinära åtgärder eller avskiljande.

Punkt 2 möjliggör behandling av känsliga personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otill- börligt intrång i den registrerades personliga integritet. Bestämmelsen är således tillämplig i situationer som på en myndighet hänförs till s.k. faktisk verksamhet. Bestämmelsen är inte avsedd att tillämpas slentrian- mässigt i den löpande verksamheten. Det krävs att den personuppgifts- ansvarige, i det enskilda fallet, gör en bedömning av om behandlingen innebär ett otillbörligt intrång i den registrerades personliga integritet. Om behandlingen skulle innebära ett sådant intrång, får den inte ske enligt denna bestämmelse. För att avgöra om intrånget är otillbörligt måste den personuppgiftsansvarige göra en proportionalitetsbedömning där behovet av att utföra behandlingen viktas mot de registrerades intres- se av att behandlingen inte sker. Bedömningen av de registrerades intres- se av att behandlingen inte sker bör utgå från det intresse av integritets- skydd som de registrerade typiskt sett har. Den personuppgiftsansvarige måste således inte göra en bedömning i förhållande till varje berörd indi- vid. Vid bedömningen av intrånget i den enskildes personliga integritet ska vikt läggas vid bl.a. uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet. Detta innebär t.ex. att be- stämmelsen inte kan läggas till grund för att skapa integritetskänsliga sammanställningar av känsliga personuppgifter.

Andra stycket innebär att enskilda utbildningsanordnare förbjuds att utföra sökningar i syfte att få fram ett urval av personer grundat på käns- liga personuppgifter. Det motsvarar det förbud som gäller för myn- digheter enligt 3 kap. 3 § andra stycket dataskyddslagen. Sökbegräns- ningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Därmed förbjuds sökningar som görs för att få fram ett urval av personer som t.ex. har en

Prop. 2017/18:218

205

Prop. 2017/18:218 viss funktionsnedsättning. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer.

För att underlätta tillämpningen innehåller tredje stycket en upplysning om att det för vissa enskilda utbildningsanordnare som jämställs med myndigheter finns bestämmelser om behandling av känsliga person- uppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen. Stycket har utformats enligt Lagrådets förslag.

Övervägandena finns i avsnitt 13.4.2, 13.4.3, 13.4.5 och 16.

14 § Personuppgifter som rör fällande domar i brottmål får behandlas av en enskild utbildningsanordnare om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en student från utbildning.

För enskilda utbildningsanordnare som är skyldiga att följa föreskrifter om arkiv finns det även bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen.

Paragrafen är ny.

I första stycket anges när enskilda utbildningsanordnare får behandla personuppgifter som rör fällande domar i brottmål. Bestämmelsen komp- letterar bestämmelsen i 3 kap. 8 § dataskyddslagen som gäller behandling av sådana personuppgifter som avses i artikel 10 i dataskyddsförord- ningen hos dels myndigheter, dels andra än myndigheter om behand- lingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Personuppgifter om fällande domar är en av de uppgiftskategorier som anges i artikel 10.

Till skillnad från 3 kap. 8 § dataskyddslagen omfattar bestämmelsen inte behandling av övriga kategorier av personuppgifter som anges i artikel 10 i dataskyddsförordningen, eftersom de enskilda utbildnings- anordnarna inte bedöms ha något behov av sådan behandling.

För att bestämmelsen ska uppfylla kravet i artikel 10 på lämpliga skyddsåtgärder för registrerade vars uppgifter inte behandlas under kontroll av en myndighet, har bestämmelsen begränsats till att avse behandlingar som är nödvändiga för hantering som motsvarar hand- läggning av ett ärende hos en myndighet om att avskilja en student från utbildning. Vad som avses med att behandlingen ska vara nödvändig behandlas i kommentaren till 12 § första stycket.

För att underlätta tillämpningen upplyser andra stycket om att det för enskilda utbildningsanordnare som är skyldiga att följa föreskrifter om arkiv även finns bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskydds- lagen.

Övervägandena finns i avsnitt 14.4.2 och 16.

206

20.2

Förslag till lag om ändring i lagen (2009:128)

Prop. 2017/18:218

 

om yrkeshögskolan

 

Behandling av personuppgifter

19 a § Bestämmelserna i 19 d och 19 e §§ tillämpas vid behandling av person- uppgifter i verksamhet inom yrkeshögskolan som bedrivs med stöd av denna lag, föreskrifter som meddelats med stöd av lagen, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.

Paragrafen är ny och har utformats med förslaget till 26 a kap. 1 § skollagen som förebild. I paragrafen anges i vilken verksamhet bestäm- melserna om behandling av personuppgifter i 19 d och 19 e §§ är tillämp- liga. Bestämmelser som gäller för verksamhet inom yrkeshögskolan finns i denna lag och föreskrifter som meddelats med stöd av lagen men kan även finnas i annan författning eller beslut som meddelats med stöd av författning. Med föreskrifter som meddelats med stöd av lagen avses föreskrifter som har meddelats med stöd av bemyndiganden i lagen om yrkeshögskolan. Med föreskrifter i annan författning avses t.ex. före- skrifter som finns i annan lag, exempelvis diskrimineringslagen (2008:567), föreskrifter som har meddelats med stöd av annan lag och föreskrifter som har meddelats med stöd av regeringens restkompetens.

Paragrafen har utformats enligt Lagrådets förslag. Övervägandena finns i avsnitt 12, 13.5, 14.5.

19 b § Bestämmelserna i 19 d och 19 e §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i 19 d och 19 e §§ har samma betydelse som i EU:s dataskyddsförordning.

Paragrafen är ny.

I första stycket anges att 19 d och 19 e §§ innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att bestämmel- serna inte kan tillämpas fristående, utan endast tillsammans med data- skyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat i EU. I vissa avseenden förutsätter eller tillåter dataskydds- förordningen emellertid att medlemsstaterna inför bestämmelser om behandling av personuppgifter som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag.

Av andra stycket framgår att de termer och uttryck som används i 19 d och 19 e §§ ska förstås på samma sätt som i dataskyddsförord- ningen. Det innebär bl.a. att definitionerna i artikel 4 i dataskyddsför- ordningen även gäller vid tillämpningen av dessa bestämmelser.

Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Övervägandena finns i avsnitt 16 och 17.

207

Prop. 2017/18:218

208

19 c § Bestämmelser om behandling av personuppgifter finns även i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.

Paragrafen är ny och upplyser om att bestämmelser om behandling av personuppgifter även finns i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, och i andra föreskrifter som har meddelats i anslutning till den lagen. I dataskyddslagen finns det generella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som i tillämpliga delar även gäller vid behandling av personuppgifter som utförs av de utbildningsanordnare som omfattas av lagen om yrkes- högskolan.

Paragrafen har utformats enligt Lagrådets förslag. Överväganden finns i avsnitt 16 och 17.

19 d § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare

1.om behandlingen är nödvändig för en hantering som motsvarar hand- läggning av ett ärende hos en myndighet, eller

2.i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga person-

uppgifter.

För myndigheter finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.

Paragrafen är ny.

I första stycket anges när en enskild utbildningsanordnare får behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning, som här benämns känsliga personuppgifter. De personuppgifter som avses är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Stycket kompletterar bestämmelserna i 3 kap. 3 § första stycket 2 och 3 dataskyddslagen, som ger myndigheter möjlighet att behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende och i annat fall, genom att det införs motsvarande möjlighet till behandling för enskilda utbildningsanordnare.

Av punkt 1 framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende. Även om förvaltningslagen (2017:900) som träder i kraft den 1 juli 2018 inte gäller i de enskilda utbildningsanordnarnas verksam- het, bör begreppen handläggning och ärende tolkas på samma sätt som enligt 1 § förvaltningslagen. Begreppet handläggning innefattar alla åtgärder som vidtas från det att ett ärende inleds till dess att det avslutas. Kännetecknande för ett ärende är att det regelmässigt avslutas genom ett

uttalande som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Ett ärende avslutas således genom ett beslut av något slag. Vid bedömningen av om ett uttalande är att anse som ett beslut i denna mening är det uttalandets syfte och innehåll som är avgörande, inte dess yttre form.

Att behandlingen måste vara nödvändig för en hantering som mot- svarar handläggning av ärendet hos en myndighet innebär bl.a. att bara sådana uppgifter som behövs för hanteringen får behandlas. Begreppet nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed tillåten om den leder till effektivitetsvinster (se avsnitt 6.2).

Punkt 1 möjliggör behandling av känsliga personuppgifter i enskilda utbildningsanordnares motsvarighet till ärenden om t.ex. särskilt peda- gogiskt stöd, trakasserier, sexuella trakasserier eller avskiljande.

Punkt 2 möjliggör behandling av känsliga personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otill- börligt intrång i den registrerades personliga integritet. Bestämmelsen är således tillämplig i situationer som på en myndighet hänförs till s.k. faktisk verksamhet. Bestämmelsen är inte avsedd att tillämpas slentrian- mässigt i den löpande verksamheten. Det krävs att den personupp- giftsansvarige, i det enskilda fallet, gör en bedömning av om behand- lingen innebär ett otillbörligt intrång i den registrerades personliga integritet. Om behandlingen skulle innebära ett sådant intrång, får den inte ske enligt denna bestämmelse. För att avgöra om intrånget är otillbörligt måste den personuppgiftsansvarige göra en proportionalitets- bedömning där behovet av att utföra behandlingen viktas mot de registrerades intresse av att behandlingen inte sker. Bedömningen av de registrerades intresse av att behandlingen inte sker bör utgå från det intresse av integritetsskydd som de registrerade typiskt sett har. Den personuppgiftsansvarige måste således inte göra en bedömning i för- hållande till varje berörd individ. Vid bedömningen av intrånget i den enskildes personliga integritet ska vikt läggas vid bl.a. uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma att få och risken för vidarebehandling för andra ändamål än insamlings- ändamålet. Detta innebär t.ex. att bestämmelsen inte kan läggas till grund för att skapa integritetskänsliga sammanställningar av känsliga person- uppgifter.

Andra stycket innebär att enskilda utbildningsanordnare förbjuds att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det motsvarar det sökförbud som gäller för myndigheter enligt 3 kap. 3 § andra stycket dataskyddslagen. Sök- begränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Därmed förbjuds sökningar som görs för att få fram ett urval av personer som t.ex. har en viss funktionsnedsättning. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer.

För att underlätta tillämpningen innehåller tredje stycket en upplysning om att det för myndigheter finns bestämmelser om behandling av

Prop. 2017/18:218

209

Prop. 2017/18:218 känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § data- skyddslagen. För utbildningsanordnare inom yrkeshögskolan som är myndigheter gäller alltså motsvarande bestämmelser i dataskyddslagen. Stycket har utformats enligt Lagrådets förslag.

Övervägandena finns i avsnitt 13.5.3, 13.5.4, 13.5.5 och 16.

19 e § Personuppgifter som rör fällande domar i brottmål får behandlas av enskilda utbildningsanordnare om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om avskiljande av en studerande från utbildning.

För myndigheter finns det bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § första stycket dataskyddslagen.

Paragrafen är ny.

I första stycket anges när enskilda utbildningsanordnare får behandla personuppgifter som rör fällande domar i brottmål. Bestämmelsen komp- letterar bestämmelsen i 3 kap. 8 § första stycket dataskyddslagen som gäller behandling av sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen hos myndigheter. Personuppgifter om fällande domar är en av de uppgiftskategorier som anges i artikel 10. Till skillnad från 3 kap. 8 § dataskyddslagen omfattar bestämmelsen dock inte be- handling av övriga kategorier av personuppgifter som anges i artikel 10 i dataskyddsförordningen, eftersom de enskilda utbildningsanordnarna inte bedöms ha något behov av sådan behandling.

För att bestämmelsen ska uppfylla kravet i artikel 10 på lämpliga skyddsåtgärder för registrerade vars uppgifter inte behandlas under kontroll av en myndighet, har bestämmelsen begränsats till att avse behandlingar som är nödvändiga för en hantering som motsvarar hand- läggning av ett ärende hos en myndighet om avskiljande av en stude- rande från utbildning. Vad som avses med att behandlingen ska vara nödvändig behandlas i kommentaren till 19 c § första stycket.

För att underlätta tillämpningen upplyser andra stycket om att det finns bestämmelser om att myndigheter får behandla personuppgifter som avses i artikel 10 i dataskyddsförordningen i 3 kap. 8 § första stycket dataskyddslagen.

Övervägandena finns i avsnitt 14.5.2 och 16.

20.3Förslag till lag om ändring i studiestödsdatalagen (2009:287)

Förhållandet till annan reglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i denna lag har samma betydelse som i EU:s data- skyddsförordning.

210

I paragrafen anges lagens förhållande till annan lag.

Ändringen i första stycket innebär att den tidigare hänvisningen till personuppgiftslagen ersätts av en bestämmelse som anger att lagen inne- håller kompletterande bestämmelser till EU:s dataskyddsförordning. Detta innebär att bestämmelserna inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen. Lagen innehåller kom- pletterande bestämmelser som gäller inom den verksamhet som anges i

1§.

Av andra stycket framgår att de termer och uttryck som används i

lagen ska förstås på samma sätt som i EU:s dataskyddsförordning. Det innebär bl.a. att definitionerna i artikel 4 i EU:s dataskyddsförordning även gäller vid tillämpningen av lagen.

Bestämmelsen i andra stycket ersätter en bestämmelse om vilken reg- lering CSN ska tillämpa vid behandling av personuppgifter för att framställa statistik. Sistnämnda bestämmelse flyttas i stället till 2 a § andra stycket.

Hänvisningarna till EU:s dataskyddsförordning i denna lag är dyna- miska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Rubriken har utformats enligt Lagrådets förslag.

2 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna lag.

Vid Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik ska lagen (2001:99) om den officiella statistiken och anslu-

tande författningar tillämpas i stället för denna lag.

Paragrafen är ny.

Paragrafens första stycke upplyser om hur lagen förhåller sig till lagen (2018:000) med kompletterande bestämmelser till EU:s dataskydds- förordning, benämnd dataskyddslagen, och föreskrifter som har med- delats i anslutning till den lagen. Bestämmelsens första led utgör en upplysning om att det i dataskyddslagen och anslutande föreskrifter finns generella nationella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som där- med även gäller i CSN:s studiestödsverksamhet. Andra ledet anger att dataskyddslagen och anslutande föreskrifter är subsidiära i förhållande till denna lag och anslutande föreskrifter. Det innebär att data- skyddslagens bestämmelser endast gäller i den mån inte annat föreskrivs i denna lag eller föreskrifter meddelade i anslutning till denna lag. Stycket har utformats enligt Lagrådets förslag.

I andra stycket anges att vid CSN:s behandling av personuppgifter för framställning av statistik ska lagen om den officiella statistiken tillämpas. Andra stycket motsvarar hittillsvarande 2 § andra stycket och medför inte någon ändring.

Övervägandena finns i avsnitt 16 och 17.

Prop. 2017/18:218

211

Prop. 2017/18:218 5 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

I paragrafen regleras att behandling av personuppgifter som enligt denna lag är tillåten utan den registrerades samtycke även får utföras om den registrerade motsätter sig behandlingen.

Paragrafen ändras så att det införs ett undantag från den rätt att invända mot behandling av personuppgifter som följer av artikel 21.1 i data- skyddsförordningen. Undantaget utgör en sådan begränsning i den natio- nella rätten som tillåts enligt artikel 23 i dataskyddsförordningen.

Övervägandena finns i avsnitt 15.2.

6 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (käns- liga personuppgifter) och personuppgifter som avses i artikel 10 i samma för- ordning får behandlas av Centrala studiestödsnämnden för ändamål som avses i 4 § första stycket 1 och 6 och andra stycket.

I paragrafen anges i vilka fall känsliga personuppgifter och personupp- gifter om lagöverträdelser, får behandlas av CSN.

Bestämmelsen ändras genom att första och andra styckena slås ihop till ett stycke. Paragrafen ändras vidare så att den uppräkning av person- uppgifter som fanns i första stycket 1 och 3 ersätts med en hänvisning till artikel 9.1 i EU:s dataskyddsförordning som innehåller en uppräkning av särskilda kategorier av personuppgifter som i denna lag benämns som känsliga personuppgifter. De särskilda kategorier av personuppgifter som anges i den artikeln är personuppgifter som avslöjar ras eller etniskt ur- sprung, politiska åsikter, religiös eller filosofisk övertygelse eller med- lemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Den uppräkning av personuppgifter om lagöverträdelser som fanns i första stycket 2 ersätts med en hänvisning till definitionen i artikel 10 i EU:s dataskyddsförordning. De personuppgifter som anges i den artikeln är uppgifter om fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder. Regeringens bedömning i propo- sitionen Ny dataskyddslag (prop. 2017/18:105 s. 98) är att artikel 10 i förordningen, för svenskt vidkommande, tar sikte på personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. Som regeringen konstaterar i den propositionen (s. 98) innebär detta att uppgifter om administrativa frihetsberövanden inte omfattas av artikel 10 i EU:s dataskyddsförord- ning. Eftersom definitionen av känsliga personuppgifter är något vidare än den nuvarande uppräkningen i de tidigare punkterna 1 och 3 och definitionen i artikel 10 i EU:s dataskyddsförordning något snävare än uppräkningen i den tidigare punkten 2, innebär det att något fler känsliga personuppgifter och något färre personuppgifter om lagöverträdelser omfattas av bestämmelsen.

Övervägandena finns i avsnitt 13.7 och 14.7.

212

8 § Det är förbjudet att använda sökbegrepp som avslöjar

1.känsliga personuppgifter,

2.personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning,

3.uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott,

eller

4.uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle.

Sökbegrepp som avslöjar uppgifter som anges i första stycket får dock användas vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen.

Sökbegrepp får också användas om de avslöjar uppgifter som rör

1.hälsa, om det är nödvändigt för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och

2.inkomst och förmögenhet, om det är nödvändigt för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av

uppgifter som har legat till grund för ett beslut i ett ärende.

I paragrafen regleras begränsningar för användning av sökbegrepp. Första stycket ändras så att den uppräkning av känsliga person-

uppgifter som finns i punkterna 1 och 3, ersätts med termen känsliga personuppgifter, som är definierad genom hänvisningen i 6 § till artikel 9.1 i EU:s dataskyddsförordning (se kommentaren till 6 §), och som placeras i punkten 1. I punkten 2 ersätts den tidigare uppräkningen av personuppgifter om lagöverträdelser med en hänvisning till definitionen i artikel 10 i EU:s dataskyddsförordning. När det gäller innebörden av dessa ändringar, se kommentaren till 6 § om innebörden av motsvarande ändringar i den paragrafen. Den redaktionella utformningen av första stycket ändras också så att den stämmer bättre överens med motsvarande bestämmelser i andra lagar, till exempel 14 § domstolsdatalagen (2015:728). Ändringen innebär ingen skillnad i sak.

Av andra stycket framgår att det vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av person- uppgifter som avses i 4 § andra stycket andra meningen får användas sökbegrepp som avslöjar uppgifter som anges i första stycket. Hän- visningen till uppgifter i första stycket medför att det, med anledning av den ändrade innebörden av begreppen känsliga personuppgifter och personuppgifter om lagöverträdelser, uppstår samma konsekvenser som i första stycket (se kommentaren till första stycket). I övrigt ändras den redaktionella utformningen på motsvarande sätt som i första stycket, vilket inte innebär någon skillnad i sak. Stycket motsvarar det tidigare andra stycket första meningen.

Tredje stycket innehåller undantag från sökbegränsningarna avseende personuppgifter om hälsa samt inkomst och förmögenhet vid sökning i hela studiestödsverksamheten hos CSN. Stycket motsvarar det tidigare andra stycket andra meningen. Ändringarna är endast redaktionella.

Övervägandena finns i avsnitt 13.7 och 14.7.

10 § Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, är tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att 4, 6 och 8 §§ följs.

Prop. 2017/18:218

213

Prop. 2017/18:218 I paragrafen regleras direktåtkomst till och elektroniskt utlämnande av personuppgifter i studiestödsverksamheten.

Bestämmelsen ändras så att den registrerades samtycke inte längre kan vara grund för att tillåta direktåtkomst till personuppgifter i studiestöds- verksamheten eller att elektroniskt lämna ut personuppgifter från den verksamheten. Vidare tas hänvisningen till 7 § bort, vilket är en följd- ändring på grund av att den bestämmelsen upphävs.

Övervägandena finns i avsnitt 9.5.4.

16 § Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalnings- skyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.

Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål, statistiska ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. CSN får också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.

Paragrafen avser gallring av personuppgifter i studiestödsverksamheten. I paragrafens tredje stycke, som innehåller ett bemyndigande för

regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om bevarande, ändras formuleringen ”historiska, statistiska eller vetenskapliga ändamål” till den formulering som används i data- skyddsförordningen, dvs. ”arkivändamål av allmänt intresse, veten- skapliga eller historiska forskningsändamål eller statistiska ändamål”.

Övervägandena finns i avsnitt 15.4.

20.4 Förslag till lag om ändring i skollagen (2010:800)

1 kap.

12 § Lagen är uppdelad i 30 kapitel.

 

Dessa är

 

– inledande bestämmelser (1 kap.),

 

– huvudmän och ansvarsfördelning (2 kap.),

 

– barns och elevers utveckling mot målen (3 kap.),

 

– kvalitet och inflytande (4 kap.),

 

– trygghet och studiero (5 kap.),

 

– åtgärder mot kränkande behandling (6 kap.),

214

– skolplikt och rätt till utbildning (7 kap.),

 

– förskolan (8 kap.),

Prop. 2017/18:218

– förskoleklassen (9 kap.),

 

– grundskolan (10 kap.),

 

– grundsärskolan (11 kap.),

 

– specialskolan (12 kap.),

 

– sameskolan (13 kap.),

 

– fritidshemmet (14 kap.),

 

– gymnasieskolan (15–17 a kap.),

 

– gymnasiesärskolan (18 och 19 kap.),

 

– kommunal vuxenutbildning (20 kap.),

 

– särskild utbildning för vuxna (21 kap.),

 

– entreprenad och samverkan (23 kap.),

 

– särskilda utbildningsformer (24 kap.),

 

– annan pedagogisk verksamhet (25 kap.),

 

– tillsyn, statlig kvalitetsgranskning och nationell uppföljning och utvärdering

 

(26 kap.),

 

behandling av personuppgifter (26 a kap.),

 

– Skolväsendets överklagandenämnd och Lärarnas ansvarsnämnd (27 kap.),

 

– överklagande (28 kap.), och

 

– övriga bestämmelser (29 kap.).

 

I paragrafen beskrivs innehållet i lagen.

 

Ändringen är en följd av att ett nytt kapitel, 26 a kap., införs i lagen.

 

26 a kap. Behandling av personuppgifter

 

1 § Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som

 

bedrivs med stöd av denna lag, föreskrifter som meddelats med stöd av lagen,

 

bestämmelser för utbildningen som finns i annan författning eller beslut som

 

meddelats med stöd av någon av dessa författningar.

 

Detta kapitel ska inte tillämpas på behandling av personuppgifter i elevhälsan

 

som utförs inom hälso- och sjukvården.

 

Paragrafen är ny.

 

I första stycket anges i vilken verksamhet kapitlet är tillämpligt. Enligt

 

2 kap. 8 § ansvarar huvudmannen för att utbildningen genomförs i enlig-

 

het med bestämmelserna i denna lag, föreskrifter som har meddelats med

 

stöd av lagen och de bestämmelser för utbildningen som kan finnas i

 

andra författningar. Motsvarande uppräkning anges därför i första

 

stycket. Med föreskrifter som meddelats med stöd av lagen avses före-

 

skrifter som har meddelats med stöd av bemyndiganden i skollagen. Med

 

föreskrifter i annan författning avses t.ex. föreskrifter som finns i annan

 

lag, exempelvis diskrimineringslagen (2008:567), föreskrifter som har

 

meddelats med stöd av annan lag och föreskrifter som har meddelats med

 

stöd av regeringens restkompetens. Eftersom verksamhet i vilken be-

 

handling av personuppgifter behövs även kan ske på grund av beslut som

 

meddelats med stöd av författning omfattas även sådan verksamhet av

 

tillämpningsområdet.

 

Med verksamhet avses både verksamhet som utförs av rektorer, lärare

 

och annan personal i t.ex. förskolan eller skolan och verksamhet som ut-

 

förs på ledningsnivå.

 

Genom bestämmelsen i andra stycket undantas personuppgiftsbe-

 

handling som sker i elevhälsan och som utförs inom hälso- och sjuk-

 

vården från tillämpningsområdet. Sådan personuppgiftsbehandling om-

215

 

Prop. 2017/18:218 fattas i stället av bl.a. patientdatalagens (2008:355) bestämmelser. Det innebär att hälso- och sjukvårdspersonal inom elevhälsan som är skyldig att föra patientjournal och behandla personuppgifter enligt patient- datalagens bestämmelser även fortsättningsvis ska tillämpa den lagen med tillhörande föreskrifter, och inte bestämmelserna i detta kapitel.

Paragrafen har utformats enligt Lagrådets förslag. Kapitlet har också placerats som ett nytt 26 a kap. enligt Lagrådets förslag.

Övervägandena finns i avsnitt 12, 13.3, 14.3 och 16.

Förhållandet till annan dataskyddsreglering

2 § Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsför- ordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i detta kapitel har samma betydelse som i EU:s data- skyddsförordning.

Paragrafen är ny.

I första stycket anges att kapitlet innehåller kompletterande bestäm- melser till dataskyddsförordningen. Detta innebär att bestämmelserna inte kan tillämpas fristående, utan endast tillsammans med data- skyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat i EU. I vissa avseenden förutsätter eller tillåter dataskydds- förordningen emellertid att medlemsstaterna inför bestämmelser om be- handling av personuppgifter som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Kapitlet innehåller kompletterande bestämmelser som gäller inom den verksamhet som an- ges i 26 a kap. 1 §.

Av andra stycket framgår att de termer och uttryck som används i kapitlet ska förstås på samma sätt som i dataskyddsförordningen. Det innebär bl.a. att definitionerna i artikel 4 i dataskyddsförordningen även gäller vid tillämpningen av kapitlet.

Hänvisningarna till dataskyddsförordningen i detta kapitel är dyna- miska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Övervägandena finns i avsnitt 16 och 17.

3 § Bestämmelser om behandling av personuppgifter finns även i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.

 

Paragrafen är ny och upplyser om att bestämmelser om behandling av

 

personuppgifter även finns i lagen (2018:000) med kompletterande

 

bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen,

 

och i andra föreskrifter som har meddelats i anslutning till den lagen.

 

I dataskyddslagen finns det generella bestämmelser om behandling av

 

personuppgifter som kompletterar och preciserar data-skyddsförord-

 

ningen och som i tillämpliga delar även gäller vid behandling av

 

personuppgifter som utförs inom den verksamhet som anges i 26 a kap.

216

1 §.

 

Paragrafen har utformats enligt Lagrådets förslag.

Prop. 2017/18:218

Övervägandena finns i avsnitt 16 och 17.

 

Känsliga personuppgifter

4 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas hos en enskild huvudman enligt 2 kap. eller hos en enskild aktör enligt 24 eller 25 kap.

1.om behandlingen är nödvändig för en hantering som motsvarar hand- läggning av ett ärende hos en myndighet, eller

2.i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga person- uppgifter.

För myndigheter och vissa andra organ finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.

Paragrafen är ny.

I första stycket anges när en enskild huvudman enligt 2 kap. eller en enskild aktör enligt 24 eller 25 kap. får behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning, som här benämns käns- liga personuppgifter. De personuppgifter som avses är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Stycket kompletterar bestämmelserna i 3 kap. 3 § första stycket 2 och 3 dataskyddslagen om möjlighet för myndigheter att behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende och i annat fall, genom att det införs mot- svarande möjlighet till behandling i verksamhet hos enskilda huvudmän och enskilda aktörer enligt 24 och 25 kap.

Av punkt 1 framgår att känsliga personuppgifter får behandlas om be- handlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet. Vid enskilda huvudmäns handläggning av ärenden som avser myndighetsutövning mot någon enskild gäller enligt 29 kap. 10 § vissa bestämmelser i förvaltningslagen (1986:223). Så föreslås även bli fallet när den nya förvaltningslagen (2017:900) träder i kraft den 1 juli 2018 (Ds 2017:42 Följdändringar till ny förvaltningslag). Vid annan hantering som motsvarar handläggningen av ett ärende hos en myndighet är förvaltningslagen däremot inte tillämplig på enskilda huvudmän och enskilda aktörer enligt 24 eller 25 kap. Begreppen hand- läggning och ärende bör dock i båda fallen tolkas på samma sätt som enligt 1 § förvaltningslagen (2017:900). Begreppet handläggning inne- fattar alla åtgärder som vidtas från det att ett ärende inleds till dess att det avslutas. Kännetecknande för ett ärende är att det regelmässigt avslutas genom ett uttalande som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Ett ärende avslutas således genom ett be-

slut av något slag. Vid bedömningen av om ett uttalande är att anse som

217

Prop. 2017/18:218 ett beslut i denna mening är det uttalandets syfte och innehåll som är avgörande, inte dess yttre form.

Att behandlingen måste vara nödvändig innebär bl.a. att bara sådana uppgifter som behövs i ärendet eller för den motsvarande hanteringen får behandlas. Begreppet nödvändig innebär inte ett krav på att behand- lingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed tillåten om den leder till effektivitetsvinster (se avsnitt 6.2).

Punkt 1 möjliggör behandling av känsliga personuppgifter i enskilda huvudmäns eller enskilda aktörers motsvarighet till ärenden om t.ex. särskilt stöd, åtgärdsprogram och kränkande behandling.

Punkt 2 möjliggör behandling av känsliga personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otill- börligt intrång i den registrerades personliga integritet. Bestämmelsen är således tillämplig i situationer som på en myndighet hänförs till s.k. faktisk verksamhet. I skolväsendet kan det t.ex. vara fråga om kommuni- kation mellan skolan och föräldrar. Bestämmelsen är inte avsedd att tillämpas slentrianmässigt i den löpande verksamheten. Det krävs att den personuppgiftsansvarige, i det enskilda fallet, gör en bedömning av om behandlingen innebär ett otillbörligt intrång i den registrerades person- liga integritet. Om behandlingen skulle innebära ett sådant intrång, får den inte ske enligt denna bestämmelse. För att avgöra om intrånget är otillbörligt måste den personuppgiftsansvarige göra en proportionalitets- bedömning där behovet av att utföra behandlingen vägs mot de registre- rades intresse av att behandlingen inte sker. Bedömningen av de registre- rades intresse av att behandlingen inte sker bör utgå från det intresse av integritetsskydd som de registrerade typiskt sett har. Den personuppgifts- ansvarige måste således inte göra en bedömning i förhållande till varje berörd individ. Vid bedömningen av intrånget i den enskildes personliga integritet ska vikt läggas vid bl.a. uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma att få och risken för vidarebehand- ling för andra ändamål än insamlingsändamålet. Detta innebär t.ex. att bestämmelsen inte kan läggas till grund för att skapa integritetskänsliga sammanställningar av känsliga personuppgifter.

Andra stycket innebär att enskilda huvudmän och enskilda aktörer enligt 24 eller 25 kap. förbjuds att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det motsvarar det sökförbud som gäller för myndigheter enligt 3 kap. 3 § andra stycket dataskyddslagen. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Därmed förbjuds sökningar som görs för att få fram ett urval av personer som t.ex. har en viss funktionsnedsättning. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer.

För att underlätta tillämpningen innehåller tredje stycket en upplysning om att det för myndigheter och vissa andra organ finns bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen. Stycket har i huvudsak utformats enligt Lagrådets förslag. Regeringen anser dock att de organ som inte är myn-

218

digheter, i likhet med vad som är fallet i 1 § arkivlagen (1990:782), bör Prop. 2017/18:218

benämnas ”andra organ”.

Övervägandena finns i avsnitt 13.3.3, 13.3.4, 13.3.10 och 16.

5 § Regeringen får meddela föreskrifter om undantag från de sökbegränsningar som avses i 4 § andra stycket denna lag och i 3 kap. 3 § andra stycket data- skyddslagen i fråga om personuppgifter om hälsa i verksamhet hos en huvudman för

1.grundsärskola,

2.specialskolan,

3.gymnasiesärskola,

4.särskild utbildning för vuxna,

5.gymnasieskola med Rh-anpassad utbildning,

6.utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning, och

7.förskola, förskoleklass eller skola som har begränsats till att avse elever

som är i behov av särskilt stöd.

Regeringen får också meddela föreskrifter om undantag från sök- begränsningen i 3 kap. 3 § andra stycket dataskyddslagen i fråga om person- uppgifter om

1.etniskt ursprung i verksamhet hos en huvudman för sameskolan, och

2.hälsa och etniskt ursprung i verksamhet hos en kommun.

Paragrafen är ny.

Bemyndigandet i första stycket gäller undantag från både sökbegräns- ningen i 26 a kap. 4 § skollagen som avser enskilda och 3 kap. 3 § andra stycket dataskyddslagen som avser myndigheter. Det innebär att bemyn- digandet gäller undantag för både enskilda och offentliga huvudmän som bedriver de angivna skolformerna. Lagrådet har förslagit att hänvis- ningen till andra bestämmelser förtydligas så att ”denna lag och” ersätts med ”samt”. Regeringen anser dock att det av tydlighetsskäl bör framgå att hänvisningen till 4 § andra stycket avser en bestämmelse i denna lag.

Bemyndigandet i andra stycket gäller enbart undantag från sök- begränsningen i 3 kap. 3 § andra stycket dataskyddslagen som avser myndigheter, detta eftersom både huvudmannen för sameskolan och kommuner omfattas av sökbegränsningen i den lagen.

I 3 kap. 4 § dataskyddslagen föreslås ett generellt bemyndigande för regeringen att meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt all- mänt intresse. I de fall det finns behov av att meddela föreskrifter om undantag från sökbegränsningar vid behandling av känsliga personupp- gifter i de verksamheter som anges i första och andra styckena bör dock bemyndigandet i denna paragraf i skollagen användas för sådana sektors- specifika föreskrifter.

Övervägandena finns i avsnitt 13.3.10.

Personuppgifter som rör lagöverträdelser

6 § Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas i verksamhet hos en huvudman för en fristående skola om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet

1. i löpande text inom elevhälsan, och

219

Prop. 2017/18:218 2. i skriftlig dokumentation som ska föras enligt 5 kap. 24 §.

För myndigheter finns det bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen. Där finns det även bestämmelser för andra än myndigheter som är skyldiga att följa föreskrifter om arkiv.

Paragrafen är ny.

I första stycket anges när en huvudman för en fristående skola får be- handla sådana personuppgifter som avses i artikel 10 i dataskyddsför- ordningen. De personuppgifter som avses där är personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed samman- hängande säkerhetsåtgärder. Regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 98) är att artikel 10 i förordningen, för svenskt vidkommande, tar sikte på personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffpro- cessuella tvångsmedel. Som regeringen konstaterar i den propositionen (s. 98) innebär detta att uppgifter om administrativa frihetsberövanden inte omfattas av artikel 10 i dataskyddsförordningen.

Bestämmelsen kompletterar bestämmelsen i 3 kap. 8 § dataskydds- lagen som gäller behandling av sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen hos dels myndigheter och dels andra än myndigheter om behandlingen är nödvändig för att den personupp- giftsansvarige ska kunna följa föreskrifter om arkiv. Genom bestämmel- sen möjliggörs även för fristående skolor att behandla personuppgifter om lagöverträdelser i vissa fall.

För att bestämmelsen ska uppfylla kravet i artikel 10 på lämpliga skyddsåtgärder för registrerade vars uppgifter inte behandlas under kont- roll av en myndighet, har det införts vissa begränsningar i bestämmelsen. För det första begränsas bestämmelsen till att avse sådana situationer där ett behov av behandling har identifierats, dvs i löpande text inom elev- hälsan och i skriftlig dokumentation som ska föras om disciplinära och andra särskilda åtgärder enligt 5 kap. 24 § skollagen. För det andra krävs att personuppgiftsbehandlingen ska vara nödvändig och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Vad som avses med att behandlingen ska vara nödvändig och inte innebära ett otillbörligt intrång i den registrerades personliga integritet behandlas i kommentaren till 2 a kap. 4 § första stycket.

För att underlätta tillämpningen upplyser andra stycket om att det för myndigheter finns bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § data- skyddslagen. Stycket upplyser också om att det där även finns bestäm- melser för andra än myndigheter som är skyldiga att följa föreskrifter om arkiv. Stycket har utformats enligt Lagrådets förslag.

Övervägandena finns i avsnitt 14.3.2 och 16.

220

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/1

 

 

 

 

I

(Lagstiftningsakter)

FÖRORDNINGAR

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016

om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16, med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten, med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1), med beaktande av Regionkommitténs yttrande (2),

i enlighet med det ordinarie lagstiftningsförfarandet (3), och av följande skäl:

(1)Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) föreskriver att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

(2)Principerna och reglerna för skyddet för fysiska personer vid behandling av deras personuppgifter bör, oavsett deras medborgarskap eller hemvist, respektera deras grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Avsikten med denna förordning är att bidra till att skapa ett område med frihet, säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och konvergens av ekonomierna inom den inre marknaden samt till fysiska personers välbefinnande.

(3)Europaparlamentets och rådets direktiv 95/46/EG (4) syftar till att harmonisera skyddet av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter och att säkerställa det fria flödet av personuppgifter mellan medlemsstaterna.

(1) EUT C 229, 31.7.2012, s. 90. (2) EUT C 391, 18.12.2012, s. 127.

(3) Europaparlamentets ståndpunkt av den 12 mars 2014 (ännu ej offentliggjord i EUT) och rådets ståndpunkt vid första behandlingen av

den 8 april 2016 (ännu ej offentliggjord i EUT). Europaparlamentets ståndpunkt av den 14 april 2016.

(4) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).

221

Prop. 2017/18:218

Bilaga 1

L 119/2

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

(4)Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Denna förordning respekterar alla grundläggande rättigheter och iakttar de friheter och principer som erkänns i stadgan, såsom de fastställts i fördragen, särskilt skydd för privat- och familjeliv, bostad och kommunikationer, skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till ett effektivt rättsmedel och en opartisk domstol samt kulturell, religiös och språklig mångfald.

(5)Den ekonomiska och sociala integration som uppstått tack vare den inre marknaden har lett till en betydande ökning av de gränsöverskridande flödena av personuppgifter. Utbytet av personuppgifter mellan offentliga och privata aktörer, inbegripet fysiska personer, sammanslutningar och företag, över hela unionen har ökat. Nationella myndigheter i medlemsstaterna uppmanas i unionsrätten att samarbeta och utbyta personuppgifter för att vara i stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat.

(6)Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen av insamling och delning av personuppgifter har ökat avsevärt. Tekniken gör det möjligt för både privata företag och offentliga myndigheter att i sitt arbete använda sig av personuppgifter i en helt ny omfattning. Allt fler fysiska personer gör sina personliga uppgifter allmänt tillgängliga, världen över. Tekniken har omvandlat både ekonomin och det sociala livet, och bör ytterligare underlätta det fria flödet av personuppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, samtidigt som en hög skyddsnivå säkerställs för personuppgifter.

(7)Dessa förändringar kräver en stark och mer sammanhängande ram för dataskyddet inom unionen, uppbackad av kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala ekonomin över hela den inre marknaden. Fysiska personer bör ha kontroll över sina egna personuppgifter. Den rättsliga säkerheten och smidigheten för fysiska personer, ekonomiska operatörer och myndigheter bör stärkas.

(8)Om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av denna förordning i nationell rätt.

(9)Målen och principerna för direktiv 95/46/EG är fortfarande giltiga, men det har inte kunnat förhindra bristande enhetlighet i genomförandet av dataskyddet i olika delar av unionen, rättsosäkerhet eller allmänt spridda uppfattningar om att betydande risker kvarstår för fysiska personer, särskilt med avseende på användning av internet. Skillnader i nivån på skyddet av fysiska personers rättigheter och friheter, särskilt rätten till skydd av personuppgifter, vid behandling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av personuppgifter över hela unionen. Dessa skillnader kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, de kan snedvrida konkurrensen och hindra myndigheterna att fullgöra sina skyldigheter enligt unionsrätten. De varierande skyddsnivåerna beror på skillnader i genomförandet och tillämpningen av direktiv 95/46/EG.

(10)För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. Vad gäller behandlingen av personuppgifter för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgift­ sansvarige, bör medlemsstaterna tillåtas att behålla eller införa nationella bestämmelser för att närmare fastställa hur bestämmelserna i denna förordning ska tillämpas. Jämte den allmänna och övergripande lagstiftning om dataskydd varigenom direktiv 95/46/EG genomförs har medlemsstaterna flera sektorsspecifika lagar på områden som kräver mer specifika bestämmelser. Denna förordning ger dessutom medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter (nedan kallade känsliga uppgifter). Denna förordning utesluter inte att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas, inbegripet mer exakta villkor för laglig behandling av personuppgifter.

222

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/3

 

 

 

 

(11)Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och specificeras och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av personuppgifter klargörs, samt att det finns likvärdiga befogenheter för övervakning och att det säkerställs att reglerna för skyddet av personuppgifter efterlevs och att sanktionerna för överträdelser är likvärdiga i medlemsstaterna.

(12)I artikel 16.2 i EUF-fördraget bemyndigas Europaparlamentet och rådet att fastställa bestämmelser om skydd för fysiska personer när det gäller behandling av personuppgifter och bestämmelser om den fria rörligheten för personuppgifter.

(13)För att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag, och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyn­ digheterna i olika medlemsstater effektivt. För att den inre marknaden ska fungera väl krävs att det fria flödet av personuppgifter inom unionen inte begränsas eller förbjuds av skäl som har anknytning till skydd för fysiska personer med avseende på behandling av personuppgifter. För att ta hänsyn till mikroföretagens samt de små och medelstora företagens särskilda situation innehåller denna förordning ett undantag för organisationer som sysselsätter färre än 250 personer med avseende på registerföring. Dessutom uppmanas unionens institutioner och organ samt medlemsstaterna och deras tillsynsmyndigheter att vid tillämpningen av denna förordning ta hänsyn till mikroföretagens samt de små och medelstora företagens särskilda behov. Begreppen mikroföretag samt små och medelstora företag bör bygga på artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG (1).

(14)Det skydd som ska tillhandahållas enligt denna förordning bör tillämpas på fysiska personer, oavsett medborgarskap eller hemvist, med avseende på behandling av deras personuppgifter. Denna förordning omfattar inte behandling av personuppgifter rörande juridiska personer, särskilt företag som bildats som juridiska personer, exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter.

(15)För att förhindra att det uppstår en allvarlig risk för att reglerna kringgås bör skyddet för fysiska personer vara teknikneutralt och inte vara beroende av den teknik som används. Skyddet för fysiska personer bör vara tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt särskilda kriterier, bör inte omfattas av denna förordning.

(16)Denna förordning är inte tillämplig på frågor som rör skyddet av grundläggande rättigheter och friheter eller det fria flödet av personuppgifter på områden som inte omfattas av unionsrätten, såsom verksamhet rörande nationell säkerhet. Denna förordning är inte tillämplig på medlemsstaternas behandling av personuppgifter när de agerar inom ramen för unionens gemensamma utrikes- och säkerhetspolitik.

(17)Europaparlamentets och rådets förordning (EG) nr 45/2001 (2) är tillämplig på den behandling av personuppgifter som sker i unionens institutioner, organ och byråer. Förordning (EG) nr 45/2001 och de av unionens övriga rättsakter som är tillämpliga på sådan behandling av personuppgifter bör anpassas till principerna och bestämmelserna i den här förordningen och tillämpas mot bakgrund av den här förordningen. För att tillhandahålla en stark och sammanhängande ram för dataskyddet inom unionen bör nödvändiga anpassningar av förordning (EG) nr 45/2001 göras när den här förordningen har antagits, så att de båda förordningarna kan tillämpas samtidigt.

(18)Denna förordning är inte tillämplig på fysiska personers behandling av personuppgifter som ett led i verksamhet som är helt och hållet privat eller har samband med personens hushåll och därmed saknar koppling till yrkes- eller affärsmässig verksamhet. Privat verksamhet eller verksamhet som har samband med hushållet kan omfatta

(1) Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (K(2003) 1422)

(EUT L 124, 20.5.2003, s. 36).

(2) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitu­ tionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

223

Prop. 2017/18:218

Bilaga 1

L 119/4

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

korrespondens och innehav av adresser, aktivitet i sociala nätverk och internetverksamhet i samband med sådan verksamhet. Denna förordning är dock tillämplig på personuppgiftsansvariga eller personuppgiftsbiträden som tillhandahåller utrustning för behandling av personuppgifter för sådan privat verksamhet eller hushålls­ verksamhet.

(19)Skyddet för fysiska personer när det gäller behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och det fria flödet av sådana uppgifter, säkerställs på unionsnivå av en särskild unionsrättsakt. Därför bör denna förordning inte vara tillämplig på behandling av personuppgifter för dessa ändamål. Personuppgifter som myndigheter behandlar enligt denna förordning och som används för de ändamålen bör emellertid regleras genom en mer specifik unionsrättsakt, nämligen Europaparlamentets och rådets direktiv (EU) 2016/680 (1). Medlemsstaterna får anförtro behöriga myndigheter i den mening som avses i direktiv (EU) 2016/680 uppgifter som inte nödvändigtvis utförs för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, så att behandlingen av personuppgifter för dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas av tillämpningsområdet för denna förordning.

Vad gäller dessa behöriga myndigheters behandling av personuppgifter för ändamål som omfattas av tillämpningsområdet för denna förordning, bör medlemsstaterna kunna bibehålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning. I sådana bestämmelser får det fastställas mer specifika krav för dessa behöriga myndigheters behandling av personuppgifter för dessa andra ändamål, med beaktande av respektive medlemsstats konstitutionella, organisatoriska och administrativa struktur. När privata organs behandling av personuppgifter omfattas av tillämpningsområdet för denna förordning, bör denna förordning ge medlemsstaterna möjlighet att, under särskilda villkor, i lag begränsa vissa skyldigheter och rättigheter, om en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda särskilda viktiga intressen, däribland allmän säkerhet samt förebyggande, förhindrande, utredning, avslöjande och lagföring av brott eller verkställande av straffrättsliga påföljder eller skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten. Detta är exempelvis relevant i samband med bekämpning av penningtvätt eller verksamhet vid kriminaltekniska laboratorier.

(20)Eftersom denna förordning bland annat gäller för verksamhet inom domstolar och andra rättsliga myndigheter, skulle det i unionsrätt eller medlemsstaternas nationella rätt kunna anges vilken behandling och vilka förfaranden för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters behandling av personuppgifter. Tillsynsmyndigheternas behörighet bör inte omfatta domstolars behandling av personuppgifter när detta sker inom ramen för domstolarnas dömande verksamhet, i syfte att säkerställa domstolsväsendets oberoende när det utför sin rättsskipande verksamhet, inbegripet när det fattar beslut. Det bör vara möjligt att anförtro tillsynen över sådan behandling av uppgifter till särskilda organ inom medlemsstaternas rättsväsen, vilka framför allt bör säkerställa efterlevnaden av bestämmelserna i denna förordning, främja domstolsväsendets medvetenhet om sina skyldigheter enligt denna förordning och hantera klagomål relaterade till sådan behandling av uppgifter.

(21)Denna förordning påverkar inte tillämpningen av Europaparlamentets och rådets direktiv 2000/31/EG (2), särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet. Syftet med det direktivet är att bidra till att den inre marknaden fungerar väl genom att säkerställa fri rörlighet för informations­ samhällets tjänster mellan medlemsstaterna.

(22)All behandling av personuppgifter som sker inom ramen för arbetet på personuppgiftsansvarigas eller personupp­ giftsbiträdens verksamhetsställen inom unionen bör ske i överensstämmelse med denna förordning, oavsett om behandlingen i sig äger rum inom unionen. Verksamhetsställe innebär det faktiska och reella utförandet av verksamhet med hjälp av en stabil struktur. Den rättsliga formen för en sådan struktur, oavsett om det är en filial eller ett dotterföretag med status som juridisk person, bör inte vara den avgörande faktorn i detta avseende.

(1) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (se sidan 89 i detta nummer av

EUT).

(2) Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (”Direktiv om elektronisk handel”) (EGT L 178, 17.7.2000, s. 1).

224

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/5

 

 

 

 

(23)För att fysiska personer inte ska fråntas det skydd som denna förordning ger dem bör sådan behandling av personuppgifter om registrerade personer som befinner sig i unionen vilken utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad inom unionen omfattas av denna förordning, om behandlingen avser utbjudande av varor eller tjänster inom unionen till de registrerade, oavsett om detta är kopplat till en betalning. I syfte att avgöra om en personuppgiftsansvarig eller ett personuppgiftsbiträde erbjuder varor eller tjänster till registrerade som befinner sig i unionen bör man fastställa om det är uppenbart att den personuppgiftsansvarige eller personuppgiftsbiträdet avser att erbjuda tjänster till registrerade i en eller flera av unionens medlemsstater. Medan enbart åtkomlighet till den personuppgiftsansvariges, personuppgiftsbiträdets eller en mellanhands webbplats i unionen, till en e-postadress eller andra kontaktuppgifter eller användning av ett språk som allmänt används i det tredjeland där den personuppgiftsansvarige är etablerad inte är tillräckligt för att fastställa en sådan avsikt, kan faktorer som användning av ett språk eller en valuta som allmänt används i en eller flera medlemsstater med möjlighet att beställa varor och tjänster på detta andra språk, eller omnämnande av kunder eller användare som befinner sig i unionen, göra det uppenbart att den personuppgiftsansvarige avser att erbjuda varor eller tjänster till registrerade inom unionen.

(24)Den behandling av personuppgifter som avser registrerade som befinner sig i unionen som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen bör också omfattas av denna förordning, om den hör samman med övervakningen av de registrerade personernas beteende när de befinner sig i unionen. För att avgöra huruvida en viss behandling kan anses övervaka beteendet hos registrerade, bör det fastställas om fysiska personer spåras på internet, och om personuppgifterna därefter behandlas med hjälp av teknik som profilerar fysiska personer, i synnerhet för att fatta beslut rörande honom eller henne eller för att analysera eller förutsäga hans eller hennes personliga preferenser, beteende och attityder.

(25)Om medlemsstaternas nationella rätt är tillämplig i kraft av folkrätten, bör denna förordning också vara tillämplig på personuppgiftsansvariga som inte är etablerade inom unionen, exempelvis i en medlemsstats diplomatiska beskickning eller konsulat.

(26)Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Principerna för dataskyddet bör därför inte gälla för anonym information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Denna förordning berör därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller forskningsändamål.

(27)Denna förordning gäller inte behandling av personuppgifter rörande avlidna personer. Medlemsstaterna får fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer.

(28)Tillämpningen av pseudonymisering av personuppgifter kan minska riskerna för de registrerade som berörs och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett uttryckligt införande av pseudonymisering i denna förordning är inte avsett att utesluta andra åtgärder för dataskydd.

(29)För att skapa incitament för tillämpning av pseudonymisering vid behandling av personuppgifter bör åtgärder för pseudonymisering som samtidigt medger en allmän analys vara möjliga inom samma personuppgiftsansvarigs verksamhet, när den personuppgiftsansvarige har vidtagit de tekniska och organisatoriska åtgärder som är nödvändiga för att se till att denna förordning genomförs för berörd uppgiftsbehandling och att kompletterande uppgifter för tillskrivning av personuppgifterna till en specifik registrerad person förvaras separat. Den personuppgiftsansvarige som behandlar personuppgifterna bör ange behöriga personer inom samma personupp­ giftsansvarigs verksamhet.

225

Prop. 2017/18:218

Bilaga 1

L 119/6

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

(30)Fysiska personer kan knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser, kakor eller andra identifierare, som radiofrekvensetiketter. Detta kan efterlämna spår som, särskilt i kombination med unika identifierare och andra uppgifter som tas emot av servrarna, kan användas för att skapa profiler för fysiska personer och identifiera dem.

(31)Offentliga myndigheter som för sin myndighetsutövning mottar personuppgifter i enlighet med en rättslig förpliktelse, t.ex. skatte- och tullmyndigheter, finansutredningsgrupper, oberoende administrativa myndigheter eller finansmarknadsmyndigheter med ansvar för reglering och övervakning av värdepappersmarknader, bör inte betraktas som mottagare om de tar emot personuppgifter som är nödvändiga för utförandet av en särskild utredning av allmänt intresse, i enlighet med unionsrätten eller medlemstaternas nationella rätt. Offentliga myndigheters begäranden om att uppgifter ska lämnas ut ska alltid vara skriftliga och motiverade, läggas fram i enskilda fall och inte gälla hela register eller leda till att register kopplas samman. Dessa offentliga myndigheters behandling av personuppgifter bör ske i överensstämmelse med de bestämmelser för dataskydd som är tillämpliga på behandlingens ändamål.

(32)Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser.

(33)Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

(34)Genetiska uppgifter bör definieras som personuppgifter som rör en fysisk persons nedärvda eller förvärvade genetiska kännetecken, vilka framgår av en analys av ett biologiskt prov från den fysiska personen i fråga, framför allt kromosom-, DNA- eller RNA-analys eller av en annan form av analys som gör det möjligt att inhämta motsvarande information.

(35)Personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhanda­ hållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv 2011/24/EU (1), ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.

(36)Den personuppgiftsansvariges huvudsakliga verksamhetsställe i unionen bör vara den plats i unionen där den personuppgiftsansvarige har sin centrala förvaltning, såvida inte beslut om ändamålen och medlen för behandling av personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen; i sådant fall

(1) Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).

226

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/7

 

 

 

 

bör det andra verksamhetsstället anses vara det huvudsakliga verksamhetsstället. En personuppgiftsansvarigs huvudsakliga verksamhetsställe inom unionen bör avgöras med beaktande av objektiva kriterier och bör inbegripa den faktiska och reella ledning som fattar de huvudsakliga besluten vad avser ändamål och medel för behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt av om behandlingen av personuppgifter utförs på detta ställe. Att tekniska medel och teknik för behandling av personuppgifter eller behandlingsverksamhet finns och används visar i sig inte att det rör sig om ett huvudsakligt verksamhetsställe och utgör därför inte avgörande kriterier för ett huvudsakligt verksamhetsställe. Personuppgiftsbiträdets huvudsakliga verksamhetsställe bör vara den plats i unionen där denne har sin centrala förvaltning eller, om denne inte har någon central förvaltning inom unionen, den plats inom unionen där den huvudsakliga behandlingen sker. I fall som omfattar både en personuppgiftsansvarig och ett personuppgiftsbiträde bör den behöriga ansvariga tillsynsmyndigheten fortfarande vara tillsynsmyndigheten i den medlemsstat där den personuppgiftsansvarige har sitt huvudsakliga verksamhetsställe, men den tillsynsmyndighet som gäller för personuppgiftsbiträdet bör betraktas som en berörd tillsynsmyndighet och den tillsynsmyndigheten bör delta i det samarbetsförfarande som föreskrivs i denna förordning. Om utkastet till beslut endast gäller den personuppgift­ sansvarige, bör tillsynsmyndigheterna i den eller de medlemsstater där personuppgiftsbiträdet har ett eller flera verksamhetsställen inte under några omständigheter betraktas som berörda tillsynsmyndigheter. Om behandlingen utförs av en koncern bör det kontrollerande företagets huvudsakliga verksamhetsställe betraktas som koncernens huvudsakliga verksamhetsställe, utom då behandlingens ändamål och de medel med vilka den utförs fastställs av ett annat företag.

(37)En koncern bör innefatta ett kontrollerande företag och de företag som detta företag kontrollerar (kontrollerade företag), varvid det kontrollerande företaget bör vara det företag som kan utöva ett dominerande inflytande på de övriga företagen i kraft av exempelvis ägarskap, finansiellt deltagande eller de bestämmelser som det regleras av eller befogenheten att införa regler som rör personuppgiftsskyddet. Ett företag med kontroll över behandlingen av personuppgifter vid företag som är underställda detta företag bör, tillsammans med dessa företag, anses utgöra en koncern.

(38)Barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt skydd bör i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte eller för att skapa personlighets- eller användarprofiler samt insamling av personuppgifter med avseende på barn när tjänster som erbjuds direkt till barn utnyttjas. Samtycke från den person som har föräldraansvar över ett barn bör inte krävas för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.

(39)Varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse på och meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Alla rimliga åtgärder bör vidtas för att rätta eller radera felaktiga uppgifter. Personuppgifter bör behandlas på ett sätt som säkerställer lämplig säkerhet och konfidentialitet för personuppgifterna samt förhindrar obehörigt tillträde till och obehörig användning av personuppgifter och den utrustning som används för behandlingen.

(40)För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från den berörda registrerade eller på någon annan legitim grund som fastställts i lag, antingen i denna förordning eller i annan unionsrätt eller

227

Prop. 2017/18:218

Bilaga 1

L 119/8

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

medlemsstaternas nationella rätt enligt denna förordning, vilket inbegriper att de rättsliga skyldigheter som åligger den personuppgiftsansvarige måste fullgöras eller att ett avtal i vilket den registrerade är part måste genomföras eller att åtgärder på begäran av den registrerade måste vidtas innan avtalet ingås.

(41)När det i denna förordning hänvisas till en rättslig grund eller lagstiftningsåtgärd, innebär detta inte nödvändigtvis en lagstiftningsakt antagen av ett parlament, utan att detta påverkar krav som uppställs i den konstitutionella ordningen i den berörda medlemsstaten. En sådan rättslig grund eller lagstiftningsåtgärd bör dock vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol (nedan kallad domstolen) och Europeiska domstolen för de mänskliga rättigheterna.

(42)När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade har lämnat sitt samtycke till behandlingen. I synnerhet vid skriftliga förklaringar som rör andra frågor bör det finnas skyddsåtgärder som säkerställer att de registrerade är medvetna om att samtycke ges och om hur långt samtycket sträcker sig. I enlighet med rådets direktiv 93/13/EEG (1) bör en förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

(43)För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personupp­ giftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande.

(44)Behandling bör vara laglig när den är nödvändig i samband med avtal eller när det finns en avsikt att ingå ett avtal.

(45)Behandling som grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, bör ha en grund i unionsrätten eller i en medlemsstats nationella rätt. Denna förordning medför inte något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Behandlingens syfte bör också fastställas i unionsrätten eller i medlemsstaternas nationella rätt. Därtill skulle man genom denna grund kunna ange denna förordnings allmänna villkor för laglig personuppgiftsbehandling och precisera kraven för att fastställa vem den personupp­ giftsansvarige är, vilken typ av personuppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut, ändamålsbegränsningar, lagringstid samt andra åtgärder för att tillförsäkra en laglig och rättvis behandling. Unionsrätten eller medlemsstaternas nationella rätt bör också reglera frågan huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighets­ utövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentlig­ rättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.

(46)Behandling av personuppgifter bör även anses laglig när den är nödvändig för att skydda ett intresse som är av avgörande betydelse för den registrerades eller en annan fysisk persons liv. Behandling av personuppgifter på

(1) Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäligavillkor i konsumentavtal (EGT L 95, 21.4.1993, s. 29).

228

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/9

 

 

 

 

grundval av en annan fysisk persons grundläggande intressen bör i princip endast äga rum om behandlingen inte uppenbart kan ha en annan rättslig grund. Vissa typer av behandling kan tjäna både viktiga allmänintressen och intressen som är av grundläggande betydelse för den registrerade, till exempel när behandlingen är nödvändig av humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer, särskilt vid naturkatastrofer eller katastrofer orsakade av människan.

(47)En personuppgiftsansvarigs berättigade intressen, inklusive intressena för en personuppgiftsansvarig till vilken personuppgifter får lämnas ut, eller för en tredje part, kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre, med beaktande av de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige. Ett sådant berättigat intresse kan till exempel finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige i sådana situationer som att den registrerade är kund hos eller arbetar för den personuppgiftsansvarige. Ett berättigat intresse kräver under alla omständigheter en noggrann bedömning, som inbegriper huruvida den registrerade vid tidpunkten för inhämtandet av personuppgifter och i samband med detta rimligen kan förvänta sig att en uppgiftsbehandling för detta ändamål kan komma att ske. Den registrerades intressen och grundläggande rättigheter skulle i synnerhet kunna väga tyngre än den personuppgiftsansvariges intressen, om personuppgifter behandlas under omständigheter där den registrerade inte rimligen kan förvänta sig någon ytterligare behandling. Med tanke på att det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter, bör den rättsliga grunden inte gälla den behandling de utför som ett led i fullgörandet av sina uppgifter. Sådan behandling av personuppgifter som är absolut nödvändig för att förhindra bedrägerier utgör också ett berättigat intresse för berörd personupp­ giftsansvarig. Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse.

(48)Personuppgiftsansvariga som ingår i en koncern eller institutioner som är underställda ett centralt organ kan ha ett berättigat intresse att överföra personuppgifter inom koncernen för interna administrativa ändamål, bland annat för behandling av kunders eller anställdas personuppgifter. De allmänna principerna för överföring av personuppgifter, inom en koncern, till företag i tredjeland påverkas inte.

(49)Behandling av personuppgifter utgör ett berättigat intresse för berörd personuppgiftsansvarig i den mån den är absolut nödvändig och proportionell för att säkerställa nät- och informationssäkerhet, dvs. förmågan hos ett nät eller ett informationssystem att vid en viss tillförlitlighetsnivå tåla olyckshändelser, olagliga handlingar eller illvilligt uppträdande som äventyrar tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda personuppgifter och säkerheten hos besläktade tjänster som tillhandahålls av – eller är tillgängliga via – dessa nät och system, av myndigheter, incidenthanteringsorganisationer (Cert), enheter för hantering av datasäkerhetsincidenter, tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster och tillhandahållare av säkerhetsteknik och säkerhetstjänster. Detta skulle t.ex. kunna innefatta att förhindra obehörigt tillträde till elektroniska kommunikationsnät och felaktig kodfördelning och att sätta stopp för överbelastnings­ attacker och skador på datasystem och elektroniska kommunikationssystem.

(50)Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör endast vara tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av uppgifter. Den rättsliga grund för behandling av personuppgifter som återfinns i unionsrätten eller i medlemsstaternas nationella rätt kan också utgöra en rättslig grund för ytterligare behandling. För att fastställa om ett ändamål med den ytterligare behandlingen är förenligt med det ändamål för vilket personuppgifterna ursprungligen insamlades bör den personuppgiftsansvarige, efter att ha uppfyllt alla krav vad beträffar den ursprungliga behandlingens lagenlighet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna insamlats, särskilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige i fråga om den

229

Prop. 2017/18:218

Bilaga 1

L 119/10

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

art, den planerade ytterligare behandlingens konsekvenser för de registrerade samt förekomsten av lämpliga skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen.

Om den registrerade har gett sitt medgivande eller behandlingen grundar sig på unionsrätten eller på medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte. Under alla omständigheter bör tillämpningen av principerna i denna förordning, särskilt informationen till den registrerade om dessa andra ändamål och om dennes rättigheter, inbegripet rätten att göra invändningar, säkerställas. Om den personuppgiftsansvarige anmäler möjliga brott eller hot mot den allmänna säkerheten och i enskilda fall eller i flera fall som rör samma brott eller hot mot den allmänna säkerheten överför dessa personuppgifter till en behörig myndighet, ska detta betraktas som att den personuppgiftsansvarige agerar i ett berättigat intresse. Sådan överföring i den personuppgiftsansvariges berättigade intresse eller ytterligare behandling av personuppgifter bör emellertid vara förbjuden, om behandlingen inte är förenlig med lagstadgad eller yrkesmässig tystnadsplikt eller annan bindande tystnadsplikt.

(51)Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheterna och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Dessa personuppgifter bör även inbegripa personuppgifter som avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i denna förordning inte innebär att unionen godtar teorier som söker fastställa förekomsten av skilda människoraser. Behandling av foton bör inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Sådana personuppgifter bör inte behandlas, såvida inte behandling medges i särskilda fall som fastställs i denna förordning, med beaktande av att det i medlemsstaternas lagstiftning får införas särskilda bestämmelser om dataskydd för att anpassa tillämpningen av bestämmelserna i denna förordning i syfte att fullgöra en rättslig skyldighet eller en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra. Utöver de särskilda kraven för sådan behandling, bör de allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller för att tillgodose specifika behov, i synnerhet när behandlingen utförs inom ramen för legitima verksamheter som bedrivs av vissa sammanslutningar eller stiftelser i syfte att göra det möjligt att utöva grundläggande friheter.

(52)Undantag från förbudet att behandla särskilda kategorier av personuppgifter bör även tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta, i synnerhet i fråga om behandling av personuppgifter inom ramen för arbetsrätt och sociallagstiftning, däribland pensioner, och för hälsosäkerhetsändamål, övervaknings- och varningssyften, förebyggande eller kontroll av smittsamma sjukdomar och andra allvarliga hot mot hälsan. Detta undantag får göras för hälsoändamål, inbegripet folkhälsa och förvaltningen av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Genom undantag bör man även tillåta behandling av sådana personuppgifter där så krävs för fastställande, utövande eller försvar av rättsliga anspråk, oavsett om detta sker inom ett domstolsförfarande eller inom ett administrativt eller ett utomrättsligt förfarande.

(53)Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör endast behandlas i hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort, särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård och social omsorg och deras system, inbegripet behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av kontinuitet inom hälso- och sjukvård och social omsorg samt gränsöverskridande hälso- och sjukvård eller hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på unionsrätten eller på medlemsstaternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs av allmänt intresse på folkhälsoområdet. Denna förordning bör därför innehålla harmoniserade villkor för behandling av särskilda kategorier av personuppgifter om hälsa, vad gäller särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade

230

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/11

 

 

 

 

yrkesmässig tystnadsplikt. Unionsrätten eller medlemsstaternas nationella rätt bör föreskriva särskilda och lämpliga åtgärder som skyddar fysiska personers grundläggande rättigheter och personuppgifter. Medlemsstaterna bör få behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Detta bör emellertid inte hindra det fria flödet av personuppgifter inom unionen, när villkoren tillämpas på gränsöverskridande behandling av sådana uppgifter.

(54)På folkhälsoområdet kan det bli nödvändigt att med hänsyn till ett allmänt intresse behandla särskilda kategorier av personuppgifter utan att den registrerades samtycke inhämtas. Sådan behandling bör förutsätta lämpliga och särskilda åtgärder för att skydda fysiska personers rättigheter och friheter. I detta sammanhang bör folkhälsa tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008 (1), nämligen alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. Sådan behandling av uppgifter om hälsa av allmänt intresse bör inte innebära att personuppgifter behandlas för andra ändamål av tredje part, exempelvis arbetsgivare eller försäkrings- och bankföretag.

(55)Myndigheters behandling av personuppgifter på officiellt erkända religiösa sammanslutningars vägnar i syften som fastställs i grundlag eller i folkrätten anses också grunda sig på ett allmänt intresse.

(56)Om det för att det demokratiska systemet ska fungera i samband med allmänna val är nödvändigt att politiska partier i vissa medlemsstater samlar in personuppgifter om fysiska personers politiska uppfattningar, får behandling av sådana uppgifter tillåtas med hänsyn till ett allmänt intresse, på villkor att lämpliga skyddsåtgärder fastställs.

(57)Om de personuppgifter som behandlas av en personuppgiftsansvarig inte gör det möjligt för denne att identifiera en fysisk person, bör den personuppgiftsansvarige inte vara tvungen att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Den personuppgiftsansvarige bör dock inte vägra att ta emot kompletterande uppgifter som den registrerade lämnat som stöd för utövandet av sina rättigheter. Identifiering bör omfatta digital identifiering av en registrerad, till exempel genom en autentiseringsmekanism, exempelvis samma identifieringsinformation som används av den registrerade för att logga in på den nättjänst som tillhandahålls av den personuppgiftsansvarige.

(58)Öppenhetsprincipen kräver att all information som riktar sig till allmänheten eller till registrerade är kortfattad, lättåtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk samt att man vid behov använder visualisering. Denna information kan ges elektroniskt, exempelvis på en webbplats, när den riktas till allmänheten. Detta är särskilt relevant i situationer där mängden olika aktörer och den tekniska komplexiteten gör det svårt för den registrerade att veta och förstå om personuppgifter som rör honom eller henne samlas in, vem som gör det och för vilket syfte, exempelvis i fråga om reklam på nätet. Eftersom barn förtjänar särskilt skydd, bör all information och kommunikation som riktar sig till barn utformas på ett tydligt och enkelt språk som barnet lätt kan förstå.

(59)Förfaranden bör fastställas som gör det lättare för registrerade att utöva sina rättigheter enligt denna förordning, inklusive mekanismer för att begära och i förekommande fall kostnadsfritt få tillgång till och erhålla rättelse eller radering av personuppgifter samt för att utöva rätten att göra invändningar. Den personuppgiftsansvarige bör också tillhandahålla hjälpmedel för elektroniskt ingivna framställningar, särskilt i fall då personuppgifter behandlas elektroniskt. Personuppgiftsansvariga bör utan onödigt dröjsmål och senast inom en månad vara skyldiga att besvara registrerades önskemål och lämna en motivering, om de inte avser att uppfylla sådana önskemål.

(1) Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70).

231

Prop. 2017/18:218

Bilaga 1

L 119/12

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

(60)Principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och syftet med den. Den personuppgiftsansvarige bör till den registrerade lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang. Dessutom bör den registrerade informeras om förekomsten av profilering samt om konsekvenserna av sådan profilering. Om personuppgifterna samlas in från den registrerade, bör denne även informeras om huruvida han eller hon är skyldig att tillhandahålla personuppgifterna och om konsekvenserna om han eller hon inte lämnar dem. Denna information får tillhandahållas kombinerad med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen. Om sådana symboler visas elektroniskt bör de vara maskinläsbara.

(61)Information om behandling av personuppgifter som rör den registrerade bör lämnas till honom eller henne vid den tidpunkt då personuppgifterna samlas in från den registrerade eller, om personuppgifterna erhålls direkt från en annan källa, inom en rimlig period, beroende på omständigheterna i fallet. Om personuppgifter legitimt kan lämnas ut till en annan mottagare, bör de registrerade informeras första gången personuppgifterna lämnas ut till denna mottagare. Om den personuppgiftsansvarige avser att behandla personuppgifter för ett annat ändamål än det för vilket uppgifterna insamlades, bör denne före ytterligare behandling informera den registrerade om detta andra syfte och lämna annan nödvändig information. Om personuppgifternas ursprung inte kan meddelas den registrerade på grund av att olika källor har använts, bör allmän information ges.

(62)Det är dock inte nödvändigt att införa någon skyldighet att tillhandahålla information, om den registrerade redan innehar denna information, om registreringen eller utlämnandet av personuppgifterna uttryckligen föreskrivs i lag eller om det visar sig vara omöjligt eller skulle medföra orimliga ansträngningar att tillhandahålla den registrerade informationen. Det sistnämnda skulle särskilt kunna vara fallet om behandlingen sker för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. I detta avseende bör antalet registrerade, uppgifternas ålder och lämpliga skyddsåtgärder beaktas.

(63)Den registrerade bör ha rätt att få tillgång till personuppgifter som insamlats om denne samt på enkelt sätt och med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna kontrollera att den är laglig. Detta innefattar rätten för registrerade att få tillgång till uppgifter om sin hälsa, exempelvis uppgifter i läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande läkare och eventuella vårdbehandlingar eller interventioner. Alla registrerade bör därför ha rätt att få kännedom och underrättelse om framför allt orsaken till att personuppgifterna behandlas, om möjligt vilken tidsperiod behandlingen pågår, vilka som mottar personuppgifterna, bakomliggande logik i samband med automatisk behandling av personuppgifter och, åtminstone när behandlingen bygger på profilering, konsekvenserna av sådan behandling. Om möjligt bör den personuppgiftsansvarige kunna ge fjärråtkomst till ett säkert system genom vilket den registrerade kan få direkt åtkomst till sina personuppgifter. Denna rätt bör inte inverka menligt på andras rättigheter eller friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt som skyddar programvaran. Resultatet av dessa överväganden bör dock inte bli att den registrerade förvägras all information. Om den personuppgiftsansvarige behandlar en stor mängd uppgifter om den registrerade, bör den personuppgiftsansvarige kunna begära att den registrerade lämnar uppgift om vilken information eller vilken behandling en framställan avser, innan informationen lämnas ut.

(64)Personuppgiftsansvariga bör vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär tillgång, särskilt inom ramen för nättjänster och i fråga om nätidentifierare. Personuppgiftsansvariga bör inte behålla personuppgifter enbart för att kunna agera vid en potentiell begäran.

(65)Den registrerade bör ha rätt att få sina personuppgifter rättade och en rätt att bli bortglömd, om lagringen av uppgifterna strider mot denna förordning eller unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av. En registrerad bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa personuppgifter inte behandlas, om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om en registrerad har återtagit sitt samtycke till behandling eller invänder mot behandling av personuppgifter som rör honom eller henne, eller om behandlingen av hans eller

232

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/13

 

 

 

 

hennes personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna utöva denna rätt även när han eller hon inte längre är barn. Ytterligare lagring av personuppgifterna bör dock vara laglig, om detta krävs för att utöva yttrandefrihet och informationsfrihet, för att uppfylla en rättslig förpliktelse, för att utföra en uppgift i av allmänt intresse eller som ett led i myndighetsutövning som anförtrotts den personuppgiftsansvarige, med anledning av ett allmänt intresse inom folkhälsoområdet, för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för fastställande, utövande eller försvar av rättsliga anspråk.

(66)För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering utvidgas genom att personuppgift­ sansvariga som offentliggjort personuppgifter är förpliktigade att vidta rimliga åtgärder, däribland tekniska åtgärder, för att informera de personuppgiftsansvariga som behandlar dessa personuppgifter om att den registrerade har begärt radering av alla länkar till och kopior eller reproduktioner av dessa personuppgifter. I samband med detta bör den personuppgiftsansvarige vidta rimliga åtgärder, med beaktande av tillgänglig teknik och de hjälpmedel som står den personuppgiftsansvarige till buds, däribland tekniska åtgärder, för att informera de personuppgiftsansvariga som behandlar personuppgifterna om den registrerades begäran.

(67)Sätten att begränsa behandlingen av personuppgifter kan bland annat inbegripa att man tillfälligt flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör klart anges inom systemet.

(68)För att ytterligare förbättra kontrollen över sina egna uppgifter bör den registrerade, om personuppgifterna behandlas automatiskt, också tillåtas att motta de personuppgifter som rör honom eller henne, som han eller hon har tillhandahållit den personuppgiftsansvarige, i ett strukturerat, allmänt använt, maskinläsbart och kompatibelt format och överföra dessa till en annan personuppgiftsansvarig. Personuppgiftsansvariga bör uppmuntras att utveckla kompatibla format som möjliggör dataportabilitet. Denna rättighet bör vara tillämplig om den registrerade har tillhandahållit uppgifterna efter att ha lämnat sitt samtycke eller om behandlingen är nödvändig för att ett avtal ska kunna genomföras. Den bör inte vara tillämplig om behandlingen utgår från en annan rättslig grund än samtycke eller avtal. På grund av sin art bör denna rättighet inte utövas mot personuppgiftsansvariga som behandlar personuppgifter som ett led i myndighetsutövning. Därför bör den inte vara tillämplig när behandlingen av personuppgifterna är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personupp­ giftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Den registrerades rätt att överföra eller motta personuppgifter som rör honom eller henne innebär inte någon skyldighet för de personuppgiftsansvariga att införa eller upprätthålla behandlingssystem som är tekniskt kompatibla. Om mer än en registrerad berörs inom en viss uppsättning personuppgifter, bör rätten att motta personuppgifterna inte inverka på andra registrerades rättigheter och friheter enligt denna förordning. Denna rättighet bör inte heller påverka den registrerades rätt att få till stånd radering av personuppgifter och de inskränkningar av denna rättighet vilka anges i denna förordning och bör i synnerhet inte medföra radering av personuppgifter om den registrerade som denne har lämnat för genomförande av ett avtal, i den utsträckning och så länge som personuppgifterna krävs för genomförande av avtalet. Om det är tekniskt möjligt, bör den registrerade ha rätt till direkt överföring av personuppgifterna från en personuppgiftsansvarig till en annan.

(69)När personuppgifter lagligen får behandlas, eftersom behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning som utförs av den personuppgiftsansvarige, eller på grund av en personuppgiftsansvarigs eller en tredje parts berättigade intressen, bör alla registrerade ändå ha rätt att göra invändningar mot behandling av personuppgifter som rör de registrerades särskilda situation. Det bör ankomma på den personuppgiftsansvarige att visa att dennes tvingande berättigade intressen väger tyngre än den registrerades intressen eller grundläggande rättigheter och friheter.

(70)Om personuppgifter behandlas för direktmarknadsföring, bör den registrerade, oavsett om det handlar om inledande eller ytterligare behandling, ha rätt att när som helst kostnadsfritt invända mot sådan behandling, inbegripet profilering, i den mån denna är kopplad till direktmarknadsföring. Denna rättighet bör uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från annan information.

233

Prop. 2017/18:218

Bilaga 1

L 119/14

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

(71)Den registrerade bör ha rätt att inte bli föremål för ett beslut, vilket kan inbegripa en åtgärd, med bedömning av personliga aspekter rörande honom eller henne, vilket enbart grundas på automatiserad behandling och medför rättsverkan för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, såsom ett automatiserat avslag på en kreditansökan online eller e-rekrytering utan personlig kontakt. Sådan behandling omfattar ”profilering” i form av automatisk behandling av personuppgifter med bedömning av personliga aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar, i den mån dessa har rättsverkan rörande honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Beslutsfattande grundat på sådan behandling, inbegripet profilering, bör dock tillåtas när det uttryckligen beviljas genom unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av, inbegripet för sådan övervakning och sådant förebyggande av bedrägerier och skatteundandragande som genomförs i enlighet med unionsinstitutionernas eller de nationella tillsynsorganens bestämmelser, standarder och rekommendationer samt för att sörja för tillförlitlighet hos en tjänst som tillhandahålls av den personuppgiftsansvarige, eller när det krävs för ingående eller genomförande av ett avtal mellan den registrerade och en personuppgiftsansvarig eller den registrerade har gett sitt uttryckliga samtycke. Denna form av uppgiftsbehandling bör under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet. Sådana åtgärder bör inte gälla barn.

I syfte att sörja för rättvis och transparent behandling med avseende på den registrerade, med beaktande av omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar potentiella risker för den registrerades intressen och rättigheter och förhindrar bland annat diskriminerande effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller som leder till åtgärder som får sådana effekter. Automatiserat beslutsfattande och profilering baserat på särskilda kategorier av personuppgifter bör endast tillåtas på särskilda villkor.

(72)Profilering omfattas av denna förordnings bestämmelser om behandling av personuppgifter, såsom de rättsliga grunderna för behandlingen och principer för dataskydd. Europeiska dataskyddsstyrelsen som inrättas genom denna förordning (nedan kallad styrelsen) bör kunna utfärda riktlinjer i detta avseende.

(73)Begränsningar med avseende på specifika principer och rätten till information, tillgång till och rättelse eller radering av personuppgifter, rätten till dataportabilitet, rätten att göra invändningar, profileringsbaserade beslut samt information till den registrerade om personuppgiftsincidenter och vissa av den personuppgiftsansvariges relaterade skyldigheter kan införas genom unionsrätten eller medlemsstaternas nationella rätt, i den mån de är nödvändiga och proportionella i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten, exempelvis för att skydda människoliv, särskilt vid naturkatastrofer eller katastrofer framkallade av människan, vid förebyggande, förhindrande, utredning och lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten eller överträdelser av etiska principer för reglerade yrken, vad gäller unionens eller en medlemsstats övriga viktiga mål av allmänt intresse, särskilt om de är av stort ekonomiskt eller finansiellt intresse för unionen eller en medlemsstat, förande av offentliga register som förs av hänsyn till ett allmänt intresse, ytterligare behandling av arkiverade personuppgifter för att tillhandahålla specifik information om politiskt beteende under tidigare totalitära regimer eller skydd av den registrerade eller andras rättigheter och friheter, inklusive socialt skydd, folkhälsa och humanitära skäl. Dessa begränsningar bör överensstämma med kraven i stadgan och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

(74)Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska personers rättigheter och friheter.

234

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/15

 

 

 

 

(75)Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, om personuppgifter behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder behandlas, om personliga aspekter bedöms, framför allt analyser eller förutsägelser beträffande sådant som rör arbetsprestationer, ekonomisk ställning, hälsa, personliga preferenser eller intressen, tillförlitlighet eller beteende, vistelseort eller förflyttningar, i syfte att skapa eller använda personliga profiler, om det sker behandling av personuppgifter rörande sårbara fysiska personer, framför allt barn, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal registrerade.

(76)Hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör fastställas utifrån behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.

(77)Vägledning för den personuppgiftsansvariges eller personuppgiftsbiträdets genomförande av lämpliga åtgärder och för påvisande av att behandlingen är förenlig med denna förordning, särskilt när det gäller att kartlägga den risk som är förknippad med behandlingen och bedöma dess ursprung, art, sannolikhetsgrad och allvar samt fastställa bästa praxis för att minska risken, kan framför allt ges genom godkända uppförandekoder, godkänd certifiering, riktlinjer från styrelsen eller genom anvisningar från ett dataskyddsombud. Styrelsen kan också utfärda riktlinjer för uppgiftsbehandling som inte bedöms medföra någon hög risk för fysiska personers rättigheter och friheter samt ange vilka åtgärder som i sådana fall kan vara tillräckliga för att bemöta en sådan risk.

(78)Skyddet av fysiska personers rättigheter och friheter i samband med behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas, så att kraven i denna förordning uppfylls. För att kunna visa att denna förordning följs bör den personuppgiftsansvarige anta interna strategier och vidta åtgärder, särskilt för att uppfylla principerna om inbyggt dataskydd och dataskydd som standard. Sådana åtgärder kan bland annat bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras, att öppenhet om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbe­ handlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar. Vid utveckling, utformning, urval och användning av applikationer, tjänster och produkter som är baserade på behandling av personuppgifter eller behandlar personuppgifter för att uppfylla sitt syfte bör producenterna av dessa produkter, tjänster och applikationer uppmanas att beakta rätten till dataskydd när sådana produkter, tjänster och applikationer utvecklas och utformas och att, med tillbörlig hänsyn till den tekniska utvecklingen, säkerställa att personuppgiftsansvariga och personuppgiftsbiträden kan fullgöra sina skyldigheter avseende dataskydd. Principerna om inbyggt dataskydd och dataskydd som standard bör också beaktas vid offentliga upphandlingar.

(79)Skyddet av de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och personuppgiftsbi­ trädenas ansvar, även i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när personuppgiftsansvariga gemensamt fastställer ändamål och medel för en behandling tillsammans med andra personuppgiftsansvariga eller när en behandling utförs på en personuppgiftsansvarigs vägnar.

(80)När personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade inom unionen behandlar personuppgifter om registrerade som befinner sig inom unionen och det bakomliggande syftet med uppgiftsbe­ handlingen är att erbjuda de registrerade personerna i unionen varor eller tjänster, oberoende av om de registrerade personerna måste betala för dem, eller att övervaka deras beteende i den mån beteendet äger rum i unionen, bör de personuppgiftsansvariga eller personuppgiftsbiträdena utnämna en företrädare, såvida inte behandlingen endast är tillfällig, inte omfattar behandling i stor omfattning av särskilda kategorier av personuppgifter eller behandling av personuppgifter om fällande domar i brottmål samt överträdelser och det är

235

Prop. 2017/18:218

Bilaga 1

L 119/16

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

osannolikt att den inbegriper en risk för fysiska personers rättigheter och friheter, med beaktande av behandlingens art, sammanhang, omfattning och ändamål eller om den personuppgiftsansvarige är en myndighet eller ett organ. Företrädaren bör agera på den personuppgiftsansvariges eller på personuppgiftsbiträdets vägnar och kan kontaktas av samtliga tillsynsmyndigheter. Företrädaren bör uttryckligen utses genom en skriftlig fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet att agera på dennes vägnar med avseende på dennes skyldigheter enligt denna förordning. Utnämningen av företrädaren inverkar inte på den personuppgiftsansvariges eller på personuppgiftsbiträdets ansvar enligt denna förordning. Företrädaren bör utföra sina uppgifter i enlighet med erhållen fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet, vilket inbegriper samarbete med de behöriga tillsynsmyndigheterna i fråga om alla åtgärder som vidtas för att sörja för efterlevnad av denna förordning. Den utsedda företrädaren bör underkastas verkställighetsförfaranden i händelse den personuppgiftsansvarige eller personuppgiftsbiträdet inte uppfyller sina skyldigheter.

(81)För att se till att kraven i denna förordning uppfylls vad gäller behandling som av ett personuppgiftsbiträde ska utföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige, när denne anförtror behandling åt ett personuppgiftsbiträde, endast använda personuppgiftsbiträden som ger tillräckliga garantier, i synnerhet i fråga om sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i denna förordning, bl.a. vad gäller säkerhet i samband med behandlingen av uppgifter. Personuppgifts­ biträdets anslutning till en godkänd uppförandekod eller en godkänd certifieringsmekanism kan användas som ett sätt att påvisa att den personuppgiftsansvarige fullgör sina skyldigheter. När uppgifter behandlas av ett personuppgiftsbiträde, bör hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller medlemsstaternas nationella rätt mellan personuppgiftsbiträdet och den personuppgiftsansvarige, där föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade anges, med beaktande av personuppgiftsbiträdets specifika arbets- och ansvarsuppgifter inom ramen för den behandling som ska utföras och risken med avseende på den registrerades rättigheter och friheter. Den personuppgiftsansvarige och personuppgiftsbiträdet får välja att använda sig av ett enskilt avtal eller standardav­ talsklausuler som antingen antas direkt av kommissionen eller av en tillsynsmyndighet i enlighet med mekanismen för enhetlighet och därefter antas av kommissionen. Efter det att behandlingen på den personupp­ giftsansvariges vägnar har avslutats, bör personuppgiftsbiträdet återlämna eller radera personuppgifterna, beroende på vad den personuppgiftsansvarige väljer, såvida inte lagring av personuppgifterna krävs enligt den unionsrätt eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av.

(82)För att påvisa att denna förordning följs bör de personuppgiftsansvariga eller personuppgiftsbiträdena föra register över behandling som sker under deras ansvar. Alla personuppgiftsansvariga och personuppgiftsbiträden bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra detta register tillgängligt, så att det kan tjäna som grund för övervakningen av behandlingen.

(83)För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgift­ sansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. Vid bedömningen av datasäkerhetsrisken bör man även beakta de risker som personuppgiftsbehandling medför, såsom förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats, framför allt när denna kan medföra fysisk, materiell eller immateriell skada.

(84)I syfte att sörja för bättre efterlevnad av denna förordning när behandlingen sannolikt kan innebära en hög risk för fysiska personers rättigheter och friheter, bör den personuppgiftsansvarige vara ansvarig för att en konsekvens­ bedömning utförs avseende datasskydd för att bedöma framför allt riskens ursprung, art, särdrag och allvar. Resultatet av denna bedömning bör beaktas vid fastställandet av de lämpliga åtgärder som ska vidtas för att visa att behandlingen av personuppgifter är förenlig med denna förordning. I de fall en konsekvensbedömning avseende dataskydd ger vid handen att uppgiftsbehandlingen medför en hög risk, som den personuppgift­ sansvarige inte kan begränsa genom lämpliga åtgärder med avseende på tillgänglig teknik och genomförande­ kostnader, bör ett samråd med tillsynsmyndigheten ske före behandlingen.

(85)En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen. Så

236

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/17

 

 

 

 

snart en personuppgiftsansvarig blir medveten om att en personuppgiftsincident har inträffat, bör den personupp­ giftsansvarige därför anmäla personuppgiftsincidenten till tillsynsmyndigheten utan onödigt dröjsmål och, om så är möjligt, inom 72 timmar efter att ha blivit medveten om denna, om inte den personuppgiftsansvarige, i enlighet med ansvarsprincipen, kan påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter. Om en sådan anmälan inte kan ske inom 72 timmar, bör skälen till fördröjningen åtfölja anmälan och information får lämnas i omgångar utan otillbörligt vidare dröjsmål.

(86)Den personuppgiftsansvarige bör utan onödigt dröjsmål underrätta den registrerade om en personuppgift­ sincident, om personuppgiftsincidenten sannolikt kommer att medföra en hög risk för den fysiska personens

rättigheter och friheter, så att denne kan vidta nödvändiga försiktighetsåtgärder. Denna underrättelse bör beskriva personuppgiftsincidentens art samt innehålla rekommendationer för den berörda fysiska personen om hur de potentiella negativa effekterna kan mildras. De registrerade bör underrättas så snart detta rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra relevanta myndigheter, exempelvis brottsbekämpande myndigheter. Till exempel kräver behovet av att mildra en omedelbar skaderisk att de registrerade underrättas omedelbart, medan behovet av att vidta lämpliga åtgärder vid fortlöpande eller likartade personuppgiftsincidenter däremot kan motivera längre tid för underrättelsen.

(87)Det bör undersökas huruvida alla lämpliga tekniska skyddsåtgärder och alla lämpliga organisatoriska åtgärder har vidtagits för att omedelbart fastställa om en personuppgiftsincident har ägt rum och skyndsamt informera tillsynsmyndigheten och den registrerade. Att en anmälan gjordes utan onödigt dröjsmål bör fastställas med hänsyn tagen bl.a. till personuppgiftsincidentens art och svårighetsgrad och dess följder och negativa effekter för den registrerade. En sådan anmälan kan leda till ett ingripande från tillsynsmyndighetens sida i enlighet med dess uppgifter och befogenheter enligt denna förordning.

(88)När ingående regler fastställs för format och förfaranden för anmälan av personuppgiftsincidenter, bör vederbörlig hänsyn tas till omständigheterna kring incidenten, däribland om personuppgifterna var skyddade av lämpliga tekniska skyddsåtgärder, som betydligt begränsar sannolikheten för identitetsbedrägeri eller andra former av missbruk. Dessutom bör sådana regler och förfaranden beakta brottsbekämpande myndigheters berättigade intressen, där en för tidig redovisning kan riskera att i onödan hämma utredning av omständigheterna kring en personuppgiftsincident.

(89)Direktiv 95/46/EG föreskrev en allmän skyldighet att anmäla behandling av personuppgifter till tillsynsmyndighe­ terna. Denna skyldighet medförde administrativa och ekonomiska bördor, men förbättrade inte alltid personupp­ giftsskyddet. Sådana övergripande och allmänna anmälningsskyldigheter bör därför avskaffas och ersättas av effektiva förfaranden och mekanismer som i stället inriktas på de typer av behandlingar som sannolikt innebär en hög risk för fysiska personers rättigheter och friheter, i kraft av deras art, omfattning, sammanhang och ändamål. Dessa behandlingar kan vara sådana som särskilt inbegriper användning av ny teknik eller är av en ny typ, för vilken konsekvensbedömning avseende uppgiftsskydd inte tidigare har genomförts av den personuppgift­ sansvarige, eller som blir nödvändiga på grund av den tid som har förflutit sedan den ursprungliga behandlingen.

(90)I sådana fall bör den personuppgiftsansvarige före behandlingen, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt upphovet till risken, göra en konsekvensbedömning avseende dataskydd i syfte att bedöma den höga riskens specifika sannolikhetsgrad och allvar samt dess ursprung. Konsekvensbedömningen bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska minska denna risk, säkerställa personuppgiftskyddet och visa att denna förordning efterlevs.

(91)Detta bör särskilt vara tillämpligt på storskalig uppgiftsbehandling med syftet att behandla betydande mängder personuppgifter på regional, nationell eller övernationell nivå, vilket skulle kunna påverka ett stort antal registrerade och sannolikt kommer att innebära en hög risk, exempelvis till följd av uppgifternas känsliga natur, där i enlighet med den uppnådda nivån av teknisk kunskap en ny teknik används storskaligt, samt på annan behandling som innebär en hög risk för registrerades rättigheter och friheter, framför allt när denna behandling gör det svårare för de registrerade att utöva sina rättigheter. En konsekvensbedömning avseende dataskydd bör

237

Prop. 2017/18:218

Bilaga 1

L 119/18

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

också göras, där personuppgifter behandlas i syfte att fatta beslut om specifika fysiska personer efter en systematisk och omfattande bedömning av fysiska personers personliga aspekter på grundval av profilering av dessa uppgifter eller efter behandling av särskilda kategorier av personuppgifter, biometriska uppgifter eller uppgifter om fällande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder. Likaså krävs en konsekvensbedömning avseende dataskydd för övervakning av allmän plats i stor omfattning, särskilt vid användning av optisk-elektroniska anordningar, eller för all annan behandling där den behöriga tillsynsmyndigheten anser att behandlingen sannolikt kommer att innebära en hög risk för de registrerades rättigheter och friheter, framför allt på grund av att den hindrar de registrerade från att utöva en rättighet eller använda en tjänst eller ett avtal eller på grund av att den systematiskt genomförs i stor omfattning. Behandling av personuppgifter bör inte anses vara storskalig, om det är fråga om personuppgifter från patienter eller klienter som behandlas av enskilda läkare, andra yrkesverksamma på hälsoområdet eller juridiska ombud. I dessa fall bör en konsekvensbedömning avseende dataskydd inte vara obligatorisk.

(92)Ibland kan det vara förnuftigt och ekonomiskt att en konsekvensbedömning avseende dataskydd inriktar sig på ett vidare område än ett enda projekt, exempelvis när myndigheter eller organ avser att skapa en gemensam tillämpnings- eller behandlingsplattform eller när flera personuppgiftsansvariga planerar att införa en gemensam tillämpnings- eller behandlingsmiljö för en hel bransch eller ett helt segment eller för en allmänt utnyttjad horisontell verksamhet.

(93)Medlemsstaterna kan anse det nödvändigt att genomföra en sådan bedömning före behandlingen i samband med antagandet av medlemsstaters nationella rätt som ligger till grund för utförandet av myndighetens eller det offentliga organets uppgifter och reglerar den aktuella specifika behandlingsåtgärden eller serien av åtgärder.

(94)Om det av en konsekvensbedömning avseende dataskydd framgår att behandlingen utan skyddsåtgärder, säkerhetsåtgärder och mekanismer för att minska risken kommer att innebära en hög risk för fysiska personers rättigheter och friheter, och den personuppgiftsansvarige anser att risken inte kan begränsas genom åtgärder som är rimliga med avseende på tillgänglig teknik och genomförandekostnader, bör samråd hållas med tillsynsmyndig­ heten innan behandlingen inleds. En sådan hög risk kommer sannolikt att orsakas av vissa typer av behandling samt av en viss omfattning och frekvens för behandlingen, vilket även kan leda till skador för eller kränkningar av fysiska personers rättigheter och friheter. Tillsynsmyndigheten bör inom en fastställd tid svara på en begäran om samråd. Ett uteblivet svar från tillsynsmyndigheten inom denna tid bör dock inte hindra ett eventuellt ingripande från tillsynsmyndighetens sida i enlighet med dess uppgifter och befogenheter enligt denna förordning, inbegripet befogenheten att förbjuda behandling. Som en del av denna samrådsprocess får resultatet av en konsekvens­ bedömning avseende dataskydd som utförs med avseende på behandlingen i fråga överlämnas till tillsynsmyndig­ heten, framför allt de åtgärder som planeras för att minska risken för fysiska personers rättigheter och friheter.

(95)Personuppgiftsbiträdet bör vid behov och på begäran bistå den personuppgiftsansvarige med fullgörande av de skyldigheter som härrör från utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndigheten.

(96)Ett samråd med tillsynsmyndigheten bör även ske som ett led i det förberedande arbetet med en lagstift­ ningsåtgärd som stadgar om behandling av personuppgifter i syfte att säkerställa att den avsedda behandlingen överensstämmer med denna förordning och framför allt för att minska den risk den medför för den registrerade.

(97)När en behandling utförs av en myndighet, med undantag av domstolar eller oberoende rättsliga myndigheter som en del av deras dömande verksamhet, eller när en behandling utförs i den privata sektorn av en personupp­ giftsansvarig vars kärnverksamhet består av behandlingsverksamhet som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller när den personuppgiftsansvariges eller personuppgifts­ biträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av personuppgifter och uppgifter som rör fällande domar i brottmål och överträdelser, bör en person med sakkunskap i fråga om dataskyddslagstiftning och -förfaranden bistå den personuppgiftsansvarige eller personuppgiftsbiträdet för att övervaka den interna efterlevnaden av denna förordning. I den privata sektorn avser personuppgiftsansvarigas kärnverksamhet deras primära verksamhet och inte behandling av personuppgifter som kompletterande verksamhet. Den nödvändiga nivån på sakkunskapen bör fastställas särskilt i enlighet med den uppgiftsbehandling

238

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/19

 

 

 

 

som utförs och det skydd som krävs för de personuppgifter som behandlas av den personuppgiftsansvarige eller personuppgiftsbiträdet. Denna typ av dataskyddsombud bör, oavsett om de är anställda av den personuppgift­ sansvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt.

(98)Sammanslutningar eller andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts­ biträden bör uppmuntras att utarbeta uppförandekoder inom gränserna för denna förordning, så att tillämpningen av denna förordning effektiviseras, med beaktande av särdragen hos den behandling som sker inom vissa sektorer och de särskilda behov som finns inom mikroföretag samt inom små och medelstora företag. I synnerhet skulle man genom sådana uppförandekoder kunna anpassa personuppgiftsansvarigas och personupp­ giftsbiträdens skyldigheter, med beaktande av den risk som behandlingen sannolikt innebär för fysiska personers rättigheter och friheter.

(99)Vid utformningen av en uppförandekod eller vid ändring eller utvidgning av en befintlig sådan kod bör sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts­ biträden samråda med berörda intressenter, i möjligaste mån inbegripet registrerade, och beakta de inlagor som mottas och de åsikter som framförs som svar på samråden.

(100)För att förbättra öppenheten och efterlevnaden av denna förordning bör införandet av certifieringsmekanismer och dataskyddsförsegling och dataskyddsmärkning uppmuntras, så att registrerade snabbt kan bedöma nivån på relevanta produkters och tjänsters dataskydd.

(101)Flöden av personuppgifter till och från länder utanför unionen och till och från internationella organisationer är nödvändiga för utvecklingen av internationell handel och internationellt samarbete. Ökningen av dessa flöden har medfört nya utmaningar och nya farhågor när det gäller skyddet av personuppgifter. Det är viktigt att den skyddsnivå som fysiska personer säkerställs inom unionen genom denna förordning inte undergrävs när personuppgifter överförs från unionen till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare i tredjeland eller till internationella organisationer, vilket inbegriper vidarebefordran av personuppgifter från tredjelandet eller den internationella organisationen till personuppgiftsansvariga, personuppgiftsbiträden i samma eller ett annat tredjeland eller en annan internationell organisation. Överföringar till tredjeländer och internationella organisationer får under alla omständigheter endast utföras i full överensstämmelse med denna förordning. En överföring kan endast ske, om de villkor som fastställs i bestämmelserna i denna förordning om överföring av personuppgifter till tredjeländer eller internationella organisationer har uppfyllts av den personupp­ giftsansvarige eller personuppgiftsbiträdet, med förbehåll för de övriga bestämmelserna i denna förordning.

(102)Denna förordning påverkar inte internationella avtal mellan unionen och tredjeländer som reglerar överföring av personuppgifter, däribland lämpliga skyddsåtgärder för de registrerade. Medlemsstaterna får ingå internationella avtal som innefattar överföring av personuppgifter till tredjeländer eller internationella organisationer i den mån sådana avtal inte påverkar denna förordning eller andra bestämmelser i unionsrätten och innehåller en skälig nivå av skydd för de registrerades grundläggande rättigheter.

(103)Kommissionen kan med verkan för hela unionen fastställa att ett tredjeland, ett territorium eller en specificerad sektor i ett tredjeland eller en internationell organisation erbjuder en adekvat dataskyddsnivå och på så sätt skapa rättslig säkerhet och enhetlighet i hela unionen vad gäller tredjelandet eller den internationella organisationen som anses tillhandahålla en sådan skyddsnivå. I dessa fall får överföringar av personuppgifter till det tredjelandet eller den internationella organisationen ske utan ytterligare tillstånd. Kommissionen kan också, efter att ha underrättat tredjelandet eller den internationella organisationen och lämnat en fullständig motivering, besluta att ett sådant beslut ska återkallas.

(104)I enlighet med de grundläggande värderingar som unionen bygger på, bl.a. skyddet av mänskliga rättigheter, bör kommissionen i sin bedömning av tredjelandet eller ett territorium eller en specificerad sektor i ett tredjeland beakta hur ett visst tredjeland respekterar rättsstatsprincipen, tillgången till rättslig prövning samt internationella människorättsnormer och -standarder samt landets allmänna lagstiftning och sektorslagstiftning, inklusive lagstiftning om allmän säkerhet, försvar och nationell säkerhet samt allmän ordning och straffrätt. Vid antagandet av ett beslut om adekvat skyddsnivå avseende ett territorium eller en specificerad sektor i ett tredjeland bör hänsyn tas till tydliga och objektiva kriterier, t.ex. specifik behandling och tillämpningsområdet för tillämpliga rättsliga standarder och gällande lagstiftning i tredjelandet. Tredjelandet bör erbjuda garantier som säkerställer en

239

Prop. 2017/18:218

Bilaga 1

L 119/20

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

tillfredsställande skyddsnivå som i huvudsak motsvarar den som säkerställs i unionen, i synnerhet när personuppgifter behandlas inom en eller flera specifika sektorer. Tredjelandet bör framför allt säkerställa en effektiv oberoende dataskyddsövervakning och sörja för samarbetsmekanismer med medlemsstaternas dataskydds­ myndigheter, och de registrerade bör tillförsäkras effektiva och lagstadgade rättigheter samt effektiv administrativ och rättslig prövning.

(105)Utöver de internationella åtaganden som tredjelandet eller den internationella organisationen har gjort bör kommissionen beakta de skyldigheter som följer av tredjelandets eller den internationella organisationens deltagande i multilaterala eller regionala system, särskilt rörande skydd av personuppgifter och genomförandet av dessa skyldigheter. Framför allt bör tredjelandets anslutning till Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk behandling av personuppgifter och dess tilläggsprotokoll beaktas. Kommissionen bör samråda med styrelsen vid bedömningen av skyddsnivån i tredjeländer eller internationella organisationer.

(106)Kommissionen bör övervaka hur beslut om skyddsnivå i ett tredjeland, ett territorium eller en specificerad sektor i ett tredjeland eller en internationell organisation fungerar, och övervaka hur beslut som antas på grundval av artikel 25.6 eller 26.4 i direktiv 95/46/EG fungerar. Kommissionen bör i sina beslut om adekvat skyddsnivå

föreskriva en mekanism för periodisk översyn av hur de fungerar. Denna periodiska översyn bör genomföras i samråd med det berörda tredjelandet eller den berörda internationella organisationen, med beaktande av all relevant utveckling i tredjelandet eller den internationella organisationen. Vid övervakningen och genomförandet av den periodiska översynen bör kommissionen ta hänsyn till synpunkter och resultat från Europaparlamentet och rådet samt andra relevanta organ och källor. Kommissionen bör inom rimlig tid utvärdera hur de sistnämnda besluten fungerar och rapportera alla relevanta resultat till den kommitté, i den mening som avses i Europapar­ lamentets och rådets förordning (EU) nr 182/2011 (1), som inrättats enligt denna förordning och till Europapar­ lamentet och rådet.

(107)Kommissionen kan konstatera att ett tredjeland, ett territorium eller en viss specificerad sektor i ett tredjeland eller en internationell organisation inte längre säkerställer en adekvat dataskyddsnivå. Överföring av personuppgifter till detta tredjeland eller till denna internationella organisation bör då förbjudas, såvida inte kraven i denna förordning avseende överföring med stöd av lämpliga skyddsåtgärder, inbegripet bindande företagsbestämmelser och undantag för särskilda situationer, är uppfyllda. I så fall bör det finnas möjlighet till samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. Kommissionen bör i god tid informera tredjelandet eller den internationella organisationen om skälen och inleda samråd med tredjelandet eller organisationen för att avhjälpa situationen.

(108)Saknas beslut om adekvat skyddsnivå bör den personuppgiftsansvarige eller personuppgiftsbiträdet vidta åtgärder för att kompensera för det bristande dataskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av bindande företagsbestämmelser, standard­ bestämmelser om dataskydd som antagits av kommissionen, standardbestämmelser om dataskydd som antagits av en tillsynsmyndighet eller avtalsbestämmelser som godkänts av en tillsynsmyndighet. Dessa skyddsåtgärder bör säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för behandling inom unionen, inbegripet huruvida bindande rättigheter för de registrerade och effektiva rättsmedel är tillgängliga, inbegripet en faktisk rätt att föra talan på administrativ väg eller inför domstol och att kräva kompensation i unionen eller i ett tredjeland. De bör särskilt gälla överensstämmelse med allmänna principer för behandling av personuppgifter samt principerna om inbyggt dataskydd och dataskydd som standard. Överföring av uppgifter kan också utföras av offentliga myndigheter eller organ till offentliga myndigheter eller organ i tredjeländer eller internationella organisationer med motsvarande skyldigheter eller uppgifter, inbegripet på grundval av bestämmelser som ska införas i administrativa överenskommelser, t.ex. samförståndsavtal, som föreskriver verkställbara och faktiska rättigheter för de registrerade. Tillstånd från den behöriga tillsynsmyndighe­ ten bör erhållas när skyddsåtgärder föreskrivs i icke rättsligt bindande administrativa arrangemang.

(109)Personuppgiftsansvarigas eller personuppgiftsbiträdens möjlighet att använda standardiserade dataskyddsbe­

stämmelser som antagits av kommissionen eller av en tillsynsmyndighet bör inte hindra att de infogar

(1) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

240

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/21

 

 

 

 

standardiserade dataskyddsbestämmelser i ett vidare avtal, såsom ett avtal mellan personuppgiftsbiträdet och ett annat personuppgiftsbiträde, eller lägger till andra bestämmelser eller ytterligare skyddsåtgärder, under förutsättning att de inte direkt eller indirekt står i strid med standardavtalsklausuler som antagits av kommissionen eller av en tillsynsmyndighet eller påverkar de registrerades grundläggande rättigheter eller friheter. Personuppgiftsansvariga och personuppgiftsbiträden bör uppmuntras att tillhandahålla ytterligare skyddsåtgärder via avtalsmässiga åtaganden som kompletterar de standardiserade skyddsbestämmelserna.

(110)En koncern eller en grupp av företag som deltar i en gemensam ekonomisk verksamhet bör kunna använda sig av godkända bindande företagsbestämmelser för sina internationella överföringar från unionen till organisationer inom samma koncern eller grupp av företag som deltar i en gemensam ekonomisk verksamhet, under förutsättning att företagsbestämmelserna inbegriper alla nödvändiga principer och bindande rättigheter som säkerställer lämpliga skyddsåtgärder för överföringar eller kategorier av överföringar av personuppgifter.

(111)Det bör införas bestämmelser som ger möjlighet att under vissa omständigheter göra överföringar, om den registrerade har lämnat sitt uttryckliga samtycke, när överföringen är tillfällig och nödvändig med hänsyn till ett avtal eller ett rättsligt anspråk, oavsett om detta sker inom ett rättsligt förfarande eller i ett administrativt eller utomrättsligt förfarande, inbegripet förfaranden inför tillsynsorgan. Det bör också införas bestämmelser som ger möjlighet till överföringar om viktiga allmänintressen fastställda genom unionsrätten eller medlemsstaternas nationella rätt så kräver eller när överföringen görs från ett register som inrättats genom lag och är avsett att konsulteras av allmänheten eller av personer med ett berättigat intresse. I sistnämnda fall bör en sådan överföring inte omfatta alla personuppgifter eller hela kategorier av uppgifter i registret, och överföringen bör endast göras när registret är avsett att vara tillgängligt för personer med ett berättigat intresse, på begäran av dessa personer eller om de själva är mottagarna, med full hänsyn till de registrerades intressen och grundläggande rättigheter.

(112)Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga med hänsyn till viktiga allmänintressen, exempelvis vid internationella utbyten av uppgifter mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, socialförsäkringsmyndigheter eller hälsovårdsmyndigheter, till exempel vid kontaktspårning för smittsamma sjukdomar eller för att minska och/eller undanröja dopning inom idrott. En överföring av personuppgifter bör också betraktas som laglig, om den är nödvändig för att skydda ett intresse som är väsentligt för den registrerades eller en annan persons vitala intressen, inklusive dennes fysiska integritet och liv, om den registrerade är oförmögen att ge sitt samtycke. Saknas beslut om adekvat skyddsnivå får unionsrätten eller medlemsstaternas nationella rätt med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av särskilda kategorier av uppgifter till ett tredjeland eller en internationell organisation. Medlemsstaterna bör underrätta kommissionen om sådana bestämmelser. Varje överföring till en internationell humanitär organisation av personuppgifter rörande en registrerad som är fysiskt eller rättsligt förhindrad att ge sitt samtycke, i syfte att utföra en uppgift inom ramen för Genèvekonventionerna eller vara förenlig med internationell humanitär rätt, vilken är tillämplig vid väpnade konflikter, skulle kunna anses vara nödvändig för ett betydande allmänintresse eller för att den är av vitalt intresse för den registrerade.

(113)Överföringar som kan anses vara icke återkommande och endast gäller ett begränsat antal registrerade kan också vara möjliga när personuppgiftsansvarigas tvingande berättigade intressen motiverar detta, om inte den registrerades intressen eller rättigheter och friheter väger tyngre än dessa intressen, och den personuppgift­ sansvarige har bedömt alla omständigheter kring uppgiftsöverföringen. Den personuppgiftsansvarige bör ta särskild hänsyn till personuppgifternas art, den eller de avsedda behandlingarnas ändamål och varaktighet samt situationen i ursprungslandet, tredjelandet och det slutliga bestämmelselandet och bör tillhandahålla lämpliga åtgärder för att skydda fysiska personers grundläggande rättigheter och friheter vid behandlingen av deras personuppgifter. Sådana överföringar bör endast vara möjliga i vissa fall där inget av de andra skälen till överföring är tillämpligt. För vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör hänsyn tas till samhällets legitima förväntningar i fråga om ökad kunskap. Den personuppgiftsansvarige bör informera tillsynsmyndigheten och den registrerade om överföringen.

(114)Om kommissionen inte har fattat beslut om adekvat dataskyddsnivå i ett tredjeland, bör den personuppgift­ sansvarige eller personuppgiftsbiträdet i alla fall använda sig av lösningar som ger de registrerade verkställbara och effektiva rättigheter vad gäller behandlingen av deras personuppgifter inom unionen när dessa uppgifter väl har överförts, så att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärder fortsatt gäller i förhållande till dem.

241

Prop. 2017/18:218

Bilaga 1

L 119/22

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

(115)Vissa tredjeländer antar lagar och andra författningar som syftar till att direkt reglera behandling som genomförs av fysiska och juridiska personer under medlemsstaternas jurisdiktion. Detta kan inkludera rättsliga avgöranden eller beslut av administrativa myndigheter i tredjeländer med krav på att personuppgiftsansvariga eller personupp­ giftsbiträden överför eller överlämnar personuppgifter, vilka inte grundar sig på något gällande internationellt avtal, såsom ett fördrag om ömsesidig rättshjälp, mellan det begärande tredjelandet och unionen eller en medlemsstat. Extraterritoriell tillämpning av dessa lagar och andra författningar kan strida mot internationell rätt och inverka menligt på det skydd av fysiska personer som säkerställs inom unionen genom denna förordning.

Överföringar bör endast tillåtas om villkoren i denna förordning för en överföring till tredjeländer är uppfyllda. Detta kan vara fallet bl.a. när utlämnande är nödvändigt på grund av ett viktigt allmänintresse som erkänns i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.

(116)När personuppgifter förs över gränser utanför unionen kan detta öka risken för att fysiska personer inte kan utöva sina dataskyddsrättigheter, i synnerhet för att skydda sig från otillåten användning eller otillåtet utlämnande av denna information. Samtidigt kan tillsynsmyndigheter finna att de inte är i stånd att handlägga klagomål eller göra utredningar som gäller verksamheter utanför gränserna för deras land. Deras strävan att arbeta tillsammans över gränserna kan också hindras av otillräckliga preventiva eller korrigerande befogenheter, oenhetliga rättsliga regelverk och praktiska hinder, som exempelvis bristande resurser. Närmare samarbete mellan dataskyddstillsyn­ smyndigheter bör därför främjas för att hjälpa dem att utbyta information och utföra utredningar med sina internationella motparter. I syfte att bygga upp internationella samarbetsmekanismer för att underlätta och tillhandahålla ömsesidig internationell hjälp med att kontrollera efterlevnaden av lagstiftningen till skydd för personuppgifter, bör kommissionen och tillsynsmyndigheterna utbyta information och samarbeta, inom verksamhet som rör utövandet av deras befogenheter, med behöriga myndigheter i tredjeländer, på grundval av ömsesidighet och i överensstämmelse med denna förordning.

(117)Ett väsentligt inslag i skyddet av fysiska personer vid behandlingen av personuppgifter är att medlemsstaterna inrättar tillsynsmyndigheter med behörighet att utföra sina uppgifter och utöva sina befogenheter under fullständigt oberoende. Medlemsstaterna bör kunna inrätta fler än en tillsynsmyndighet om det behövs för att ta hänsyn till den egna konstitutionella, organisatoriska och administrativa strukturen.

(118)Tillsynsmyndigheternas oberoende bör dock inte innebära att deras utgifter inte kan underkastas kontroll- eller övervakningsmekanismer eller bli föremål för domstolsprövning.

(119)Om en medlemsstat inrättar flera tillsynsmyndigheter, bör den genom lagstiftning säkerställa att dessa tillsynsmyndigheter effektivt deltar i mekanismen för enhetlighet. Medlemsstaten bör i synnerhet utnämna en tillsynsmyndighet som fungerar som samlande kontaktpunkt för dessa myndigheters effektiva deltagande i mekanismen för att säkra ett snabbt och smidigt samarbete med övriga tillsynsmyndigheter, styrelsen och kommissionen.

(120)Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser och lokalutrymmen samt den infrastruktur som är nödvändig för att den effektivt ska kunna utföra sina uppgifter, däribland de uppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen. Varje tillsynsmyndighet bör ha en separat offentlig årlig budget, som kan ingå i den övergripande statsbudgeten eller nationella budgeten.

(121)De allmänna villkoren för tillsynsmyndighetens ledamot eller ledamöter bör fastställas genom varje medlemsstats lagstiftning och där bör i synnerhet föreskrivas att ledamöterna ska utnämnas genom ett öppet förfarande antingen av medlemsstatens parlament, regering eller statschef, på grundval av ett förslag från regeringen, en ledamot av regeringen, parlamentet eller en av parlamentets kammare eller av ett oberoende organ som enligt medlemsstaternas nationella rätt har anförtrotts utnämningen. I syfte att säkerställa tillsynsmyndighetens oberoende bör ledamoten eller ledamöterna handla med integritet, avstå från alla handlingar som står i strid med deras tjänsteutövning och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i strid med deras uppdrag. Tillsynsmyndigheten bör ha egen personal, som valts ut av tillsynsmyndigheten eller ett oberoende organ som fastställs i medlemsstaternas nationella rätt, vilken uteslutande bör vara underställd tillsynsmyndighetens ledamot eller ledamöter.

(122)Varje tillsynsmyndighet bör ha behörighet att inom sin medlemsstats territorium utöva de befogenheter och utföra de uppgifter som den tilldelats i enlighet med denna förordning. Detta bör framför allt omfatta behandling

242

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/23

 

 

 

 

inom ramen för verksamhet vid den personuppgiftsansvariges eller personuppgiftsbiträdets verksamhetsställen inom den egna medlemsstatens territorium, behandling av personuppgifter som utförs av myndigheter eller privata organ som agerar i ett allmänt intresse, behandling som påverkar registrerade på dess territorium eller behandling som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen när den rör registrerade som är bosatta på dess territorium. Detta bör inbegripa att hantera klagomål som lämnas in av en registrerad, genomföra undersökningar om tillämpningen av denna förordning samt främja allmänhetens medvetenhet om risker, bestämmelser, skyddsåtgärder och rättigheter när det gäller behandlingen av personuppgifter.

(123)Tillsynsmyndigheterna bör övervaka tillämpningen av bestämmelserna i denna förordning och bidra till att tillämpningen blir enhetlig över hela unionen, för att skydda fysiska personer vid behandling av deras personuppgifter och för att underlätta det fria flödet av personuppgifter inom den inre marknaden. För detta ändamål bör tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen, utan att det behövs något avtal mellan medlemsstaterna om tillhandahållande av ömsesidigt bistånd eller om sådant samarbete.

(124)Om behandlingen av personuppgifter sker inom ramen för verksamhet vid en personuppgiftsansvarigs eller ett personuppgiftsbiträdes verksamhetsställe i unionen och den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat, eller om behandling som sker inom ramen för verksamhet vid ett enda verksamhetsställe tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen i väsentlig grad påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat, bör tillsyns­ myndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller för detta enda verksamhetsställe tillhörande den personuppgiftsansvarige eller personuppgiftsbiträdet agera som ansvarig myndighet. Denna bör samarbeta med de övriga myndigheter som berörs, eftersom den personuppgift­ sansvarige eller personuppgiftsbiträdet har ett verksamhetsställe inom deras medlemsstats territorium, eftersom registrerade som är bosatta på deras territorium i väsentlig grad påverkas eller eftersom ett klagomål har lämnats in till dem. Även när en registrerad som inte är bosatt i medlemsstaten har lämnat in ett klagomål, bör den tillsynsmyndighet som klagomålet har lämnats in till också vara en berörd tillsynsmyndighet. Styrelsen bör inom ramen för sina uppgifter kunna utfärda riktlinjer för alla frågor som rör tillämpningen av denna förordning, framför allt för vilka kriterier som ska beaktas för att konstatera om behandlingen i fråga i väsentlig grad påverkar registrerade i mer än en medlemsstat och för vad som utgör en relevant och motiverad invändning.

(125)Den ansvariga myndigheten bör ha behörighet att anta bindande beslut om åtgärder inom ramen för de befogenheter som den tilldelats i enlighet med denna förordning. I egenskap av ansvarig myndighet bör tillsyns­ myndigheten nära involvera och samordna de berörda tillsynsmyndigheterna i beslutsfattandet. Om man beslutar att helt eller delvis avslå den registrerades klagomål, bör detta beslut antas av den tillsynsmyndighet som klagomålet har lämnats in till.

(126)Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna bör gemensamt enas om beslutet, som bör rikta sig till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda verksamhetsställe och vara bindande för den personuppgiftsansvarige och personuppgiftsbiträdet. Den personupp­ giftsansvarige eller personuppgiftsbiträdet bör vidta de åtgärder som krävs för att säkerställa efterlevnad av denna förordning och genomförande av det beslut som den ansvariga tillsynsmyndigheten har anmält till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe vad gäller behandling i unionen.

(127)Varje tillsynsmyndighet som inte agerar som ansvarig tillsynsmyndighet bör vara behörig att behandla lokala fall, om den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat men ärendet för den specifika behandlingen endast avser behandling som utförs i en enda medlemsstat och endast omfattar registrerade i denna enda medlemsstat, till exempel om ärendet avser behandling av anställdas personuppgifter inom ramen för en medlemsstats specifika anställningsförhållanden. I sådana fall bör tillsynsmyndigheten utan dröjsmål underrätta den ansvariga tillsynsmyndigheten om detta ärende. Efter att ha underrättats bör den ansvariga tillsynsmyndigheten besluta huruvida den kommer att hantera ärendet i enlighet med bestämmelsen om samarbete mellan den ansvariga tillsynsmyndigheten och andra berörda tillsynsmyndigheter (nedan kallad mekanismen för en enda kontaktpunkt), eller om den tillsynsmyndighet som underrättade den bör behandla ärendet på lokal nivå. När den ansvariga tillsynsmyndigheten beslutar huruvida den kommer att behandla ärendet, bör den ta hänsyn till om den personuppgiftsansvarige eller personuppgiftsbiträdet har ett verksamhetsställe i den medlemsstat där den tillsynsmyndighet som underrättade den ansvariga myndigheten är belägen för att säkerställa ett effektivt genomförande av ett beslut gentemot den personuppgiftsansvarige eller personuppgiftsbiträdet. När den ansvariga tillsynsmyndigheten beslutar att behandla ärendet, bör den tillsynsmyndighet som underrättade den

243

Prop. 2017/18:218

Bilaga 1

L 119/24

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

ha möjlighet att lämna in ett förslag till beslut, som den ansvariga tillsynsmyndigheten bör ta största möjliga hänsyn till när den utarbetar utkastet till beslut inom ramen för mekanismen för en enda kontaktpunkt.

(128)Bestämmelserna om den ansvariga tillsynsmyndigheten och mekanismen för en enda kontaktpunkt bör inte tillämpas om behandlingen utförs av myndigheter eller privata organ i ett allmänt intresse. I sådana fall bör den enda tillsynsmyndighet som är behörig att utöva de befogenheter som den tilldelas i enlighet med denna förordning vara tillsynsmyndigheten i den medlemsstat där myndigheten eller det privata organet är etablerat.

(129)För att denna förordning ska övervakas och verkställas på ett enhetligt sätt i hela unionen bör tillsynsmyndighe­ terna i alla medlemsstater ha samma uppgifter och effektiva befogenheter, bl.a. undersökningsbefogenheter, korrigerande befogenheter och befogenheter att ålägga sanktioner samt befogenheter att utfärda tillstånd och ge råd, särskilt vid klagomål från fysiska personer och, utan att det påverkar åklagarmyndigheternas befogenheter enligt medlemsstaternas nationella rätt, att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och delta i rättsliga förfaranden. Dessa befogenheter bör även omfatta en befogenhet att införa en tillfällig eller definitiv begränsning av, inklusive förbud mot, behandling. Medlemsstaterna får fastställa andra uppgifter med anknytning till skyddet av personuppgifter enligt denna förordning. Tillsynsmyndigheternas befogenheter bör utövas opartiskt, rättvist och inom rimlig tid i överensstämmelse med lämpliga rättssäkerhets­ garantier i unionsrätten och i medlemsstaternas nationella rätt. Framför allt bör varje åtgärd vara lämplig, nödvändig och proportionell för att säkerställa efterlevnad av denna förordning, med beaktande av omständigheterna i varje enskilt fall, samt respektera varje persons rätt att bli hörd innan några enskilda åtgärder som påverkar honom eller henne negativt vidtas och vara utformad så att onödiga kostnader och alltför stora olägenheter för de berörda personerna undviks. Undersökningsbefogenheten när det gäller tillträde till lokaler bör utövas i enlighet med särskilda krav i medlemsstaternas nationella processrätt, såsom kravet på att inhämta förhandstillstånd från rättsliga myndigheter. Varje rättsligt bindande åtgärd som vidtas av tillsynsmyndigheten bör vara skriftlig, klar och entydig, innehålla information om vilken tillsynsmyndighet som har utfärdat åtgärden och datum för utfärdandet, vara undertecknad av tillsynsmyndighetens chef eller en av dess ledamöter efter dennes bemyndigande samt innehålla en motivering till åtgärden och en hänvisning till rätten till ett effektivt rättsmedel. Detta bör inte utesluta ytterligare krav enligt medlemsstaternas nationella processrätt. Antagande av ett rättsligt bindande beslut innebär att det kan bli föremål för domstolsprövning i den medlemsstat till vilken den tillsynsmyndighet som antog beslutet hör.

(130)Om den tillsynsmyndighet till vilken klagomålet har ingetts inte är den ansvariga tillsynsmyndigheten, bör den ansvariga tillsynsmyndigheten nära samarbeta med den tillsynsmyndighet till vilken klagomålet har ingetts i enlighet med de bestämmelser om samarbete och enhetlighet som fastställs i denna förordning. I sådana fall bör den ansvariga tillsynsmyndigheten när den vidtar åtgärder avsedda att ha rättsverkan, inbegripet utdömandet av administrativa sanktionsavgifter, ta största hänsyn till synpunkter från den tillsynsmyndighet till vilken klagomålet har ingetts, vilken bör kvarstå som behörig för genomförande av utredningar på den egna medlemsstatens territorium i samverkan med den behöriga tillsynsmyndigheten.

(131)Om en annan tillsynsmyndighet bör agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller personuppgiftsbiträdets behandling men den sakfråga som klagomålet gäller eller den möjliga överträdelsen endast rör den personuppgiftsansvariges eller personuppgiftsbiträdets behandling i den medlemsstat där klagomålet har ingetts eller den eventuella överträdelsen har upptäckts, och frågan inte i väsentlig grad påverkar eller inte sannolikt i väsentlig grad kommer att påverka registrerade i andra medlemsstater, bör den tillsynsmyndighet som mottar ett klagomål eller upptäcker eller på annat sätt informeras om situationer som innebär eventuella överträdelser av denna förordning försöka få till stånd en uppgörelse i godo med den personuppgiftsansvarige och, om detta inte lyckas, utöva sina befogenheter fullt ut. Detta bör omfatta särskild behandling som utförs inom tillsynsmyndighetens medlemsstats territorium eller med avseende på registrerade inom denna medlemsstats territorium, behandling som utförs inom ramen för ett erbjudande om varor eller tjänster som särskilt riktar sig till registrerade inom tillsynsmyndighetens medlemsstats territorium eller behandling som måste bedömas med beaktande av relevanta rättsliga skyldigheter enligt medlemsstaternas nationella rätt.

(132)Medvetandehöjande kampanjer från tillsynsmyndigheters sida riktade till allmänheten bör innefatta särskilda åtgärder riktade dels till personuppgiftsansvariga och personuppgiftsbiträden, inbegripet mikroföretag samt små och medelstora företag, dels till fysiska personer, särskilt i utbildningssammanhang.

244

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/25

 

 

 

 

(133)Tillsynsmyndigheterna bör hjälpa varandra att utföra sina uppgifter och ge ömsesidigt bistånd så att denna förordning tillämpas och verkställs enhetligt på den inre marknaden. En tillsynsmyndighet som begärt ömsesidigt bistånd får anta en provisorisk åtgärd, om den inte har fått något svar på en begäran om ömsesidigt bistånd inom en månad från det att begäran mottogs av den andra tillsynsmyndigheten.

(134)Alla tillsynsmyndigheter bör om lämpligt delta i gemensamma insatser med andra tillsynsmyndigheter. Den anmodade tillsynsmyndigheten bör vara skyldig att besvara en begäran inom en fastställd tidsperiod.

(135)För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet när det gäller samarbete mellan tillsynsmyndigheterna skapas. Denna mekanism bör främst tillämpas när en tillsynsmyndighet avser att anta en åtgärd som är avsedd att ha rättsverkan gällande behandlingar som i väsentlig grad påverkar ett betydande antal registrerade i flera medlemsstater. Den bör också tillämpas när en berörd tillsynsmyndighet eller kommissionen begär att ett sådant ärende ska hanteras inom ramen för mekanismen för enhetlighet. Mekanismen bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt fördragen.

(136)Vid tillämpningen av mekanismen för enhetlighet bör styrelsen inom en fastställd tidsperiod avge ett yttrande, om en majoritet av dess ledamöter så beslutar eller om någon berörd tillsynsmyndighet eller kommissionen begär detta. Styrelsen bör också ges befogenhet att anta rättsligt bindande beslut vid tvister mellan tillsynsmyndigheter. För detta ändamål bör den, normalt med två tredjedelars majoritet av sina ledamöter, utfärda rättsligt bindande beslut i tydligt fastställda fall då tillsynsmyndigheter har olika uppfattningar, framför allt när det gäller mekanismen för samarbete mellan den ansvariga tillsynsmyndigheten och berörda tillsynsmyndigheter om sakförhållandena, i synnerhet om huruvida denna förordning har överträtts.

(137)Det kan uppstå brådskande behov att agera för att skydda registrerades rättigheter och friheter, särskilt när fara föreligger att säkerställandet av en registrerad persons rättighet kan komma att försvåras avsevärt. En tillsynsmyndighet bör därför kunna vidta vederbörligen motiverade provisoriska åtgärder inom sitt territorium med en viss giltighetsperiod, som inte bör överskrida tre månader.

(138)Tillämpningen av en sådan mekanism bör vara ett villkor för lagligheten av en åtgärd som är avsedd att ha rättsverkan och som vidtas av tillsynsmyndigheten i de fall där denna tillämpning är obligatorisk. I andra ärenden som inbegriper flera länder bör samarbetsmekanismen mellan den ansvariga tillsynsmyndigheten och berörda tillsynsmyndigheter tillämpas, och ömsesidigt bistånd och gemensamma insatser kan utföras mellan de berörda tillsynsmyndigheterna på bilateral eller multilateral basis utan att mekanismen för enhetlighet utlöses.

(139)I syfte att främja en enhetlig tillämpning av denna förordning bör styrelsen inrättas som ett oberoende unionsorgan. För att styrelsen ska kunna uppfylla sina mål bör den vara en juridisk person. Styrelsen bör företrädas av sin ordförande. Den bör ersätta arbetsgruppen för skydd av fysiska personer med avseende på behandlingen av personuppgifter, som inrättades genom direktiv 95/46/EG. Den bör bestå av chefen för en tillsynsmyndighet i varje medlemsstat och Europeiska datatillsynsmannen eller deras respektive företrädare. Kommissionen bör delta i styrelsens verksamhet utan att ha rösträtt, och Europeiska datatillsynsmannen bör ha specifik rösträtt. Styrelsen bör bidra till denna förordnings enhetliga tillämpning i hela unionen, bl.a. genom att lämna råd till kommissionen, särskilt vad gäller skyddsnivån i tredjeländer eller internationella organisationer, och främja samarbetet mellan tillsynsmyndigheterna i hela unionen. Styrelsen bör agera oberoende när den utför sina uppgifter.

(140)Styrelsen bör biträdas av ett sekretariat som tillhandahålls av Europeiska datatillsynsmannen. Den personal vid Europeiska datatillsynsmannen som medverkar i utförandet av de uppgifter som enligt denna förordning anförtros styrelsen bör för sina uppgifter uteslutande ta emot instruktioner från styrelsens ordförande och rapportera till denne.

(141)Alla registrerade bör ha rätt att lämna in ett klagomål till en enda tillsynsmyndighet, särskilt i den medlemsstat där den registrerade har sin hemvist, och ha rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan,

245

Prop. 2017/18:218

Bilaga 1

L 119/26

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

om den registrerade anser att hans eller hennes rättigheter enligt denna förordning har kränkts eller om tillsyns­ myndigheten inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så är nödvändigt för att skydda den registrerades rättigheter. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör inom rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet fordrar ytterligare utredning eller samordning med en annan tillsynsmyndighet, bör den registrerade underrättas även om detta. För att förenkla inlämningen av klagomål bör varje tillsynsmyndighet vidta åtgärder, såsom att tillhandahålla ett formulär för inlämnande av klagomål som även kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts.

(142)Om en registrerad anser att hans eller hennes rättigheter enligt denna förordning har kränkts, bör han eller hon ha rätt att ge mandat till ett organ, en organisation eller en sammanslutning som drivs utan vinstsyfte och som har inrättats i enlighet med en medlemsstats nationella rätt, som har stadgeenliga mål av allmänt intresse och bedriver verksamhet på området skydd av personuppgifter, att på hans eller hennes vägnar lämna in ett klagomål till en tillsynsmyndighet, om detta föreskrivs i medlemsstatens nationella rätt, att på den registrerades vägnar utöva rätten till domstolsprövning eller att på den registrerades vägnar utöva rätten att ta emot ersättning. En medlemsstat får föreskriva att ett sådant organ, en sådan organisation eller en sådan sammanslutning ska ha rätt att lämna in ett klagomål i den medlemsstaten, oberoende av en registrerad persons mandat, och ha rätt till ett effektivt rättsmedel, om det eller den har skäl att anse att en registrerad persons rättigheter har kränkts till följd av behandling av personuppgifter som strider mot denna förordning. Detta organ, denna organisation eller denna sammanslutning får inte ges rätt att kräva ersättning på en registrerad persons vägnar oberoende av den registrerades mandat.

(143)Varje fysisk eller juridisk person har rätt att väcka ogiltighetstalan mot styrelsens beslut vid domstolen enligt de villkor som föreskrivs i artikel 263 i EUF-fördraget. I sin egenskap av adressater för sådana beslut måste, i enlighet med artikel 263 i EUF-fördraget, de berörda tillsynsmyndigheter som önskar överklaga dessa väcka talan inom två månader efter det att beslutet meddelats dem. Om styrelsens beslut direkt och personligen berör en personuppgiftsansvarig, ett personuppgiftsbiträde eller en enskild, kan den enskilde väcka ogiltighetstalan mot besluten inom två månader efter det att de har offentliggjorts på styrelsens webbplats, i enlighet med artikel 263 i EUF-fördraget. Utan att det påverkar denna rätt inom ramen för artikel 263 i EUF-fördraget bör varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel vid den behöriga nationella domstolen mot ett beslut av en tillsynsmyndighet som har rättsliga följder för denna person. Sådana beslut avser särskilt tillsynsmyndighetens utövande av utrednings-, korrigerings- och godkännandebefogenheter eller avvisande av eller avslag på klagomål. Rätten till ett effektivt rättsmedel inbegriper dock inte åtgärder som vidtagits av tillsynsmyndigheter när dessa inte är rättsligt bindande, såsom yttranden som avgivits eller rådgivning som tillhandahållits av tillsynsmyndigheten. Talan mot beslut som har fattats av en tillsynsmyndighet bör väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte och bör genomföras i enlighet med den medlemsstatens nationella processrätt. Dessa domstolar bör ha fullständig behörighet, vilket bör omfatta behörighet att pröva alla fakta och rättsliga frågor som rör den tvist som anhängiggjorts vid dem.

Om talan avslås eller avvisas av en tillsynsmyndighet, kan den enskilde väcka talan vid domstolarna i samma medlemsstat. I samband med rättsmedel som avser tillämpningen av denna förordning kan eller, i det fall som anges i artikel 267 i EUF-fördraget, måste nationella domstolar som anser att ett beslut om ett förhandsavgörande är nödvändigt för att de ska kunna döma begära att domstolen meddelar ett förhandsavgörande om tolkningen av unionsrätten, inbegripet denna förordning. Om dessutom ett beslut av en tillsynsmyndighet om genomförande av ett beslut av styrelsen överklagas till en nationell domstol och giltigheten av styrelsens beslut ifrågasätts, har inte den nationella domstolen befogenhet att förklara styrelsens beslut ogiltigt utan måste hänskjuta frågan om giltighet till domstolen i enlighet med artikel 267 i EUF-fördraget såsom den tolkats av domstolen, närhelst den anser att beslutet är ogiltigt. En nationell domstol får dock inte hänskjuta en fråga om giltigheten av styrelsens beslut på begäran av en fysisk eller juridisk person som haft tillfälle att väcka ogiltighetstalan mot beslutet, i synnerhet inte om denna person direkt och personligen berördes av beslutet men inte gjorde detta inom den frist som anges i artikel 263 i EUF-fördraget.

(144)Om en domstol där ett förfarande inletts mot beslut som har fattats av en tillsynsmyndighet har skäl att tro att ett förfarande rörande samma behandling, såsom samma sakfråga vad gäller behandling av samma personuppgift­ sansvarige eller samma personuppgiftsbiträde, eller samma händelseförlopp, har inletts vid en annan behörig domstol i en annan medlemsstat, bör den kontakta denna domstol i syfte att bekräfta förekomsten av sådana relaterade förfaranden. Om relaterade förfaranden pågår vid en domstol i en annan medlemsstat får alla andra

246

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/27

 

 

 

 

domstolar än den domstol där förfarandet först inleddes låta förfarandena vila eller på en av parternas begäran förklara sig obehöriga till förmån för den domstol där förfarandet först inleddes, om den domstolen har behörighet i förfarandet i fråga och dess lagstiftning tillåter förening av sådana relaterade förfaranden. Förfarandena anses vara relaterade, om de är så nära förenade att en gemensam handläggning och dom är påkallad för att undvika att oförenliga domar meddelas som en följd av att förfarandena prövas i olika rättegångar.

(145)När det gäller ett rättsligt förfarande mot en personuppgiftsansvarig eller ett personuppgiftsbiträde bör käranden kunna välja att väcka talan antingen vid domstolarna i de medlemsstater där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad eller där den registrerade är bosatt, såvida inte den personuppgiftsansvarige är en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning.

(146)Den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida till följd av behandling som strider mot denna förordning. Den personuppgiftsansvarige eller personuppgifts­ biträdet bör dock befrias från skadeståndsskyldighet om den kan visa att den inte på något sätt är ansvarig för skadan. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål. Detta påverkar inte skadeståndsanspråk till följd av överträdelser av andra bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt. Behandling som strider mot denna förordning omfattar även behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med denna förordning och medlemsstaternas nationella rätt med närmare specifikation av denna förordnings bestämmelser. Registrerade bör få full och effektiv ersättning för den skada de lidit. Om personupp­ giftsansvariga eller personuppgiftsbiträden medverkat vid samma behandling, bör varje personuppgiftsansvarig eller personuppgiftsbiträde hållas ansvarig för hela skadan. Om de är förenade i samma rättsliga förfarande i enlighet med medlemsstaternas nationella rätt, kan ersättningen dock fördelas i enlighet med varje personuppgift­ sansvarigs eller personuppgiftsbiträdes ansvar för den genom behandlingen uppkomna skadan, förutsatt att den registrerade som lidit skada tillförsäkras full och effektiv ersättning. Varje personuppgiftsansvarig eller personupp­ giftsbiträde som har betalat full ersättning får därefter inleda förfaranden för återkrav mot andra personuppgift­ sansvariga eller personuppgiftsbiträden som medverkat vid samma behandling.

(147)Om särskilda bestämmelser om behörighet fastställs i denna förordning, framför allt vad gäller förfaranden för att begära rättslig prövning som inbegriper ersättning mot en personuppgiftsansvarig eller ett personuppgiftsbiträde, bör inte allmänna bestämmelser om behörighet, såsom bestämmelserna i Europaparlamentets och rådets förordning (EU) nr 1215/2012 (1), påverka tillämpningen av sådana särskilda bestämmelser.

(148)För att stärka verkställigheten av denna förordning bör det utdömas sanktioner, inbegripet administrativa sanktionsavgifter, för överträdelser av denna förordning utöver eller i stället för de lämpliga åtgärder som tillsyns­ myndigheten vidtar i enlighet med denna förordning. Vid en mindre överträdelse eller om den sanktionsavgift som sannolikt skulle utdömas skulle innebära en oproportionell börda för en fysisk person får en reprimand utfärdas i stället för sanktionsavgifter. Vederbörlig hänsyn bör dock tas till överträdelsens karaktär, svårighetsgrad och varaktighet och huruvida den har skett uppsåtligen, vilka åtgärder som vidtagits för att lindra skadan, graden av ansvar eller eventuella tidigare överträdelser av relevans, det sätt på vilket överträdelsen kom till tillsynsmyn­ dighetens kännedom, efterlevnad av åtgärder som förordnats mot den personuppgiftsansvarige eller personupp­ giftsbiträdet, tillämpning av en uppförandekod och eventuella andra försvårande eller förmildrande faktorer. Utdömandet av sanktioner, inbegripet administrativa sanktionsavgifter, bör underkastas adekvata rättssäkerhets­ garantier i överensstämmelse med allmänna principer inom unionsrätten och stadgan, vilket inbegriper ett effektivt rättsligt skydd och korrekt rättsligt förfarande.

(149)Medlemsstaterna bör kunna fastställa bestämmelser om straffrättsliga påföljder för överträdelser av denna förordning, inbegripet för överträdelser av nationella bestämmelser som antagits i enlighet med och inom ramen för denna förordning. Dessa straffrättsliga påföljder kan även inbegripa en möjlighet att förverka den vinning som gjorts genom överträdelser av denna förordning. Utdömandet av straffrättsliga påföljder för överträdelser av sådana nationella bestämmelser och administrativa sanktioner bör dock inte medföra ett åsidosättande av principen ne bis in idem enligt domstolens tolkning.

(150)För att förstärka och harmonisera de administrativa sanktionerna för överträdelser av denna förordning bör

samtliga tillsynsmyndigheter ha befogenhet att utfärda administrativa sanktionsavgifter. Det bör i denna

(1) Europaparlamentets och rådets förordning (EU) nr 1215/2012 av den 12 december 2012 om domstols behörighet och om erkännande och verkställighet av domar på privaträttens område (EUT L 351, 20.12.2012, s. 1).

247

Prop. 2017/18:218

Bilaga 1

L 119/28

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

förordning anges vilka överträdelserna är, den övre gränsen för och kriterierna för fastställande av de administrativa sanktionsavgifterna, som i varje enskilt fall bör bestämmas av den behöriga tillsynsmyndigheten med beaktande av alla relevanta omständigheter i det särskilda fallet, med vederbörlig hänsyn bl.a. till överträdelsens karaktär, svårighetsgrad och varaktighet samt till dess följder och till de åtgärder som vidtas för att sörja för fullgörandet av skyldigheterna enligt denna förordning och för att förebygga eller lindra konsekvenserna av överträdelsen. Om de administrativa sanktionsavgifterna åläggs ett företag, bör ett företag i detta syfte anses vara ett företag i den mening som avses i artiklarna 101 och 102 i EUF-fördraget. Om de administrativa sanktionsavgifterna åläggs personer som inte är ett företag, bör tillsynsmyndigheten ta hänsyn till den allmänna inkomstnivån i medlemsstaten och personens ekonomiska situation, när den överväger lämplig sanktionsavgift. Mekanismen för enhetlighet kan också tillämpas för att främja en enhetlig tillämpning av administrativa sanktionsavgifter. Medlemsstaterna bör fastställa om och i vilken utsträckning myndigheter ska omfattas av administrativa sanktionsavgifter. Utfärdande av administrativa sanktionsavgifter eller utdelning av en varning påverkar inte tillämpningen av tillsynsmyndigheternas övriga befogenheter eller av andra sanktioner enligt denna förordning.

(151)Danmarks och Estlands rättssystem tillåter inte administrativa sanktionsavgifter i enlighet med denna förordning. Bestämmelserna om administrativa sanktionsavgifter kan tillämpas så att sanktionsavgiften i Danmark utdöms som en straffrättslig påföljd av en behörig nationell domstol och att den i Estland utdöms av tillsynsmyndigheten inom ramen för ett förseelseförfarande, under förutsättning att en sådan tillämpning av bestämmelserna i dessa medlemsstater har en effekt som är likvärdig med administrativa sanktionsavgifter som utdöms av tillsynsmyn­ digheter. De behöriga nationella domstolarna bör därför beakta rekommendationen från den tillsynsmyndighet som initierar sanktionsavgiften. De sanktionsavgifter som utdöms bör i alla händelser vara effektiva, proportionella och avskräckande.

(152)Om denna förordning inte harmoniserar administrativa sanktioner eller om nödvändigt i andra fall, till exempel vid fall av allvarliga överträdelser av denna förordning, bör medlemsstaterna genomföra ett system med effektiva, proportionella och avskräckande sanktioner. Dessa sanktioners art, straffrättsliga eller administrativa, bör fastställas i medlemsstaternas nationella rätt.

(153)Medlemsstaterna bör i sin lagstiftning sammanjämka bestämmelserna om yttrandefrihet och informationsfrihet, vilket inbegriper journalistiska, akademiska, konstnärliga och/eller litterära uttrycksformer, med rätten till skydd av personuppgifter i enlighet med denna förordning. Behandling av personuppgifter enbart för journalistiska, akademiska, konstnärliga eller litterära ändamål bör undantas från vissa av kraven i denna förordning, så att rätten till skydd av personuppgifter vid behov kan förenas med rätten till yttrandefrihet och informationsfrihet, som följer av artikel 11 i stadgan. Detta bör särskilt gälla vid behandling av personuppgifter inom det audiovisuella området och i nyhetsarkiv och pressbibliotek. Medlemsstaterna bör därför anta lagstiftningsåtgärder som fastställer de olika undantag som behövs för att skapa en balans mellan dessa grundläggande rättigheter. Medlemsstaterna bör fastställa sådana undantag med avseende på allmänna principer, de registrerades rättigheter, personuppgiftsansvariga och personuppgiftsbiträden, överföring av uppgifter till tredjeländer eller internationella organisationer, de oberoende tillsynsmyndigheterna, samarbete och enhetlighet samt specifika situationer där personuppgifter behandlas. Om sådana undantag varierar från en medlemsstat till en annan, ska den nationella rätten i den medlemsstat vars lag den personuppgiftsansvarige omfattas av tillämpas. För att beakta vikten av rätten till yttrandefrihet i varje demokratiskt samhälle måste det göras en bred tolkning av vad som innefattas i denna frihet, som till exempel journalistik.

(154)Denna förordning gör det möjligt att vid tillämpningen av den ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar. Allmänhetens rätt att få tillgång till allmänna handlingar kan betraktas som ett allmänt intresse. Personuppgifter i handlingar som innehas av en myndighet eller ett offentligt organ bör

kunna lämnas ut offentligt av denna myndighet eller detta organ, om utlämning stadgas i unionsrätten eller i medlemsstatens nationella rätt som är tillämplig på myndigheten eller det offentliga organet. Denna rätt bör sammanjämka allmänhetens rätt att få tillgång till allmänna handlingar och vidareutnyttjande av information från den offentliga sektorn med rätten till skydd av personuppgifter och får därför innehålla föreskrifter om den nödvändiga sammanjämkningen med rätten till skydd av personuppgifter enligt denna förordning. Hänvisningen till offentliga myndigheter och organ bör i detta sammanhang omfatta samtliga myndigheter eller andra organ som omfattas av medlemsstaternas nationella rätt om allmänhetens tillgång till handlingar. Europaparlamentets och rådets direktiv 2003/98/EG (1) ska inte på något sätt påverka skyddsnivån för fysiska personer med avseende

(1) Europaparlamentets och rådets direktiv 2003/98/EG av den 17 november 2003 om vidareutnyttjande av information från den offentliga sektorn (EUT L 345, 31.12.2003, s. 90).

248

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/29

 

 

 

 

på behandling av personuppgifter enligt bestämmelserna i unionsrätten och i medlemsstaternas nationella rätt och i synnerhet ändras inte de skyldigheter och rättigheter som anges i denna förordning genom det direktivet. I synnerhet ska direktivet inte vara tillämpligt på handlingar till vilka, med hänsyn till skyddet av personuppgifter, tillgång enligt tillgångsbestämmelserna är utesluten eller begränsad eller på delar av handlingar som är tillgängliga enligt dessa bestämmelser men som innehåller personuppgifter vilkas vidareutnyttjande i lag har fastställts som oförenligt med lagstiftningen om skydd för fysiska personer vid behandling av personuppgifter.

(155)En medlemsstatsnationella rätt eller kollektivavtal, inbegripet ”verksamhetsöverenskommelser”, får föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller villkoren för hur personuppgifter i anställningsförhållanden får behandlas på grundval av samtycke från den anställde, rekrytering, genomförande av anställningsavtalet, inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet.

(156)Behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt denna förordning. Skyddsåtgärderna bör säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Ytterligare behandling av personuppgifter för arkivändamål av allmänintresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör genomföras, när den personuppgiftsansvarige har bedömt möjligheten att uppnå dessa ändamål genom behandling av personuppgifter som inte medger eller inte längre medger identifiering av de registrerade, förutsatt att det finns lämpliga skyddsåtgärder (t. ex. pseudonymisering av personuppgifter). Medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Medlemsstaterna bör på särskilda villkor med förbehåll för lämpliga skyddsåtgärder för de registrerade ha rätt att specificera och göra undantag från kraven på information, rätten till rättelse eller radering av personuppgifter, rätten att bli bortglömd, rätten till begränsning av behandlingen, rätten till dataportabilitet och rätten att göra invändning i samband med behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Villkoren och säkerhetsåtgärderna i fråga kan medföra att de registrerade måste följa särskilda förfaranden för att utöva dessa rättigheter, om det är lämpligt med hänsyn till den särskilda behandlingens syfte tillsammans med tekniska och organisatoriska åtgärder som syftar till att minimera behandlingen av personuppgifter i enlighet med principerna om proportionalitet och nödvändighet. Behandling av personuppgifter för vetenskapliga ändamål bör även vara förenlig med annan relevant lagstiftning, exempelvis om kliniska prövningar.

(157)Genom att koppla samman information från olika register kan forskare erhålla ny kunskap av stort värde med avseende på medicinska tillstånd som exempelvis hjärt-kärlsjukdomar, cancer och depression. På grundval av registren kan forskningsresultaten förbättras, eftersom de bygger på en större befolkningsgrupp. Forskning inom samhällsvetenskap som bedrivs på grundval av register gör det möjligt för forskare att få grundläggande kunskaper om sambandet på lång sikt mellan ett antal sociala villkor, exempelvis arbetslöshet och utbildning, och andra livsförhållanden. Forskningsresultat som erhållits på grundval av register utgör en stabil, högkvalitativ kunskap, som kan ligga till grund för utformningen och genomförandet av kunskapsbaserad politik, förbättra livskvaliteten för ett antal personer och förbättra de sociala tjänsternas effektivitet. För att underlätta vetenskaplig forskning får personuppgifter behandlas för vetenskapliga forskningsändamål, med förbehåll för lämpliga villkor och skyddsåtgärder i unionsrätten eller i medlemsstaternas nationella rätt.

(158)Om personuppgifter behandlas för arkivändamål, bör denna förordning också gälla denna behandling, med beaktande av att denna förordning inte bör gälla för avlidna personer. Offentliga myndigheter eller offentliga eller privata organ som innehar uppgifter av allmänt intresse bör vara tillhandahållare som, i enlighet med unionsrätten eller medlemsstaternas nationella rätt, har en rättslig skyldighet att förvärva, bevara, bedöma, organisera, beskriva, kommunicera, främja, sprida och ge tillgång till uppgifter av bestående värde för allmänintresset. Medlemsstaterna bör också ha rätt att föreskriva att personuppgifter får vidarebehandlas för arkivering, exempelvis i syfte att tillhandahålla specifik information om politiskt beteende under tidigare totalitära regimer, folkmord, brott mot mänskligheten, särskilt Förintelsen, eller krigsförbrytelser.

249

Prop. 2017/18:218

Bilaga 1

L 119/30

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

(159)Om personuppgifter behandlas för vetenskapliga forskningsändamål, bör denna förordning också gälla denna behandling. Behandling av personuppgifter för vetenskapliga forskningsändamål bör i denna förordning ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Vetenskapliga forskningsändamål bör också omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet. För att tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål. Om resultatet av vetenskaplig forskning, särskilt för hälso- och sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrerades intresse, bör de allmänna reglerna i denna förordning tillämpas på dessa åtgärder.

(160)Om personuppgifter behandlas för historiska forskningsändamål, bör denna förordning också gälla denna behandling. Detta bör även omfatta forskning för historiska och genealogiska ändamål, med beaktande av att denna förordning inte bör gälla för avlidna personer.

(161)När det gäller samtycke till deltagande i vetenskaplig forskning inom ramen för kliniska prövningar, bör de relevanta bestämmelserna i Europaparlamentets och rådets förordning (EU) nr 536/2014 (1) tillämpas.

(162)Om personuppgifter behandlas för statistiska ändamål, bör denna förordning gälla denna behandling. Unionsrätten eller medlemsstaternas nationella rätt bör, inom ramen för denna förordning, fastställa statistiskt innehåll, kontroll av tillgång, specifikationer för behandling av personuppgifter för statistiska ändamål och lämpliga åtgärder till skydd för den registrerades rättigheter och friheter och för att säkerställa insynsskydd för statistiska uppgifter. Med statistiska ändamål avses varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Dessa statistiska resultat kan vidare användas för olika ändamål, inbegripet vetenskapliga forskningsändamål. Ett statistiskt ändamål innebär att resultatet av behandlingen för statistiska ändamål inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysiskperson.

(163)De konfidentiella uppgifter som unionens myndigheter och nationella statistikansvariga myndigheter samlar in för att framställa officiell europeisk och officiell nationell statistik bör skyddas. Europeisk statistik bör utvecklas, framställas och spridas i enlighet med de statistiska principerna i artikel 338.2 i EUF-fördraget, medan hanteringen av nationell statistik även bör överensstämma med medlemsstaternas nationella rätt. Europapar­ lamentets och rådets förordning (EG) nr 223/2009 (2) innehåller ytterligare preciseringar om statistisk konfiden­ tialitet för europeisk statistik.

(164)Vad beträffar tillsynsmyndigheternas befogenheter att från personuppgiftsansvariga eller personuppgiftsbiträden få tillgång till personuppgifter och tillträde till lokaler, får medlemsstaterna, inom gränserna för denna förordning, genom lagstiftning anta särskilda regler för att skydda yrkesmässig eller annan motsvarande tystnadsplikt, i den mån detta är nödvändigt för att jämka samman rätten till skydd av personuppgifter med tystnadsplikten. Detta påverkar inte tillämpningen av medlemsstaternas befintliga skyldigheter att anta bestämmelser om tystnadsplikt, där detta krävs enligt unionsrätten.

(165)Denna förordning är förenlig med kravet på att respektera och inte påverka den ställning som kyrkor och

religiösa sammanslutningar eller samfund har i medlemsstaterna enligt gällande grundlag i enlighet med artikel 17 i EUF-fördraget.

(166) I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra det fria flödet av

(1) Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om

upphävande av direktiv 2001/20/EG (EUT L 158, 27.5.2014, s. 1).

(2) Europaparlamentets och rådets förordning (EG) nr 223/2009 av den 11 mars 2009 om europeisk statistik och om upphävande av Europaparlamentets och rådets förordning (EG, Euratom) nr 1101/2008 om utlämnande av insynsskyddade statistiska uppgifter till Europeiska gemenskapernas statistikkontor, rådets förordning (EG) nr 322/97 om gemenskapsstatistik och rådets beslut 89/382/EEG, Euratom om inrättande av en kommitté för Europeiska gemenskapernas statistiska program (EUT L 87, 31.3.2009, s. 164).

250

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/31

 

 

 

 

personuppgifter inom unionen, bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller kriterier och krav vad gäller certifieringsmekanismer, information som ska ges med användning av standardiserade symboler och förfaranden för att tillhandahålla sådana symboler. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå. När kommissionen förbereder och utarbetar delegerade akter bör den se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så snabbt som möjligt och på lämpligt sätt.

(167)För att säkerställa enhetliga villkor för tillämpningen av denna förordning bör kommissionen ges genomförande­ befogenheter i enlighet med denna förordning. Dessa befogenheter bör utövas i enlighet med förordning (EU) nr 182/2011. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag.

(168)Granskningsförfarandet bör användas vid antagande av genomförandeakter om standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden och mellan personuppgiftsbiträden, uppförandekoder, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland, ett territorium eller av en specificerad sektor inom det tredjelandet eller en internationell organisation, standardiserade skyddsbestämmelser, format och förfaranden för elektroniskt utbyte av information mellan personuppgiftsansvariga, personuppgiftsbiträden och tillsynsmyndigheter för bindande företagsbestämmelser, ömsesidigt bistånd och tillvägagångssätt för elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter och styrelsen.

(169)Kommissionen bör när det föreligger tvingande skäl till skyndsamhet anta omedelbart tillämpliga genomförandeakter, när tillgängliga bevis visar att ett tredjeland, ett territorium eller en specificerad sektor inom det tredjelandet eller en internationell organisation inte upprätthåller en adekvat skyddsnivå.

(170)Eftersom målet för denna förordning, nämligen att säkerställa en likvärdig nivå för skyddet av fysiska personer och det fria flödet av personuppgifter inom hela unionen, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av åtgärdens omfattning eller verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen (EU-fördraget). I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

(171)Direktiv 95/46/EG bör upphävas genom denna förordning. Behandling som redan pågår den dag då denna förordning börjar tillämpas bör bringas i överensstämmelse med denna förordning inom en period av två år från det att denna förordning träder i kraft. Om behandlingen grundar sig på samtycke enligt direktiv 95/46/EG, är det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna fortsätta med behandlingen i fråga efter det att denna förordning börjar tillämpas, om det sätt på vilket samtycket gavs överensstämmer med villkoren i denna förordning. Beslut av kommissionen som antagits och tillstånd från tillsynsmyndigheterna som utfärdats på grundval av direktiv 95/46/EG ska fortsatt vara giltiga tills de ändras, ersätts eller upphävs.

(172)Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i förordning (EG) nr 45/2001 och avgav ett yttrande den 7 mars 2012 (1).

(173)Denna förordning bör vara tillämplig på alla frågor som gäller skyddet av grundläggande rättigheter och friheter i förhållande till behandlingen av personuppgifter, vilka inte omfattas av särskilda skyldigheter med samma mål som anges i Europaparlamentets och rådets direktiv 2002/58/EG (2), däribland den personuppgiftsansvariges skyldigheter och fysiska personers rättigheter. För att klargöra förhållandet mellan denna förordning och direktiv 2002/58/EG bör det direktivet ändras. När denna förordning har antagits, bör direktiv 2002/58/EG ses över, framför allt för att säkerställa konsekvens med denna förordning.

(1) EUT C 192, 30.6.2012, s. 7.

(2) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritetoch elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).

251

Prop. 2017/18:218

Bilaga 1

L 119/32

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

Allmänna bestämmelser

Artikel 1

Syfte

1.I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter.

2.Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.

3.Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.

Artikel 2

Materiellt tillämpningsområde

1.Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.Denna förordning ska inte tillämpas på behandling av personuppgifter som

a)utgör ett led i en verksamhet som inte omfattas av unionsrätten,

b)medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget,

c)en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll,

d)behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.

3.Förordning (EG) nr 45/2001 är tillämplig på den behandling av personuppgifter som sker i EU:s institutioner, organ och byråer. Förordning (EG) nr 45/2001 och de av unionens övriga rättsakter som är tillämpliga på sådan behandling av personuppgifter ska anpassas till principerna och bestämmelserna i denna förordning i enlighet med artikel 98.

4.Denna förordning påverkar inte tillämpningen av direktiv 2000/31/EG, särskilt bestämmelserna om tjänstele­ vererande mellanhänders ansvar i artiklarna 12–15 i det direktivet.

Artikel 3

Territoriellt tillämpningsområde

1. Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte.

252

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/33

 

 

 

 

2.Denna förordning ska tillämpas på behandling av personuppgifter som avser registrerade som befinner sig i unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen, om behandlingen har anknytning till

a)utbjudande av varor eller tjänster till sådana registrerade i unionen, oavsett om dessa varor eller tjänster erbjuds kostnadsfritt eller inte, eller

b)övervakning av deras beteende så länge beteendet sker inom unionen.

3.Denna förordning ska tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten.

Artikel 4

Definitioner

I denna förordning avses med

1.personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidenti­ fikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,

2.behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

3.begränsning av behandling: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden,

4.profilering: varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar,

5.pseudonymisering: behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person,

6.register: en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,

7.personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,

8.personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning,

9.mottagare: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personupp­ gifterna utlämnas, vare sig det är en tredje part eller inte; offentliga myndigheter som kan komma att motta

253

Prop. 2017/18:218

Bilaga 1

L 119/34

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte,

10.tredje part: en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna,

11.samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne,

12.personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

13.genetiska uppgifter: alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga,

14.biometriska uppgifter: personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter,

15.uppgifter om hälsa: personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhanda­ hållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus,

16.huvudsakligt verksamhetsställe:

a)när det gäller en personuppgiftsansvarig med verksamhetsställen i mer än en medlemsstat, den plats i unionen där vederbörande har sin centrala förvaltning, om inte besluten om ändamålen och medlen för behandlingen av personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen och det sistnämnda verksamhetsstället har befogenhet att få sådana beslut genomförda, i vilket fall det verksamhetsställe som har fattat sådana beslut ska betraktas som det huvudsakliga verksamhetsstället,

b)när det gäller ett personuppgiftsbiträde med verksamhetsställen i mer än en medlemsstat, den plats i unionen där vederbörande har sin centrala förvaltning eller, om personuppgiftsbiträdet inte har någon central förvaltning i unionen, det av personuppgiftsbiträdets verksamhetsställen i unionen där den huvudsakliga behandlingen inom ramen för verksamheten vid ett av personuppgiftsbiträdets verksamhetsställen sker, i den utsträckning som personuppgiftsbiträdet omfattas av särskilda skyldigheter enligt denna förordning,

17.företrädare: en i unionen etablerad fysisk eller juridisk person som skriftligen har utsetts av den personuppgift­ sansvarige eller personuppgiftsbiträdet i enlighet med artikel 27 och företräder denne i frågor som gäller dennes skyldigheter enligt denna förordning,

18.företag: en fysisk eller juridisk person som bedriver ekonomisk verksamhet, oavsett dess juridiska form, vilket inbegriper partnerskap eller föreningar som regelbundet bedriver ekonomisk verksamhet,

19.koncern: ett kontrollerande företag och dess kontrollerade företag,

20.bindande företagsbestämmelser: strategier för skydd av personuppgifter som en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad på en medlemsstats territorium använder sig av vid överföringar eller en uppsättning av överföringar av personuppgifter till en personuppgiftsansvarig eller ett personuppgiftsbiträde i ett eller flera tredjeländer inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet,

21.tillsynsmyndighet: en oberoende offentlig myndighet som är utsedd av en medlemsstat i enlighet med artikel 51,

254

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/35

 

 

 

 

22.berörd tillsynsmyndighet: en tillsynsmyndighet som berörs av behandlingen av personuppgifter på grund av att

a)den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad på tillsynsmyndighetens medlemsstats territorium,

b)registrerade som är bosatta i den tillsynsmyndighetens medlemsstat i väsentlig grad påverkas eller sannolikt i väsentlig grad kommer att påverkas av behandlingen, eller

c)ett klagomål har lämnats in till denna tillsynsmyndighet,

23.gränsöverskridande behandling:

a)behandling av personuppgifter som äger rum inom ramen för verksamhet vid verksamhetsställen i mer än en medlemsstat tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen, när den personupp­ giftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat, eller

b)behandling av personuppgifter som äger rum inom ramen för verksamhet vid ett enda verksamhetsställe tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen men som i väsentlig grad påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat,

24.relevant och motiverad invändning: en invändning mot ett förslag till beslut avseende frågan huruvida det föreligger en överträdelse av denna förordning eller huruvida den planerade åtgärden i förhållande till den personuppgift­ sansvarige eller personuppgiftsbiträdet är förenlig med denna förordning, av vilken invändning det tydligt framgår hur stora risker utkastet till beslut medför när det gäller registrerades grundläggande rättigheter och friheter samt i tillämpliga fall det fria flödet av personuppgifter inom unionen,

25.informationssamhällets tjänster: alla tjänster enligt definitionen i artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535 (1),

26.internationell organisation: en organisation och dess underställda organ som lyder under folkrätten, eller ett annat organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera länder.

KAPITEL II

Principer

Artikel 5

Principer för behandling av personuppgifter

1.Vid behandling av personuppgifter ska följande gälla:

a)Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b)De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).

c)De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgifts­ minimering).

d)De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).

(1) Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (EUT L 241, 17.9.2015, s. 1).

255

Prop. 2017/18:218

Bilaga 1

L 119/36

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

e)De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

f)De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2.Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).

Artikel 6

Laglig behandling av personuppgifter

1.Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b)Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d)Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e)Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsan­ svariges myndighetsutövning.

f)Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

2.Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.

3.Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

a)unionsrätten, eller

b)en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets­ utövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda

256

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/37

 

 

 

 

situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

4. Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgift­ sansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personupp­ gifterna ursprungligen samlades in bland annat beakta följande:

a)Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen.

b)Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige.

c)Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10.

d)Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.

e)Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

Artikel 7

Villkor för samtycke

1.Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.

2.Om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Om en del av förklaringen innebär en överträdelse av denna förordning, ska denna del inte vara bindande.

3.De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten av behandling som grundar sig på samtycke, innan detta återkallas. Innan samtycke lämnas ska den registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge sitt samtycke.

4.Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet.

Artikel 8

Villkor som gäller barns samtycke avseende informationssamhällets tjänster

1. Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 16 år. Om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet.

Medlemsstaterna får i sin nationella rätt föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder inte är under 13 år.

257

Prop. 2017/18:218

Bilaga 1

L 119/38

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

2.Den personuppgiftsansvarige ska göra rimliga ansträngningar för att i sådana fall kontrollera att samtycke ges eller godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik.

3.Punkt 1 ska inte påverka tillämpningen av allmän avtalsrätt i medlemsstaterna, såsom bestämmelser om giltigheten, upprättandet eller effekten av ett avtal som gäller ett barn.

Artikel 9

Behandling av särskilda kategorier av personuppgifter

1.Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2.Punkt 1 ska inte tillämpas om något av följande gäller:

a)Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade.

b)Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.

c)Behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

d)Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen enbart rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och personuppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke.

e)Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

f)Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet.

g)Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

h)Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda.

i)Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt.

258

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/39

 

 

 

 

j)Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

3.Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.

4.Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.

Artikel 10

Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser

Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

Artikel 11

Behandling som inte kräver identifiering

1.Om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver eller inte längre kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa denna förordning.

2.Om den personuppgiftsansvarige, i de fall som avses i punkt 1 i denna artikel, kan visa att denne inte är i stånd att identifiera den registrerade, ska den personuppgiftsansvarige om möjligt informera den registrerade om detta. I sådana fall ska artiklarna 15–20 inte gälla, förutom när den registrerade för utövande av sina rättigheter i enlighet med dessa artiklar tillhandahåller ytterligare information som gör identifieringen möjlig.

KAPITEL III

Den registrerades rättigheter

Avsnitt 1

Insyn och villkor

Artikel 12

Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

1. Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information som avses i artiklarna 13 och 14 och all kommunikation enligt artiklarna 15–22 och 34 vilken avser behandling i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.

259

Prop. 2017/18:218

Bilaga 1

L 119/40

 

SV

 

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

 

 

2.

Den personuppgiftsansvarige ska

underlätta utövandet av den registrerades rättigheter

i enlighet med

artiklarna 15–22. I de fall som avses i artikel 11.2 får den personuppgiftsansvarige inte vägra att tillmötesgå den registrerades begäran om att utöva sina rättigheter enligt artiklarna 15–22, om inte den personuppgiftsansvarige visar att han eller hon inte är i stånd att identifiera den registrerade.

3.Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 15–22. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat.

4.Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till en tillsynsmyndighet och begära rättslig prövning.

5.Information som tillhandahållits enligt artiklarna 13 och 14, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 15–22 och 34 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen

a)ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller

b)vägra att tillmötesgå begäran.

Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.

6.Utan att det påverkar tillämpningen av artikel 11 får den personuppgiftsansvarige, om denne har rimliga skäl att betvivla identiteten hos den fysiska person som lämnar in en begäran enligt artiklarna 15–21, begära att ytterligare information som är nödvändig för att bekräfta den registrerades identitet tillhandahålls.

7.Den information som ska tillhandahållas de registrerade i enlighet med artiklarna 13 och 14 får tillhandahållas kombinerad med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen. Om sådana symboler visas elektroniskt ska de vara maskinläsbara.

8.Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 92 för att fastställa vilken information som ska visas med hjälp av symboler och förfaranden för att tillhandahålla sådana symboler.

Avsnitt 2

Information och tillgång till personuppgifter

Artikel 13

Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade

1. Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgift­ sansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande:

a)Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.

b)Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.

c)Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.

260

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/41

 

 

 

 

d)Om behandlingen är baserad på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.

e)Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

f)I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till ett tredjeland eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas eller, när det gäller de överföringar som avses i artikel 46, 47 eller artikel 49.1 andra stycket, hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.

2.Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige vid insamlingen av personupp­ gifterna lämna den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och transparent behandling:

a)Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

b)Att det föreligger en rätt att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling samt rätten till dataportabilitet.

c)Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, att det föreligger en rätt att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.

d)Rätten att inge klagomål till en tillsynsmyndighet.

e)Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal samt huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och de möjliga följderna av att sådana uppgifter inte lämnas.

f)Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

3.Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

4.Punkterna 1, 2 och 3 ska inte tillämpas om och i den mån den registrerade redan förfogar över informationen.

Artikel 14

Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade

1. Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige förse den registrerade med följande information:

a)Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.

b)Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.

c)Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.

d)De kategorier av personuppgifter som behandlingen gäller.

e)Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

261

Prop. 2017/18:218

Bilaga 1

L 119/42

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

f)I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till en mottagare i ett tredjeland eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas eller, när det gäller de överföringar som avses i artiklarna 46, 47 eller artikel 49.1 andra stycket, hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.

2. Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige lämna den registrerade följande information, vilken krävs för att säkerställa rättvis och transparent behandling när det gäller den registrerade:

a)Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

b)Om behandlingen grundar sig på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.

c)Förekomsten av rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade och att invända mot behandling samt rätten till dataportabilitet.

d)Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, rätten att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.

e)Rätten att inge klagomål till en tillsynsmyndighet.

f)Varifrån personuppgifterna kommer och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga källor.

g)Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

3.Den personuppgiftsansvarige ska lämna den information som anges i punkterna 1 och 2

a)inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de särskilda omständigheter under vilka personuppgifterna behandlas,

b)om personuppgifterna ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första kommunikationen med den registrerade, eller

c)om ett utlämnande till en annan mottagare förutses, senast när personuppgifterna lämnas ut för första gången.

4.Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

5.Punkterna 1–4 ska inte tillämpas i följande fall och i den mån

a)den registrerade redan förfogar över informationen,

b)tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, eller i den mån den skyldighet som avses i punkt 1 i den här artikeln sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen; i sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet göra uppgifterna tillgängliga för allmänheten,

c)erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen, eller

d)personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt, inbegripet andra lagstadgade sekretessförpliktelser.

262

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/43

 

 

 

 

Artikel 15

Den registrerades rätt till tillgång

1. Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:

a)Ändamålen med behandlingen.

b)De kategorier av personuppgifter som behandlingen gäller.

c)De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer.

d)Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

e)Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.

f)Rätten att inge klagomål till en tillsynsmyndighet.

g)Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer.

h)Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

2.Om personuppgifterna överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 46 har vidtagits vid överföringen.

3.Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.

4.Den rätt till en kopia som avses i punkt 3 ska inte inverka menligt på andras rättigheter och friheter.

Avsnitt 3

Rättelse och radering

Artikel 16

Rätt till rättelse

Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.

Artikel 17

Rätt till radering (”rätten att bli bortglömd”)

1. Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

263

Prop. 2017/18:218

Bilaga 1

L 119/44

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

b)Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a eller artikel 9.2 a och det finns inte någon annan rättslig grund för behandlingen.

c)Den registrerade invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2.

d)Personuppgifterna har behandlats på olagligt sätt.

e)Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.

f)Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i artikel 8.1.

2.Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter.

3.Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:

a)För att utöva rätten till yttrande- och informationsfrihet.

b)För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

c)För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet enligt artikel 9.2 h och i samt artikel 9.3.

d)För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.

e)För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Artikel 18

Rätt till begränsning av behandling

1. Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om något av följande alternativ är tillämpligt:

a)Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta.

b)Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning.

c)Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

d)Den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

2.Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat.

264

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/45

 

 

 

 

3. En registrerad som har fått behandling begränsad i enlighet med punkt 1 ska underrättas av den personuppgift­ sansvarige innan begränsningen av behandlingen upphör.

Artikel 19

Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling

Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser eller radering av personuppgifter eller begränsningar av behandling som skett i enlighet med artiklarna 16, 17.1 och 18, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Den personuppgiftsansvarige ska informera den registrerade om dessa mottagare på den registrerades begäran.

Artikel 20

Rätt till dataportabilitet

1. Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om

a)behandlingen grundar sig på samtycke enligt artikel 6.1 a eller artikel 9.2 a eller på ett avtal enligt artikel 6.1 b, och

b)behandlingen sker automatiserat.

2 Vid utövandet av sin rätt till dataportabilitet i enlighet med punkt 1 ska den registrerade ha rätt till överföring av personuppgifterna direkt från en personuppgiftsansvarig till en annan, när detta är tekniskt möjligt.

3.Utövandet av den rätt som avses i punkt 1 i den här artikeln ska inte påverka tillämpningen av artikel 17. Den rätten ska inte gälla i fråga om en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

4.Den rätt som avses i punkt 1 får inte påverka andras rättigheter och friheter på ett ogynnsamt sätt.

Avsnitt 4

Rätt att göra invändningar och automatiserat individuellt beslutsfattande

Artikel 21

Rätt att göra invändningar

1.Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f, inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

2.Om personuppgifterna behandlas för direkt marknadsföring ska den registrerade ha rätt att när som helst invända mot behandling av personuppgifter som avser honom eller henne för sådan marknadsföring, vilket inkluderar profilering i den utsträckning som denna har ett samband med sådan direkt marknadsföring.

3.Om den registrerade invänder mot behandling för direkt marknadsföring ska personuppgifterna inte längre behandlas för sådana ändamål.

265

Prop. 2017/18:218

Bilaga 1

L 119/46

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

4.Senast vid den första kommunikationen med den registrerade ska den rätt som avses i punkterna 1 och 2 uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information.

5.När det gäller användningen av informationssamhällets tjänster, och trots vad som sägs i direktiv 2002/58/EG, får den registrerade utöva sin rätt att göra invändningar på automatiserat sätt med användning av tekniska specifikationer.

6.Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Artikel 22

Automatiserat individuellt beslutsfattande, inbegripet profilering

1.Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.

2.Punkt 1 ska inte tillämpas om beslutet

a)är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige,

b)tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen, eller

c)grundar sig på den registrerades uttryckliga samtycke.

3.I fall som avses i punkt 2 a och c ska den personuppgiftsansvarige genomföra lämpliga åtgärder för att säkerställa den registrerades rättigheter, friheter och rättsliga intressen, åtminstone rätten till personlig kontakt med den personupp­ giftsansvarige för att kunna utrycka sin åsikt och bestrida beslutet.

4.Beslut enligt punkt 2 får inte grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.1, såvida inte artikel 9.2 a eller g gäller och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits.

Avsnitt 5

Beg ränsningar

Artikel 23

Begränsningar

1. Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa

a)den nationella säkerheten,

b)försvaret,

c)den allmänna säkerheten,

266

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/47

 

 

 

 

d)förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,

e)andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet,

f)skydd av rättsväsendets oberoende och rättsliga åtgärder,

g)förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken,

h)en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i a–e och g,

i)skydd av den registrerade eller andras rättigheter och friheter,

j)verkställighet av civilrättsliga krav.

2.Framför allt ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser åtminstone, när så är relevant, avseende

a)ändamålen med behandlingen eller kategorierna av behandling,

b)kategorierna av personuppgifter,

c)omfattningen av de införda begränsningarna,

d)skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,

e)specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga,

f)lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling,

g)riskerna för de registrerades rättigheter och friheter, och

h)de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.

KAPITEL IV

Personuppgiftsansvarig och personuppgiftsbiträde

Avsnitt 1

Allmänna skyldigheter

Artikel 24

Den personuppgiftsansvariges ansvar

1.Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolik­ hetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.

2.Om det står i proportion till behandlingen, ska de åtgärder som avses i punkt 1 omfatta den personuppgiftsan­ svariges genomförande av lämpliga strategier för dataskydd.

3.Tillämpningen av godkända uppförandekoder som avses i artikel 40 eller godkända certifieringsmekanismer som avses i artikel 42 får användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.

267

Prop. 2017/18:218

Bilaga 1

L 119/48

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

Artikel 25

Inbyggt dataskydd och dataskydd som standard

1.Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder – såsom pseudonymisering – vilka är utformade för ett effektivt genomförande av dataskyddsprinciper – såsom uppgiftsminimering – och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades rättigheter skyddas.

2.Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.

3.En godkänd certifieringsmekanism i enlighet med artikel 42 får användas för att visa att kraven i punkterna 1 och 2 i den här artikeln följs.

Artikel 26

Gemensamt personuppgiftsansvariga

1.Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

2.Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade.

3.Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning med avseende på och emot var och en av de personuppgiftsansvariga.

Artikel 27

Företrädare för personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade i unionen

1.Om artikel 3.2 tillämpas ska den personuppgiftsansvarige eller personuppgiftsbiträdet skriftligen utse en företrädare i unionen.

2.Skyldigheten enligt punkt 1 i denna artikel ska inte gälla

a)tillfällig behandling som inte omfattar behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller behandling av personuppgifter avseende fällande domar i brottmål samt överträdelser, som avses i artikel 10, och som sannolikt inte kommer att medföra en risk för fysiska personers rättigheter och friheter, med hänsyn till behandlingens art, sammanhang, omfattning och ändamål, eller

b)en offentlig myndighet eller ett offentligt organ.

268

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/49

 

 

 

 

3.Företrädaren ska vara etablerad i en av de medlemsstater där de registrerade, vars personuppgifter behandlas i samband med att de erbjuds varor eller tjänster, eller vars beteende övervakas, befinner sig.

4.Företrädaren ska på den personuppgiftsansvariges eller personuppgiftsbiträdets uppdrag, utöver eller i stället för den personuppgiftsansvarige eller personuppgiftsbiträdet, fungera som kontaktperson för i synnerhet tillsynsmyndigheter och registrerade, i alla frågor som har anknytning till behandlingen, i syfte att säkerställa efterlevnad av denna förordning.

5.Att den personuppgiftsansvarige eller personuppgiftsbiträdet utser en företrädare ska inte påverka de rättsliga åtgärder som skulle kunna inledas mot den personuppgiftsansvarige eller personuppgiftsbiträdet.

Artikel 28

Personuppgiftsbiträden

1.Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställer att den registrerades rättigheter skyddas.

2.Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits, ska personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgifts­ biträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.

3.När uppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter anges. I det avtalet eller den rättsakten ska det särskilt föreskrivas att personuppgiftsbiträdet

a)endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av, och i så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt,

b)säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt,

c)ska vidta alla åtgärder som krävs enligt artikel 32,

d)ska respektera de villkor som avses i punkterna 2 och 4 för anlitandet av ett annat personuppgiftsbiträde,

e)med tanke på behandlingens art, ska hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III,

f)ska bistå den personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32–36 fullgörs, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå,

g)beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänster har avslutats, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt, och

h)ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i denna artikel har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige.

269

Prop. 2017/18:218

Bilaga 1

L 119/50

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

Med avseende på led h i första stycket ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om han anser att en instruktion strider mot denna förordning eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser.

4.I de fall där ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde för utförande av specifik behandling på den personuppgiftsansvariges vägnar ska det andra personuppgiftsbiträdet, genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt, åläggas samma skyldigheter i fråga om dataskydd som de som fastställs i avtalet eller den andra rättsakten mellan den personuppgiftsansvarige och personuppgiftsbiträdet enligt punkt 3, och framför allt att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning. Om det andra personuppgiftsbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarig gentemot den personuppgiftsansvarige för utförandet av det andra personuppgiftsbiträdets skyldigheter.

5.Ett personuppgiftsbiträdes anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som avses i artikel 42 får användas för att visa att tillräckliga garantier tillhandahålls, så som avses punkterna 1 och 4 i den här artikeln.

6.Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 i den här artikeln får, utan att det påverkar tillämpningen av ett enskilt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet, helt eller delvis baseras på sådana standardavtalsklausuler som avses i punkterna 7 och 8 i den här artikeln, inbegripet när de ingår i en certifiering som i enlighet med artiklarna 42 och 43 beviljats den personuppgiftsansvarige eller personuppgiftsbiträdet.

7.Kommissionen får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i den här artikeln, i enlighet med det granskningsförfarande som avses i artikel 93.2.

8.En tillsynsmyndighet får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i den här artikeln, i enlighet med den mekanism för enhetlighet som avses i artikel 63.

9.Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 ska upprättas skriftligen, inbegripet i ett elektroniskt format.

10.Om ett personuppgiftsbiträde överträder denna förordning genom att fastställa ändamålen med och medlen för behandlingen, ska personuppgiftsbiträdet anses vara personuppgiftsansvarig med avseende på den behandlingen, utan att det påverkar tillämpningen av artiklarna 82, 83 och 84.

Artikel 29

Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende

Personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, får endast behandla dessa på instruktion från den personuppgift­ sansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.

Artikel 30

Register över behandling

1. Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som utförts under dess ansvar. Detta register ska innehålla samtliga följande uppgifter:

a)Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgift­ sansvariga, den personuppgiftsansvariges företrädare samt dataskyddsombudet.

b)Ändamålen med behandlingen.

c)En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.

270

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/51

 

 

 

 

d)De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredjeländer eller i internationella organisationer.

e)I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet

identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.

f)Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.

g)Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

2. Varje personuppgiftsbiträde och, i tillämpliga fall, dennes företrädare ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning, som omfattar följande:

a)Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgift­ sansvarig för vars räkning personuppgiftsbiträdet agerar, och, i tillämpliga fall, för den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare samt dataskyddsombudet.

b)De kategorier av behandling som har utförts för varje personuppgiftsansvariges räkning.

c)I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet

identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.

d) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

3.De register som avses i punkterna 1 och 2 ska upprättas skriftligen, inbegripet i elektronisk form.

4.På begäran ska den personuppgiftsansvarige eller personuppgiftsbiträdet samt, i tillämpliga fall, den personuppgift­ sansvariges eller personuppgiftsbiträdets företrädare göra registret tillgängligt för tillsynsmyndigheten.

5.De skyldigheter som anges i punkterna 1 och 2 ska inte gälla för ett företag eller en organisation som sysselsätter färre än 250 personer såvida inte den behandling som utförs sannolikt kommer att medföra en risk för registrerades rättigheter och friheter, behandlingen inte är tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter som avses i artikel 9.1 eller personuppgifter om fällande domar i brottmål samt överträdelser som avses i artikel 10.

Artikel 31

Samarbete med tillsynsmyndigheten

Den personuppgiftsansvarige och personuppgiftsbiträdet samt, i tillämpliga fall, deras företrädare ska på begäran samarbeta med tillsynsmyndigheten vid utförandet av dennes uppgifter.

Avsnitt 2

Säkerhet för personuppgif ter

Artikel 32

Säkerhet i samband med behandlingen

1. Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

a) pseudonymisering och kryptering av personuppgifter,

271

Prop. 2017/18:218

Bilaga 1

L 119/52

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

b)förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlings­ systemen och -tjänsterna,

c)förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,

d)ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

2.Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

3.Anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som avses i artikel 42 får användas för att visa att kraven i punkt 1 i den här artikeln följs.

4.Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.

Artikel 33

Anmälan av en personuppgiftsincident till tillsynsmyndigheten

1.Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är behörig i enlighet med artikel 55, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.

2.Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident.

3.Den anmälan som avses i punkt 1 ska åtminstone

a)beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,

b)förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,

c)beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och

d)beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsin­ cidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

4.Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

5.Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel.

Artikel 34

Information till den registrerade om en personuppgiftsincident

1. Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.

272

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/53

 

 

 

 

2.Den information till den registrerade som avses i punkt 1 i denna artikel ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i artikel 33.3 b, c och d.

3.Information till den registrerade i enlighet med punkt 1 krävs inte om något av följande villkor är uppfyllt:

a)Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.

b)Den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades rättigheter och friheter som avses i punkt 1 sannolikt inte längre kommer att uppstå.

c)Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.

4. Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten får tillsynsmyndigheten, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att personuppgiftsbiträdet gör det eller får besluta att något av de villkor som avses i punkt 3 uppfylls.

Avsnitt 3

Konsekvensbedömning avseende dataskydd samt föregående samråd

Artikel 35

Konsekvensbedömning avseende dataskydd

1.Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker.

2.Den personuppgiftsansvarige ska rådfråga dataskyddsombudet, om ett sådant utsetts, vid genomförande av en konsekvensbedömning avseende dataskydd.

3.En konsekvensbedömning avseende dataskydd som avses i punkt 1 ska särskilt krävas i följande fall:

a)En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer.

b)Behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller av personuppgifter som rör fällande domar i brottmål och överträdelser som avses i artikel 10.

c)Systematisk övervakning av en allmän plats i stor omfattning.

4.Tillsynsmyndigheten ska upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som omfattas av kravet på en konsekvensbedömning avseende dataskydd i enlighet med punkt 1. Tillsynsmyndigheten ska översända dessa förteckningar till den styrelse som avses i artikel 68.

5.Tillsynsmyndigheten får också upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som inte kräver någon konsekvensbedömning avseende dataskydd. Tillsynsmyndigheten ska översända dessa förteckningar till styrelsen.

6.Innan de förteckningar som avses i punkterna 4 och 5 antas ska den behöriga tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 63 om en sådan förteckning inbegriper behandling som rör erbjudandet av varor eller tjänster till registrerade, eller övervakning av deras beteende i flera medlemsstater, eller som väsentligt kan påverka den fria rörligheten för personuppgifter i unionen.

273

Prop. 2017/18:218

Bilaga 1

L 119/54

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

7.Bedömningen ska innehålla åtminstone

a)en systematisk beskrivning av den planerade behandlingen och behandlingens syften, inbegripet, när det är lämpligt, den personuppgiftsansvariges berättigade intresse,

b)en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena,

c)en bedömning av de risker för de registrerades rättigheter och friheter som avses i punkt 1, och

d)de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.

8.De berörda personuppgiftsansvarigas eller personuppgiftsbiträdenas efterlevnad av godkända uppförandekoder enligt artikel 40 ska på lämpligt sätt beaktas vid bedömningen av konsekvenserna av de behandlingar som utförs av dessa personuppgiftsansvariga eller personuppgiftsbiträden, framför allt när det gäller att ta fram en konsekvens­ bedömning avseende dataskydd.

9.Den personuppgiftsansvarige ska, när det är lämpligt, inhämta synpunkter från de registrerade eller deras företrädare om den avsedda behandlingen, utan att det påverkar skyddet av kommersiella eller allmänna intressen eller behandlingens säkerhet.

10.Om behandling enligt artikel 6.1 c eller e har en rättslig grund i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, reglerar den rätten den aktuella specifika behandlingsåtgärden eller serien av åtgärder i fråga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, ska punkterna 1–7 inte gälla, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen.

11.Den personuppgiftsansvarige ska vid behov genomföra en översyn för att bedöma om behandlingen genomförs i enlighet med konsekvensbedömningen avseende dataskydd åtminstone när den risk som behandlingen medför förändras.

Artikel 36

Förhandssamråd

1.Den personuppgiftsansvarige ska samråda med tillsynsmyndigheten före behandling om en konsekvensbedömning avseende dataskydd enligt artikel 35 visar att behandlingen skulle leda till en hög risk om inte den personuppgift­ sansvarige vidtar åtgärder för att minska risken.

2.Om tillsynsmyndigheten anser att den planerade behandling som avses i punkt 1 skulle strida mot denna förordning, särskilt om den personuppgiftsansvarige inte i tillräcklig mån har fastställt eller reducerat risken, ska tillsyns­ myndigheten inom en period på högst åtta veckor från det att begäran om samråd mottagits, ge den personuppgift­ sansvarige och i tillämpliga fall personuppgiftsbiträdet skriftliga råd och får utnyttja alla de befogenheter som den har enligt artikel 58. Denna period får förlängas med sex veckor beroende på hur komplicerad den planerade behandlingen är. Tillsynsmyndigheten ska informera den personuppgiftsansvarige och, i tillämpliga fall, personuppgiftsbiträdet om en sådan förlängning inom en månad från det att begäran om samråd mottagits, tillsammans med orsakerna till förseningen. Dessa perioder får tillfälligt upphöra att löpa i avvaktan på att tillsynsmyndigheten erhåller den information som den har begärt med tanke på samrådet.

3.Vid samråd med tillsynsmyndigheten enligt punkt 1 ska den personuppgiftsansvarige till tillsynsmyndigheten lämna

a)i tillämpliga fall de respektive ansvarsområdena för de personuppgiftsansvariga, gemensamt personuppgiftsansvariga och personuppgiftsbiträden som medverkar vid behandlingen, framför allt vid behandling inom en koncern,

b)ändamålen med och medlen för den avsedda behandlingen,

c)de åtgärder som vidtas och de garantier som lämnas för att skydda de registrerades rättigheter och friheter enligt denna förordning,

d)i tillämpliga fall kontaktuppgifter till dataskyddsombudet,

274

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/55

 

 

 

 

e)konsekvensbedömningen avseende dataskydd enligt artikel 35, och

f)all annan information som begärs av tillsynsmyndigheten.

4.Medlemsstaterna ska samråda med tillsynsmyndigheten vid utarbetandet av ett förslag till lagstiftningsåtgärd som ska antas av ett nationellt parlament eller av en regleringsåtgärd som grundar sig på en sådan lagstiftningsåtgärd som rör behandling.

5.Trots vad som sägs i punkt 1 får det i medlemsstaternas nationella rätt krävas att personuppgiftsansvariga ska samråda med, och erhålla förhandstillstånd av, tillsynsmyndigheten när det gäller en personuppgiftsansvarigs behandling för utförandet av en uppgift som den personuppgiftsansvarige utför av allmänt intresse, inbegripet behandling avseende social trygghet och folkhälsa.

Avsnitt 4

Dataskyddsombud

Artikel 37

Utnämning av dataskyddsombudet

1. Den personuppgiftsansvarige och personuppgiftsbiträdet ska under alla omständigheter utnämna ett dataskyddsombud om

a)behandlingen genomförs av en myndighet eller ett offentligt organ, förutom när detta sker som en del av domstolarnas dömande verksamhet,

b)den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller

c)den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av uppgifter i enlighet med artikel 9 och personuppgifter som rör fällande domar i brottmål och överträdelser, som avses i artikel 10.

2.En koncern får utnämna ett enda dataskyddsombud om det på varje etableringsort är lätt att nå ett dataskyddsombud.

3.Om den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet eller ett offentligt organ, får ett enda dataskyddsombud utnämnas för flera sådana myndigheter eller organ, med hänsyn till deras organisationsstruktur och storlek.

4.I andra fall än de som avses i punkt 1 får eller, om så krävs enligt unionsrätten eller medlemsstaternas nationella rätt, ska den personuppgiftsansvarige eller personuppgiftsbiträdet eller sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden utnämna ett dataskyddsombud. Dataskydd­ sombudet får agera för sådana sammanslutningar och andra organ som företräder personuppgiftsansvariga eller personuppgiftsbiträden.

5.Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 39.

6.Dataskyddsombudet får ingå i den personuppgiftsansvariges eller personuppgiftsbiträdets personal, eller utföra uppgifterna på grundval av ett tjänsteavtal.

7.Den personuppgiftsansvarige eller personuppgiftsbiträdet ska offentliggöra dataskyddsombudets kontaktuppgifter och meddela dessa till tillsynsmyndigheten.

Artikel 38

Dataskyddsombudets ställning

1. Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

275

Prop. 2017/18:218

Bilaga 1

L 119/56

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

2.Den personuppgiftsansvarige och personuppgiftsbiträdet ska stödja dataskyddsombudet i utförandet av de uppgifter som avses i artikel 39 genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap.

3.Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar emot instruktioner som gäller utförandet av dessa uppgifter. Han eller hon får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå.

4.Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt denna förordning.

5.Dataskyddsombudet ska, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt.

6.Dataskyddsombudet får fullgöra andra uppgifter och uppdrag. Den personuppgiftsansvarige eller personuppgifts­ biträdet ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt.

Artikel 39

Dataskyddsombudets uppgifter

1.Dataskyddsombudet ska ha minst följande uppgifter:

a)Att informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som behandlar om deras skyldigheter enligt denna förordning och andra av unionens eller medlemsstaternas dataskydds­ bestämmelser.

b)Att övervaka efterlevnaden av denna förordning, av andra av unionens eller medlemsstaternas dataskyddsbe­ stämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter, inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandling och tillhörande granskning.

c)Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den enligt artikel 35.

d)Att samarbeta med tillsynsmyndigheten.

e)Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd som avses i artikel 36, och vid behov samråda i alla andra frågor.

2. Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till de risker som är förknippade med behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften.

Avsnitt 5

Uppförandekod och certifiering

Artikel 40

Uppförandekoder

1.Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra utarbetandet av uppförandekoder avsedda att bidra till att denna förordning genomförs korrekt, med hänsyn till särdragen hos de olika sektorer där behandling sker, och de särskilda behoven hos mikroföretag samt små och medelstora företag.

2.Sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts­ biträden får utarbeta uppförandekoder, eller ändra eller utöka sådana koder, i syfte att specificera tillämpningen av denna förordning, till exempel när det gäller

a) rättvis och öppen behandling,

276

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/57

 

 

 

 

b)personuppgiftsansvarigas berättigade intressen i särskilda sammanhang,

c)insamling av personuppgifter,

d)pseudonymisering av personuppgifter,

e)information till allmänheten och de registrerade,

f)utövande av registrerades rättigheter,

g)information till och skydd av barn samt metoderna för att erhålla samtycke från de personer som har föräldraansvar för barn,

h)åtgärder och förfaranden som avses i artiklarna 24 och 25 samt åtgärder för att säkerställa säkerhet vid behandling i enlighet med artikel 32,

i)anmälan av personuppgiftsincidenter till tillsynsmyndigheter och meddelande av sådana personuppgiftsincidenter till registrerade,

j)överföring av personuppgifter till tredjeländer eller internationella organisationer,

k)utomrättsliga förfaranden och andra tvistlösningsförfaranden för lösande av tvister mellan personuppgiftsansvariga

och registrerade när det gäller behandling, utan att detta påverkar registrerades rättigheter enligt artiklarna 77 och 79.

3.Uppförandekoder som är godkända i enlighet med punkt 5 i denna artikel och som har allmän giltighet enligt punkt 9 i denna artikel får, förutom att de iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som omfattas av denna förordning, även iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som inte omfattas av denna förordning enligt artikel 3, för att tillhandahålla lämpliga garantier inom ramen för överföringar av personuppgifter till tredjeländer eller internationella organisationer enligt villkoren i artikel 46.2 e. Sådana personuppgiftsansvariga eller personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, genom avtal eller andra rättsligt bindande instrument, att tillämpa dessa lämpliga garantier inbegripet när det gäller registrerades rättigheter.

4.Den uppförandekod som avses i punkt 2 i den här artikeln ska innehålla mekanismer som gör det möjligt för det organ som avses i artikel 41.1 att utföra den obligatoriska övervakningen av att dess bestämmelser efterlevs av personuppgiftsansvariga och personuppgiftsbiträden som tillämpar den, utan att det påverkar uppgifter eller befogenheter för de tillsynsmyndigheter som är behöriga enligt artikel 55 eller 56.

5.Sammanslutningar och andra organ som avses i punkt 2 i den här artikeln som avser att utarbeta en uppförandekod eller ändra eller utöka befintliga uppförandekoder ska inge utkastet till uppförandekod, ändringen eller utökningen till den tillsynsmyndighet som är behörig enligt artikel 55. Tillsynsmyndigheten ska yttra sig om huruvida utkastet till uppförandekod, ändring eller utökning överensstämmer med denna förordning och ska godkänna ett det utkastet till kod, ändring eller utökning om den finner att tillräckliga garantier tillhandahålls.

6.Om utkastet till kod, eller en ändring eller utökning, godkänns i enlighet med punkt 5, och om den berörda uppförandekoden inte avser behandling i flera medlemsstater, ska tillsynsmyndigheten registrera och offentliggöra uppförandekoden.

7.Om ett utkast till uppförandekod avser behandling i flera medlemsstater ska den tillsynsmyndighet som är behörig enligt artikel 55 innan den godkänner utkastet till kod, ändring eller utökning, inom ramen för det förfarande som avses i artikel 63 överlämna det till styrelsen som ska avge ett yttrande om huruvida utkastet till kod, ändring eller utökning är förenlig med denna förordning eller, i de fall som avses i punkt 3 i den här artikeln, tillhandahåller lämpliga garantier.

8.Om det i det yttrande som avses i punkt 7 bekräftas att utkastet till kod, ändring eller utökning är förenligt med denna förordning, eller, i de fall som avses i punkt 3, tillhandahåller lämpliga garantier, ska styrelsen inlämna sitt yttrande till kommissionen.

9.Kommissionen får, genom genomförandeakter, besluta att den godkända koden, ändringen eller utökningen som getts in till den enligt punkt 8 i den här artikeln har allmän giltighet inom unionen. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

277

Prop. 2017/18:218

Bilaga 1

L 119/58

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

10.Kommissionen ska se till att de godkända koder om vilka det har beslutats att de har allmän giltighet enligt punkt 9 offentliggörs på lämpligt sätt.

11.Styrelsen ska samla alla godkända uppförandekoder, ändringar och utökningar i ett register och offentliggöra dem på lämpligt sätt.

Artikel 41

Övervakning av godkända uppförandekoder

1.Utan att det påverkar den berörda tillsynsmyndighetens uppgifter och befogenheter enligt artiklarna 57 och 58 får övervakningen av efterlevnaden av en uppförandekod i enlighet med artikel 40 utföras av ett organ som har en lämplig expertnivå i förhållande till kodens syfte och som ackrediteras för detta ändamål av den behöriga tillsynsmyndigheten.

2.Ett organ som avses i punkt 1 får ackrediteras för att övervaka efterlevnaden av en uppförandekod om detta organ

har

a)visat sitt oberoende och sin expertis i förhållande till uppförandekodens syfte på ett sätt som den behöriga tillsyns­ myndigheten finner tillfredsställande,

b)upprättat förfaranden varigenom det kan bedöma de berörda personuppgiftsansvarigas och personuppgiftsbiträdenas lämplighet för att tillämpa uppförandekoden, övervaka att de efterlever dess bestämmelser och regelbundet se över hur den fungerar,

c)upprättat förfaranden och strukturer för att hantera klagomål om överträdelser av uppförandekoden eller det sätt på vilket uppförandekoden har tillämpats, eller tillämpas, av en personuppgiftsansvarig eller ett personuppgiftsbiträde, och för att göra dessa förfaranden och strukturer synliga för registrerade och för allmänheten, och

d)på ett sätt som den behöriga tillsynsmyndigheten finner tillfredsställande visat att dess uppgifter och uppdrag inte leder till en intressekonflikt.

3.Den behöriga tillsynsmyndigheten ska inlämna utkastet till kriterier för ackreditering av ett organ som avses i punkt 1 i den här artikeln till styrelsen i enlighet med den mekanism för enhetlighet som avses i artikel 63.

4.Utan att det påverkar den behöriga tillsynsmyndighetens uppgifter och befogenheter och tillämpningen av bestämmelserna i kapitel VIII ska ett organ som avses i punkt 1 i denna artikel, med förbehåll för tillräckliga skyddsåtgärder, vidta lämpliga åtgärder i fall av en personuppgiftsansvarigs eller ett personuppgiftsbiträdes överträdelse av uppförandekoden, inbegripet avstängning eller uteslutande av den personuppgiftsansvarige eller personuppgifts­ biträdet från uppförandekoden. Det ska informera den behöriga tillsynsmyndigheten om sådana åtgärder och skälen för att de vidtagits.

5.Den behöriga tillsynsmyndigheten ska återkalla ackrediteringen av ett organ som avses i punkt 1 om villkoren för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet strider mot denna förordning.

6.Denna artikel ska inte gälla behandling som utförs av offentliga myndigheter och organ.

Artikel 42

Certifiering

1. Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra, särskilt på unionsnivå, införandet av certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd som syftar till att visa att personuppgiftsansvarigas eller personuppgiftsbiträdens behandling är förenlig med denna förordning. De särskilda behoven hos mikroföretag samt små och medelstora företag ska beaktas.

278

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/59

 

 

 

 

2.Certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd som är godkända enligt punkt 5 i denna artikel får, förutom att de iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som omfattas av denna förordning, inrättas för att visa att det föreligger lämpliga garantier som tillhandahålls av personuppgiftsansvariga och personuppgiftsbiträden som inte omfattas av denna förordning enligt artikel 3, inom ramen för överföringar av personuppgifter till tredjeländer eller internationella organisationer enligt villkoren i artikel 46.2 f. Sådana personuppgift­ sansvariga eller personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, genom avtal eller andra rättsligt bindande instrument, att tillämpa dessa lämpliga garantier, inbegripet när det gäller registrerades rättigheter.

3.Certifieringen ska vara frivillig och tillgänglig via ett öppet förfarande.

4.En certifiering i enlighet med denna artikel minskar inte den personuppgiftsansvariges eller personuppgiftsbiträdets ansvar för att denna förordning efterlevs och påverkar inte uppgifter och befogenheter för de tillsynsmyndigheter som är behöriga enligt artikel 55 eller 56.

5.En certifiering i enlighet med denna artikel ska utfärdas av de certifieringsorgan som avses i artikel 43 eller av den behöriga tillsynsmyndigheten på grundval av kriterier som godkänts av den behöriga myndigheten enligt artikel 58.3 eller av styrelsen enligt artikel 63. Om kriterierna har godkänts av styrelsen får detta leda till en gemensam certifiering, det europeiska sigillet för dataskydd.

6.Den personuppgiftsansvarige eller det personuppgiftsbiträde som låter sin behandling av uppgifter omfattas av certifieringsmekanismen ska förse det certifieringsorgan som avses i artikel 43 eller, i tillämpliga fall, den behöriga tillsynsmyndigheten, med all information och tillgång till behandlingsförfaranden som krävs för att genomföra certifier­ ingsförfarandet.

7.Certifiering ska utfärdas till en personuppgiftsansvarig eller ett personuppgiftsbiträde för en period på högst tre år

och får förnyas på samma villkor under förutsättning att kraven fortsätter att vara uppfyllda. Certifiering ska, i tillämpliga fall, återkallas av de certifieringsorgan som avses i artikel 43 eller av den behöriga tillsynsmyndigheten om kraven för certifieringen inte eller inte längre uppfylls.

8. Styrelsen ska samla alla certifieringsmekanismer och sigill och märkningar för dataskydd i ett register och offentliggöra dem på lämpligt sätt.

Artikel 43

Certifieringsorgan

1. Utan att det påverkar den behöriga tillsynsmyndighetens uppgifter och befogenheter enligt artiklarna 57 och 58 ska certifieringsorgan som har lämplig nivå av expertis i fråga om dataskydd, efter att ha informerat tillsynsmyndigheten för att den ska kunna utöva sina befogenheter enligt artikel 58.2 h när så är nödvändigt, utfärda och förnya certifiering. Medlemsstat ska säkerställa att dessa certifieringsorgan är ackrediterade av en av eller båda följande:

a) Den tillsynsmyndighet som är behörig enligt artikel 55 eller 56,

b) det nationella ackrediteringsorgan som utsetts i enlighet med Europaparlamentets och rådets förordning (EG) nr 765/2008 (1) i enlighet med EN-ISO/IEC 17065/2012 och med de ytterligare krav som fastställts av den tillsynsmyndighet som är behörig enligt artikel 55 eller 56.

2.Certifieringsorgan som avses i punkt 1 får ackrediteras i enlighet med den punkten endast om de har

a)visat oberoende och expertis i förhållande till certifieringens syfte på ett sätt som den behöriga tillsynsmyndigheten finner tillfredsställande,

(1) Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30).

279

Prop. 2017/18:218

Bilaga 1

L 119/60

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

b)förbundit sig att respektera de kriterier som avses i artikel 42.5 och godkänts av den tillsynsmyndighet som är behörig enligt artikel 55 eller 56, eller av styrelsen enligt artikel 63,

c)upprättat förfaranden för utfärdande, periodisk översyn och återkallande av certifiering, sigill och märkningar för dataskydd,

d)upprättat förfaranden och strukturer för att hantera klagomål om överträdelser av certifieringen eller det sätt på vilket certifieringen har tillämpats, eller tillämpas, av en personuppgiftsansvarig eller ett personuppgiftsbiträde, och för att göra dessa förfaranden och strukturer synliga för registrerade och för allmänheten, och

e)på ett sätt som den behöriga tillsynsmyndigheten finner tillfredsställande visat att deras uppgifter och uppdrag inte leder till en intressekonflikt.

3.Ackrediteringen av certifieringsorgan som avses i punkterna 1 och 2 i denna artikel ska ske på grundval av kriterier som godkänts av den tillsynsmyndighet som är behörig enligt artikel 55 eller 56, eller av styrelsen enligt artikel 63. I händelse av ackreditering enligt punkt 1 b i den här artikeln ska dessa krav komplettera dem som föreskrivs i förordning (EG) nr 765/2008 och de tekniska regler som beskriver certifieringsorganens metoder och förfaranden.

4.De certifieringsorgan som avses i punkt 1 ska ansvara för den korrekta bedömning som leder till certifieringen eller återkallelsen av certifieringen, utan att det påverkar den personuppgiftsansvariges eller personuppgiftsbiträdets ansvar att efterleva denna förordning. Ackrediteringen ska utfärdas för en period på högst fem år och får förnyas på samma villkor under förutsättning att certifieringsorganet uppfyller de krav som anges i denna artikel.

5.De certifieringsorgan som avses i punkt 1 ska informera de behöriga tillsynsmyndigheterna om orsakerna till beviljandet eller återkallelsen av den begärda certifieringen.

6.De krav som avses i punkt 3 i den här artikeln och de kriterier som avses i artikel 42.5 ska offentliggöras av tillsynsmyndigheten i ett lättillgängligt format. Tillsynsmyndigheterna ska också översända dessa krav och kriterier till styrelsen. Styrelsen ska samla alla certifieringsmekanismer och sigill för dataskydd i ett register och offentliggöra dem på lämpligt sätt.

7.Utan att det påverkar tillämpningen av kapitel VIII ska den behöriga tillsynsmyndigheten eller det nationella ackre­ diteringsorganet återkalla ett certifieringsorgans ackreditering enligt punkt 1 i denna artikel om villkoren för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av certifieringsorganet strider mot denna förordning.

8.Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 92 i syfte att närmare ange de krav som ska tas i beaktande för de certifieringsmekanismer för dataskydd som avses i artikel 42.1.

9.Kommissionen får anta genomförandeakter för att fastställa tekniska standarder för certifieringsmekanismer och sigill och märkningar för dataskydd samt rutiner för att främja och erkänna dessa certifieringsmekanismer, sigill och märkningar. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

KAPITEL V

Överföring av personuppgifter till tredjeländer eller internationella organisationer

Artikel 44

Allmän princip för överföring av uppgifter

Överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation får bara ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i denna förordning, uppfyller villkoren i detta kapitel, inklusive för vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat tredjeland eller en annan internationell organisation. Alla bestämmelser i detta kapitel ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs.

280

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/61

 

 

 

 

Artikel 45

Överföring på grundval av ett beslut om adekvat skyddsnivå

1.Personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. En sådan överföring ska inte kräva något särskilt tillstånd.

2.När kommissionen bedömer om en adekvat skyddsnivå föreligger ska den särskilt beakta

a)rättsstatsprincipen, respekten för de mänskliga rättigheterna och de grundläggande friheterna, relevant lagstiftning, både allmän lagstiftning och sektorslagstiftning, inklusive avseende allmän säkerhet, försvar, nationell säkerhet och straffrätt och offentliga myndigheters tillgång till personuppgifter samt tillämpningen av sådan lagstiftning, dataskyddsregler, yrkesregler och säkerhetsbestämmelser, inbegripet regler för vidare överföring av personuppgifter till ett annat tredjeland eller en annan internationell organisation, som ska följas i det landet eller den internationella organisationen, rättspraxis samt faktiska och verkställbara rättigheter för registrerade och effektiv administrativ och rättslig prövning för de registrerade vars personuppgifter överförs,

b)huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet, eller som utövar tillsyn över den internationella organisationen, som har ansvar för att säkerställa och kontrollera att dataskyddsregler följs, inklusive lämpliga verkställighetsbefogenheter, ge de registrerade råd och assistans när det gäller utövandet av deras rättigheter och samarbeta med medlemsstaternas tillsynsmyndigheter, och

c)vilka internationella åtaganden det berörda tredjelandet eller den berörda internationella organisationen har gjort, eller andra skyldigheter som följer av rättsligt bindande konventioner eller instrument samt av dess deltagande i multilaterala eller regionala system, särskilt rörande skydd av personuppgifter.

3.Kommissionen får, efter att ha bedömt om det föreligger en adekvat skyddsnivå, genom en genomförandeakt besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland, eller en internationell organisation säkerställer en adekvat skyddsnivå i den mening som avses i punkt 2 i den här artikeln. Genomförandeakten ska inrätta en mekanism för regelbunden översyn, minst vart fjärde år, som ska beakta all relevant utveckling i det tredjelandet eller den internationella organisationen. Beslutets territoriella och sektorsmässiga tillämpning ska regleras i genomförandeakten, där det också i förekommande fall ska anges vilken eller vilka myndigheter som är tillsynsmyndighet(er) enligt punkt 2 b i den här artikeln. Genomförandeakten ska antas i enlighet med det gransknings­ förfarande som avses i artikel 93.2.

4.Kommissionen ska fortlöpande övervaka utveckling i tredjeländer och internationella organisationer vilken kan påverka hur beslut som antagits enligt punkt 3 i den här artikeln och beslut som antagits på grundval av artikel 25.6 i direktiv 95/46/EG fungerar.

5.Kommissionen ska, när tillgänglig information visar, i synnerhet efter den översyn som avses i punkt 3 i den här artikeln, att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom tredjelandet i fråga eller en internationell organisation inte längre säkerställer adekvat skydd i den mening som avses i punkt 2 i den här artikeln och, i den mån det behövs, genom genomförandeakter återkalla, ändra eller upphäva det beslut som avses i punkt 3 i den här artikeln utan retroaktiv verkan. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

När det föreligger vederbörligen motiverade och tvingande skäl till skyndsamhet ska kommissionen anta omedelbart tillämpliga genomförandeakter i enlighet med det förfarande som avses i artikel 93.3.

6.Kommissionen ska samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den situation som lett till beslutet enligt punkt 5.

7.Beslut enligt punkt 5 i den här artikeln ska inte påverka överföring av personuppgifter till tredjelandet, ett territorium eller en eller flera specificerade sektorer inom tredjelandet, eller den internationella organisationen i fråga enligt artiklarna 46–49.

8.Kommissionen ska i Europeiska unionens officiella tidning och på sin webbplats offentliggöra en förteckning över de tredjeländer och de territorier och specificerade sektorer i ett givet tredjeland samt de internationella organisationer för vilka den har fastställt att en adekvat skyddsnivå inte eller inte längre säkerställs.

281

Prop. 2017/18:218

Bilaga 1

L 119/62

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

9. De beslut som antas av kommissionen på grundval av artikel 25.6 i direktiv 95/46/EG ska förbli i kraft tills de ändrats, ersatts eller upphävts av ett kommissionsbeslut som antagits i enlighet med punkt 3 eller 5 i den här artikeln.

Artikel 46

Överföring som omfattas av lämpliga skyddsåtgärder

1.I avsaknad av ett beslut i enlighet med artikel 45.3, får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga.

2.Lämpliga skyddsåtgärder enligt punkt 1 får, utan att det krävs särskilt tillstånd från en övervakningsmyndighet, ta formen av

a)ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ,

b)bindande företagsbestämmelser i enlighet med artikel 47,

c)standardiserade dataskyddsbestämmelser som antas av kommissionen i enlighet med det granskningsförfarande som avses i artikel 93.2,

d)standardiserade dataskyddsbestämmelser som antagits av en tillsynsmyndighet och godkänts av kommissionen i enlighet med det granskningsförfarande som avses i artikel 93.2,

e)en godkänd uppförandekod enlig artikel 40 tillsammans med rättsligt bindande och verkställbara åtaganden för den personuppgiftsansvarige eller personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när det gäller registrerades rättigheter, eller

f)en godkänd certifieringsmekanism enlig artikel 42 tillsammans med rättsligt bindande och verkställbara åtaganden för den personuppgiftsansvarige, personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när det gäller de registrerades rättigheter.

3. Med förbehåll för tillstånd från den behöriga tillsynsmyndigheten, får lämpliga skyddsåtgärder enligt punkt 1 också i synnerhet ta formen av

a)avtalsklausuler mellan den personuppgiftsansvarige eller personuppgiftsbiträdet och den personuppgiftsansvarige, personuppgiftsbiträdet eller mottagaren av personuppgifterna i tredjelandet eller den internationella organisationen, eller

b)bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ vilka inbegriper verkställbara och faktiska rättigheter för registrerade.

4.Tillsynsmyndigheten ska tillämpa den mekanism för enhetlighet som avses i artikel 63 i de fall som avses i punkt 3 i den här artikeln.

5.Tillstånd från en medlemsstat eller tillsynsmyndighet på grundval av artikel 26.2 i direktiv 95/46/EG ska förbli giltigt tills det, vid behov, ändrats, ersatts eller upphävts av den tillsynsmyndigheten. De beslut som fattas av kommissionen på grundval av artikel 26.4 i direktiv 95/46/EG ska förbli i kraft tills de, vid behov, ändrats, ersatts eller upphävts av ett kommissionsbeslut som antagits i enlighet med punkt 2 i den här artikeln.

Artikel 47

Bindande företagsbestämmelser

1. Den behöriga tillsynsmyndigheten ska godkänna bindande företagsbestämmelser i enlighet med den mekanism för enhetlighet som föreskrivs i artikel 63 under förutsättning att de

a)är rättslig bindande, tillämpas på, och verkställs av alla delar som berörs inom den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet, inklusive deras anställda,

282

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/63

 

 

 

 

b)innehåller uttryckliga bestämmelser om de registrerades lagstadgade rättigheter när det gäller behandlingen av deras personuppgifter, och

c)uppfyller villkoren i punkt 2.

2.De bindande företagsbestämmelser som avses i punkt 1 ska närmare ange åtminstone följande:

a)struktur och kontaktuppgifter för den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet och för var och en av dess medlemmar,

b)vilka överföringar eller uppsättningar av överföringar av uppgifter som omfattas, inklusive kategorierna av personuppgifter, typen av behandling och dess ändamål, den typ av registrerade som berörs samt vilket eller vilka tredjeländer som avses,

c)bestämmelsernas rättsligt bindande natur, såväl internt som externt,

d)tillämpningen av allmänna principer för dataskydd, särskilt avgränsning av syften, uppgiftsminimering, begränsade lagringsperioder, datakvalitet, inbyggt dataskydd och dataskydd som standard, rättslig grund för behandling, behandling av särskilda kategorier av personuppgifter, åtgärder för att säkerställa datasäkerhet och villkoren när det gäller vidare överföring av uppgifter till organ som inte är bundna av bindande företagsbestämmelser,

e)de registrerades rättigheter avseende behandling och medlen för att utöva dessa rättigheter, inklusive rätten att inte bli föremål för beslut grundade enbart på automatisk behandling, inklusive profilering, enligt artikel 22, rätten att inge klagomål till den behöriga tillsynsmyndigheten och till behöriga domstolar i medlemsstaterna enligt artikel 79, rätten till prövning samt i förekommande fall rätten till kompensation för överträdelse av de bindande företagsbe­ stämmelserna,

f)att den personuppgiftsansvarige eller personuppgiftsbiträdet som är etablerad inom en medlemsstats territorium tar på sig ansvaret om en berörd enhet som inte är etablerad inom unionen bryter mot de bindande företagsbestäm­ melserna; den personuppgiftsansvarige eller personuppgiftsbiträdet får helt eller delvis undantas från denna skyldighet endast på villkor att det kan visas att den berörda enheten i företagsgruppen inte kan hållas ansvarig för den skada som har uppkommit,

g)hur de registrerade ska informeras om innehållet i de bindande företagsbestämmelserna, särskilt de bestämmelser som avses i leden d, e och f i denna punkt utöver den information som avses i artiklarna 13 och 14,

h)uppgifterna för varje dataskyddsombud som utsetts i enlighet med artikel 37, eller varje annan person eller enhet med ansvar för kontrollen av att de bindande företagsbestämmelserna följs inom den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet, samt i fråga om utbildning och hantering av klagomål,

i)förfaranden för klagomål,

j)rutinerna inom den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet för att kontrollera att de bindande företagsreglerna följs; sådana rutiner ska inbegripa dataskyddstillsyn och metoder för att säkerställa korrigerande åtgärder för att skydda de registrerades rättigheter; resultaten av sådana kontroller bör meddelas den person eller enhet som avses i led h och styrelsen i det kontrollerande företaget i koncernen eller gruppen av företag som deltar i gemensam ekonomisk verksamhet, och bör på begäran vara tillgänglig för den behöriga tillsynsmyndig­ heten,

k)rutinerna för att rapportera och dokumentera ändringar i bestämmelserna, samt rutinerna för att rapportera dessa ändringar till tillsynsmyndigheten,

l)rutinerna för att samarbeta med tillsynsmyndigheten i syfte att se till att alla medlemmar i den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet följer reglerna, särskilt genom att meddela tillsynsmyndig­ heten resultaten av kontroller av de åtgärder som avses i led j,

m)rutinerna för att till den behöriga tillsynsmyndigheten rapportera alla rättsliga krav som en medlem i koncernen eller gruppen av företag som deltar i gemensam ekonomisk verksamhet är underkastad i ett tredjeland och som sannolikt kommer att ha en avsevärd negativ inverkan på de garantier som ges genom de bindande företagsbestämmelserna, och

n)lämplig utbildning om dataskydd för personal som har ständig eller regelbunden tillgång till personuppgifter.

283

Prop. 2017/18:218

Bilaga 1

L 119/64

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

3. Kommissionen får närmare ange vilket format och vilka rutiner som ska användas för de personuppgiftsansvarigas, personuppgiftsbiträdenas och tillsynsmyndigheternas utbyte av information om bindande företagsbestämmelser i den mening som avses i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

Artikel 48

Överföringar och utlämnanden som inte är tillåtna enligt unionsrätten

Domstolsbeslut eller beslut från myndigheter i tredjeland där det krävs att en personuppgiftsansvarig eller ett personupp­ giftsbiträde överför eller lämnar ut personuppgifter får erkännas eller genomföras på något som helst sätt endast om det grundar sig på en internationell överenskommelse, såsom ett avtal om ömsesidig rättslig hjälp, som gäller mellan det begärande tredjelandet och unionen eller en medlemsstat, utan att detta påverkar andra grunder för överföring enligt detta kapitel.

Artikel 49

Undantag i särskilda situationer

1. Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 45.3, eller om lämpliga skyddsåtgärder enligt artikel 46, inbegripet bindande företagsbestämmelser, får en överföring eller uppsättning av överföringar av personuppgifter till ett tredjeland eller en internationell organisation endast ske om något av följande villkor är uppfyllt:

a)Den registrerade har uttryckligen samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de eventuella riskerna med sådana överföringar för den registrerade när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.

b)Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran.

c)Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den personuppgiftsansvarige och en annan fysisk eller juridisk person i den registrerades intresse.

d)Överföringen är nödvändig av viktiga skäl som rör allmänintresset.

e)Överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

f)Överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

g)Överföringen görs från ett register som enligt unionsrätten eller medlemsstaternas nationella rätt är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, men endast i den utsträckning som de i unionsrätten eller i medlemsstaternas nationella rätt angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.

När en överföring inte skulle kunna grundas på en bestämmelse i artikel 45 eller 46, inklusive bestämmelserna om bindande företagsbestämmelser, och inget av undantagen för en särskild situation som avses i första stycket i den här punkten är tillämpligt, får en överföring till ett tredjeland eller en internationell organisation äga rum endast omöverföringen inte är repetitiv, endast gäller ett begränsat antal registrerade, är nödvändig för ändamål som rör den personuppgiftsansvariges tvingande berättigade intressen och den registrerades intressen eller rättigheter och friheter inte väger tyngre, och den personuppgiftsansvarige har bedömt samtliga omständigheter kring överföringen av uppgifter och på grundval av denna bedömning vidtagit lämpliga skyddsåtgärder för att skydda personuppgifter. Den personuppgift­ sansvarige ska informera tillsynsmyndigheten om överföringen. Den personuppgiftsansvarige ska utöver tillhanda­ hållande av den information som avses i artiklarna 13 och 14 informera den registrerade om överföringen och om de tvingande berättigade intressen som eftersträvas.

2. En överföring enligt led g i punkt 1 första stycket får inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.

284

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/65

 

 

 

 

3.Leden a, b och c i punkt 1 första stycket samt andra stycket i samma punkt ska inte gälla åtgärder som vidtas av offentliga myndigheter som ett led i myndighetsutövning.

4.Det allmänintresse som avses i led d i punkt 1 första stycket ska vara erkänt i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av.

5.Saknas beslut om adekvat skyddsnivå, får unionsrätten eller medlemsstaternas nationella rätt med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av personuppgifter till ett tredjeland eller en internationell organisation. Medlemsstaterna ska underrätta kommissionen om sådana bestämmelser.

6.Den personuppgiftsansvarige eller personuppgiftsbiträdet ska bevara uppgifter både om bedömningen och om de lämpliga skyddsåtgärder som avses i punkt 1 andra stycket i den här artikeln i det register som avses i artikel 30.

Artikel 50

Internationellt samarbete för skydd av personuppgifter

När det gäller tredjeländer och internationella organisationer ska kommissionen och tillsynsmyndigheterna vidta lämpliga åtgärder för att

a)utveckla rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om skydd av personuppgifter,

b)på internationell nivå erbjuda ömsesidigt bistånd för en effektiv tillämpning av lagstiftningen om skydd av personuppgifter, bland annat genom underrättelse, hänskjutande av klagomål, bistånd vid utredningar samt informationsutbyte, med iakttagande av lämpliga skyddsåtgärder för personuppgifter samt skyddet av andra grundläggande rättigheter och friheter,

c)involvera berörda aktörer i diskussioner och åtgärder som syftar till att öka det internationella samarbetet när det gäller tillämpningen av lagstiftningen om skydd av personuppgifter,

d)främja utbyte och dokumentation om lagstiftning och praxis för skydd av personuppgifter, inklusive avseende behörighetskonflikter med tredjeländer.

KAPITEL VI

Oberoende tillsynsmyndigheter

Avsnitt 1

Oberoende ställning

Artikel 51

Tillsynsmyndighet

1.Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen (nedan kallad tillsynsmyndighet).

2.Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning av denna förordning i hela unionen. För detta ändamål ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen i enlighet med kapitel VII.

3.Om det finns fler än en tillsynsmyndighet i en medlemsstat ska medlemsstaten utse den tillsynsmyndighet som ska företräda dessa myndigheter i styrelsen; medlemsstaten ska också upprätta en rutin för att se till att övriga myndigheter följer reglerna för den mekanism för enhetlighet som avses i artikel 63.

4.Varje medlemsstat ska senast den 25 maj 2018 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med detta kapitel, och alla framtida ändringar som rör dessa bestämmelser ska anmälas utan dröjsmål.

285

Prop. 2017/18:218

Bilaga 1

L 119/66

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

Artikel 52

Oberoende

1.Varje tillsynsmyndighet ska vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med denna förordning.

2.Varje tillsynsmyndighets ledamot eller ledamöter ska i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med denna förordning stå fria från utomstående påverkan, direkt såväl som indirekt, och får varken begära eller ta emot instruktioner av någon.

3.Tillsynsmyndighetens ledamöter ska avhålla sig från alla handlingar som är oförenliga med deras skyldigheter och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i strid med deras tjänsteutövning.

4.Varje medlemsstat ska säkerställa att varje tillsynsmyndighet förfogar över de personella, tekniska och finansiella resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utföra sina uppgifter och utöva sina befogenheter, inklusive inom ramen för det ömsesidiga biståndet, samarbetet och deltagandet i styrelsens verksamhet.

5.Varje medlemsstat ska säkerställa att varje tillsynsmyndighet väljer och förfogar över egen personal, som ska ta instruktioner uteslutande från den berörda tillsynsmyndighetens ledamot eller ledamöter.

6.Varje medlemsstat ska säkerställa att varje tillsynsmyndighet blir föremål för finansiell kontroll, utan att detta påverkar tillsynsmyndighetens oberoende och att de förfogar över en separat, offentlig årsbudget som kan ingå i den övergripande statsbudgeten eller nationella budgeten.

Artikel 53

Allmänna villkor för tillsynsmyndighetens ledamöter

1. Medlemsstaterna ska föreskriva att varje ledamot av deras tillsynsmyndigheter ska utnämnas genom ett genom ett öppet förfarande med insyn av

deras parlament,

deras regering,

deras statschef, eller

ett oberoende organ som genom medlemsstatens nationella rätt anförtrotts utnämningen.

2.Varje ledamot ska ha de kvalifikationer, den erfarenhet och den kompetens, särskilt på området skydd av personuppgifter, som krävs för att ledamoten ska kunna utföra sitt uppdrag och utöva sina befogenheter.

3.En ledamots uppdrag ska upphöra då mandattiden löper ut eller om ledamoten avgår eller avsätts från sin tjänst i enlighet med den berörda medlemsstatens nationella rätt.

4.En ledamot får avsättas endast på grund av grov försummelse eller när ledamoten inte längre uppfyller de villkor som krävs för att utföra uppdraget.

Artikel 54

Regler för inrättandet av en tillsynsmyndighet

1. Varje medlemsstat ska fastställa följande i lag:

a) Varje tillsynsmyndighets inrättande.

286

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/67

 

 

 

 

b)De kvalifikationer och de villkor för lämplighet som krävs för att någon ska kunna utnämnas till ledamot av en tillsynsmyndighet.

c)Regler och förfaranden för att utse varje tillsynsmyndighets ledamot eller ledamöter.

d)Mandattiden för varje tillsynsmyndighets ledamot eller ledamöter, vilken inte får understiga fyra år, utom vid tillsättandet av de första ledamöterna efter den 24 maj 2016, då ett stegvis tillsättningsförfarande med kortare perioder för några av ledamöterna får tillämpas om detta är nödvändigt för att säkerställa myndighetens oberoende.

e)Huruvida varje tillsynsmyndighets ledamot eller ledamöter får ges förnyat mandat, och om så är fallet, för hur många perioder.

f)Vilka villkor som gäller för de skyldigheter som varje tillsynsmyndighets ledamot eller ledamöter och personal har, förbud mot handlingar, yrkesverksamhet och förmåner som står i strid därmed under och efter mandattiden och vilka bestämmelser som gäller för anställningens upphörande.

2. Varje tillsynsmyndighets ledamot eller ledamöter och personal ska i enlighet med unionsrätten eller medlemsstaternas nationella rätt omfattas av tystnadsplikt både under och efter sin mandattid vad avser konfidentiell information som de fått kunskap om under utförandet av deras uppgifter eller utövandet av deras befogenheter. Under mandatperioden ska denna tystnadsplikt i synnerhet gälla rapportering från fysiska personer om överträdelser av denna förordning.

Avsnitt 2

Behörighet, uppgifter och befogenheter

Artikel 55

Behörighet

1.Varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt denna förordning inom sin egen medlemsstats territorium.

2.Om behandling utförs av myndigheter eller privata organ som agerar på grundval av artikel 6.1 c eller e ska tillsynsmyndigheten i den berörda medlemsstaten vara behörig. I sådana fall ska artikel 56 inte tillämpas.

3.Tillsynsmyndigheterna ska inte vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet.

Artikel 56

Den ansvariga tillsynsmyndighetens behörighet

1. Utan att det påverkar tillämpningen av artikel 55 ska tillsynsmyndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller enda verksamhetsställe vara behörig att agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling i enlighet med det förfarande som föreskrivs i artikel 60.

2.Genom undantag från punkt 1 ska varje tillsynsmyndighet vara behörig att behandla ett klagomål som lämnats in till denna eller en eventuell överträdelse av denna förordning, om sakfrågan i ärendet endast rör ett verksamhetsställe i medlemsstaten eller i väsentlig grad påverkar registrerade endast i medlemsstaten.

3.I de fall som avses i punkt 2 i den här artikeln ska tillsynsmyndigheten utan dröjsmål informera den ansvariga tillsynsmyndigheten om detta ärende. Inom tre veckor från det att den underrättats ska den ansvariga tillsynsmyndighe­ ten besluta huruvida den kommer att behandla ärendet i enlighet med det förfarande som föreskrivs i artikel 60, med hänsyn till huruvida den personuppgiftsansvarige eller personuppgiftsbiträdet har eller inte har ett verksamhetsställe som är beläget i den medlemsstat där den tillsynsmyndighet som lämnat informationen är belägen.

287

Prop. 2017/18:218

Bilaga 1

L 119/68

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

4.Om den ansvariga tillsynsmyndigheten beslutar att behandla ärendet ska det ske i enlighet med det förfarande som föreskrivs i artikel 60. Den tillsynsmyndighet som underrättade den ansvariga tillsynsmyndigheten får lämna in ett utkast till beslut till den ansvariga tillsynsmyndigheten. Den ansvariga tillsynsmyndigheten ska ta största möjliga hänsyn till detta utkast till beslut när det utarbetar det utkast till beslut som avses i artikel 60.3.

5.Om den ansvariga tillsynsmyndigheten beslutar att inte behandla ärendet ska den tillsynsmyndighet som underrättade den ansvariga tillsynsmyndigheten behandla ärendet i enlighet med artiklarna 61 och 62.

6.Den ansvariga tillsynsmyndigheten ska vara den personuppgiftsansvariges eller personuppgiftsbiträdets enda motpart när det gäller den registreringsansvariges eller den personuppgiftsbiträdets gränsöverskridande behandling.

Artikel 57

Uppgifter

1. Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska varje tillsynsmyndighet på sitt territorium ansvara för följande:

a)Övervaka och verkställa tillämpningen av denna förordning.

b)Öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn.

c)I enlighet med medlemsstatens nationella rätt ge rådgivning åt det nationella parlamentet, regeringen och andra institutioner och organ om lagstiftningsåtgärder och administrativa åtgärder rörande skyddet av fysiska personers rättigheter och friheter när det gäller behandling.

d)Öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt denna förordning.

e)På begäran tillhandahålla information till registrerade om hur de ska utöva sina rättigheter enligt denna förordning, och om så krävs samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål.

f)Behandla klagomål från en registrerad eller från ett organ, en organisation eller en sammanslutning enligt artikel 80, och där så är lämpligt undersöka den sakfråga som klagomålet gäller och inom rimlig tid underrätta den enskilde om hur undersökningen fortskrider och om resultatet, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet.

g)Samarbeta, inbegripet utbyta information, med och ge ömsesidigt bistånd till andra tillsynsmyndigheter för att se till att denna förordning tillämpas och verkställs på ett enhetligt sätt.

h)Utföra undersökningar om tillämpningen av denna förordning, inbegripet på grundval av information som erhålls från en annan tillsynsmyndighet eller annan myndighet.

i)Följa sådan utveckling som påverkar skyddet av personuppgifter, bland annat inom informations- och kommunika­ tionsteknik och affärspraxis.

j)Anta sådana standardavtalsklausuler som avses i artiklarna 28.8 och 46.2 d.

k)Upprätta och föra en förteckning när det gäller kravet på en konsekvensbedömning avseende dataskydd enligt artikel 35.4.

l)Ge råd om behandling av personuppgifter enligt artikel 36.2.

m)Främja framtagande av uppförandekoder enligt artikel 40.1 samt yttra sig över och godkänna sådana uppförandekoder som tillhandahåller tillräckliga garantier, i enlighet med artikel 40.5.

n)Uppmuntra till inrättandet av certifieringsmekanismer för dataskydd och av sigill och märkningar för dataskydd i enlighet med artikel 42.1 samt godkänna certifieringskriterierna i enlighet med artikel 42.5.

o)I tillämpliga fall genomföra en periodisk översyn av certifieringar som utfärdats i enlighet med artikel 42.7.

288

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/69

 

 

 

 

p)Utarbeta och offentliggöra kriterier för ackreditering av ett organ för övervakning av uppförandekoder enligt artikel 41 och ett certifieringsorgan enligt artikel 43.

q) Ackreditera ett organ för övervakning av uppförandekoder enligt artikel 41 och ett certifieringsorgan enligt artikel 43.

r)Godkänna sådana avtalsklausuler och bestämmelser som avses i artikel 46.3.

s)Godkänna sådana bindande företagsbestämmelser som avses i artikel 47.

t)Bidra till styrelsens verksamhet.

u)Hålla arkiv över överträdelser av denna förordning och åtgärder som vidtagits i enlighet med artikel 58.2.

v)Utföra eventuella andra uppgifter som rör skyddet av personuppgifter.

2.Varje tillsynsmyndighet ska underlätta inlämningen av klagomål enligt punkt 1 f genom åtgärder såsom ett särskilt formulär för ändamålet, vilket också kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts.

3.Utförandet av alla tillsynsmyndigheters uppgifter ska vara avgiftsfritt för den registrerade och, i tillämpliga fall, för dataskyddsombudet.

4.Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva karaktär, får tillsynsmyn­ digheten ta ut en rimlig avgift grundad på de administrativa kostnaderna eller vägra att tillmötesgå begäran. Det åligger tillsynsmyndigheten att visa att begäran är uppenbart ogrundad eller orimlig.

Artikel 58

Befogenheter

1.Varje tillsynsmyndighet ska ha samtliga följande utredningsbefogenheter

a)Beordra den personuppgiftsansvarige eller personuppgiftsbiträdet, och i tillämpliga fall den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare, att lämna all information som myndigheten behöver för att kunna fullgöra sina uppgifter.

b)Genomföra undersökningar i form av dataskyddstillsyn.

c)Genomföra en översyn av certifieringar som utfärdats i enlighet med artikel 42.7.

d)Meddela den personuppgiftsansvarige eller personuppgiftsbiträdet om en påstådd överträdelse av denna förordning.

e)Från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter och all information som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter.

f)Få tillträde till alla lokaler som tillhör den personuppgiftsansvarige och personuppgiftsbiträdet, inbegripet tillgång till all utrustning och alla andra medel för behandling av personuppgifter i överensstämmelse med unionens processrätt eller medlemsstaternas nationella processrätt.

2.Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter

a)Utfärda varningar till en personuppgiftsansvarig eller personuppgiftsbiträdet om att planerade behandlingar sannolikt kommer att bryta mot bestämmelserna i denna förordning.

b)Utfärda reprimander till en personuppgiftsansvarig eller personuppgiftsbiträdet om behandling bryter mot bestämmelserna i denna förordning.

c)Förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att tillmötesgå den registrerades begäran att få utöva sina rättigheter enligt denna förordning.

289

Prop. 2017/18:218

Bilaga 1

L 119/70

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

d)Förelägga en personuppgiftsansvarig eller ett personuppgiftsbiträde att se till att behandlingen sker i enlighet med bestämmelserna i denna förordning och om så krävs på ett specifikt sätt och inom en specifik period,

e)Förelägga den personuppgiftsansvarige att meddela den registrerade att en personuppgiftsincident har inträffat.

f)Införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling.

g)Förelägga om rättelse eller radering av personuppgifter samt begränsning av behandling enligt artiklarna 16, 17 och 18 och underrätta mottagare till vilka personuppgifterna har lämnats ut om dessa åtgärder enligt artiklarna 17.2 och 19.

h)Återkalla en certifiering eller beordra certifieringsorganet att återkalla en certifiering som utfärdats enligt artikel 42 eller 43, eller beordra certifieringsorganet att inte utfärda certifiering om kraven för certifiering inte eller inte längre uppfylls.

i)Påföra administrativa sanktionsavgifter i enlighet med artikel 83 utöver eller i stället för de åtgärder som avses i detta stycke, beroende på omständigheterna i varje enskilt fall.

j)Förelägga om att flödet av uppgifter till en mottagare i tredje land eller en internationell organisation ska avbrytas.

3.Varje tillsynsmyndighet ska ha samtliga följande befogenheter att utfärda tillstånd och att ge råd:

a)Ge råd till den personuppgiftsansvarige i enlighet med det förfarande för förhandssamråd som avses i artikel 36.

b)På eget initiativ eller på begäran avge yttranden till det nationella parlamentet, medlemsstatens regering eller, i enlighet med medlemsstatens nationella rätt, till andra institutioner och organ samt till allmänheten, i frågor som rör skydd av personuppgifter.

c)Ge tillstånd till behandling enligt artikel 36.5 om medlemsstatens rätt kräver ett sådant förhandstillstånd.

d)Avge ett yttrande om och godkänna utkast till uppförandekoder enligt artikel 40.5.

e)Ackreditera certifieringsorgan i enlighet med artikel 43.

f)Utfärda certifieringar och godkänna kriterier för certifiering i enlighet med artikel 42.5.

g)Anta standardiserade dataskyddsbestämmelser enligt artiklarna 28.8 och 46.2 d.

h)Godkänna avtalsklausuler enligt artikel 46.3 a.

i)Godkänna administrativa överenskommelser enligt artikel 46.3 b.

j)Godkänna bindande företagsbestämmelser enligt artikel 47.

4.Utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas nationella rätt i enlighet med stadgan.

5.Varje medlemsstat ska i lagstiftning fastställa att dess tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och vid behov att inleda eller på övrigt vis delta i rättsliga förfaranden, för att verkställa bestämmelserna i denna förordning.

6.Varje medlemsstat får i lagstiftning föreskriva att dess tillsynsmyndighet ska ha ytterligare befogenheter utöver dem som avses i punkterna 1, 2 och 3. Utövandet av dessa befogenheter ska inte påverka den effektiva tillämpningen av kapitel VII.

Artikel 59

Verksamhetsrapporter

Varje tillsynsmyndighet ska upprätta en årlig rapport om sin verksamhet, vilken kan omfatta en förteckning över typer av anmälda överträdelser och typer av åtgärder som vidtagits i enlighet med artikel 58.2. Rapporterna ska översändas till det nationella parlamentet, regeringen och andra myndigheter som utsetts genom medlemsstatens nationella rätt. De ska göras tillgängliga för allmänheten, kommissionen och styrelsen.

290

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/71

 

 

 

 

KAPITEL VII

Samarbete och enhetlighet

Avsnitt 1

Samarbete

Artikel 60

Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna

1.Den ansvariga tillsynsmyndigheten ska samarbeta med de andra berörda tillsynsmyndigheterna i enlighet med denna artikel i en strävan att uppnå samförstånd. Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheter­ na ska utbyta all relevant information med varandra.

2.Den ansvariga tillsynsmyndigheten får när som helst begära att andra berörda tillsynsmyndigheter ger ömsesidigt bistånd i enlighet med artikel 61 och får genomföra gemensamma insatser i enlighet med artikel 62, i synnerhet för att utföra utredningar eller övervaka genomförandet av en åtgärd som avser en personuppgiftsansvarig eller ett personupp­ giftsbiträde som är etablerad i en annan medlemsstat.

3.Den ansvariga tillsynsmyndigheten ska utan dröjsmål meddela de andra berörda tillsynsmyndigheterna den relevanta informationen i ärendet. Den ska utan dröjsmål lägga fram ett utkast till beslut för de andra berörda tillsyns­ myndigheterna så att de kan avge ett yttrande och ta vederbörlig hänsyn till deras synpunkter.

4.Om någon av de andra berörda tillsynsmyndigheterna inom en period av fyra veckor efter att de har rådfrågats i enlighet med punkt 3 i den här artikeln uttrycker en relevant och motiverad invändning mot utkastet till beslut ska den ansvariga tillsynsmyndigheten, om den inte instämmer i den relevanta och motiverade invändningen eller anser att

invändningen inte är relevant eller motiverad, överlämna ärendet till den mekanism för enhetlighet som avses i artikel 63.

5.Om den ansvariga tillsynsmyndigheten avser att följa den relevanta och motiverade invändningen ska den till de andra berörda tillsynsmyndigheterna överlämna ett reviderat utkast till beslut så att de kan avge ett yttrande. Detta reviderade utkast till beslut ska omfattas av det förfarande som avses i punkt 4 inom en period av två veckor.

6.Om ingen av de andra berörda tillsynsmyndigheterna har gjort invändningar mot det utkast till beslut som den ansvariga tillsynsmyndigheten har lagt fram inom den period som avses i punkterna 4 och 5 ska den ansvariga tillsyns­ myndigheten och de berörda tillsynsmyndigheterna anses samtycka till detta utkast till beslut och ska vara bundna av det.

7.Den ansvariga tillsynsmyndigheten ska anta och meddela beslutet till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda verksamhetsställe, allt efter omständigheterna, och underrätta de andra berörda tillsynsmyndigheterna och styrelsen om beslutet i fråga, inbegripet en sammanfattning av relevanta fakta och en relevant motivering. Den tillsynsmyndighet till vilken ett klagomål har lämnats in ska underrätta den enskilde om beslutet.

8.Om ett klagomål avvisas eller avslås ska den tillsynsmyndighet till vilken klagomålet lämnades in, genom undantag från punkt 7, anta beslutet och meddela den enskilde samt informera den personuppgiftsansvarige.

9.Om den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna är överens om att avvisa eller avslå delar av ett klagomål och att vidta åtgärder beträffande andra delar av klagomålet ska ett separat beslut antas för var och en av dessa delar av frågan. Den ansvariga tillsynsmyndigheten ska anta beslutet om den del som gäller åtgärder som avser den personuppgiftsansvarige och meddela det till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda verksamhetsställe på medlemsstatens territorium och underrätta den enskilde om detta, medan den enskildes tillsynsmyndighet ska anta beslutet för den del som gäller avvisande av eller avslag på klagomålet och meddela det till den enskilde och underrätta den personuppgiftsansvarige eller personuppgiftsbiträdet om detta.

10.Efter att den personuppgiftsansvarige eller personuppgiftsbiträdet har meddelats om den ansvariga myndighetens beslut i enlighet med punkterna 7 och 9 ska den personuppgiftsansvarige eller personuppgiftsbiträdet vidta nödvändiga åtgärder för att se till att beslutet efterlevs vad gäller behandling med koppling till alla deras verksamhetsställen i unionen. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska meddela den ansvariga tillsynsmyndigheten vilka åtgärder som har vidtagits för att efterleva beslutet, och den ansvariga tillsynsmyndigheten ska informera de andra berörda tillsynsmyndigheterna.

291

Prop. 2017/18:218

Bilaga 1

L 119/72

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

11.Om en berörd tillsynsmyndighet under exceptionella omständigheter har skäl att anse att det finns ett brådskande behov av att agera för att skydda registrerades intressen ska det skyndsamma förfarande som avses i artikel 66 tillämpas.

12.Den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna ska förse varandra med den information som krävs enligt denna artikel på elektronisk väg med användning av ett standardiserat format.

Artikel 61

Ömsesidigt bistånd

1.Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning på ett enhetligt sätt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Det ömsesidiga biståndet ska i synnerhet omfatta begäranden om information och tillsynsåtgärder, till exempel begäranden om utförande av förhandstillstånd och förhandssamråd, inspektioner och utredningar.

2.Varje tillsynsmyndighet ska vidta lämpliga åtgärder som krävs för att besvara en begäran från en annan tillsynsmyndighet utan onödigt dröjsmål och inte senare än en månad efter det att den tagit emot begäran. Till sådana åtgärder hör bland annat att översända relevant information om genomförandet av en pågående utredning.

3.En begäran om bistånd ska innehålla all nödvändig information, inklusive syftet med begäran och skälen till denna. Information som utbytts får endast användas för det syfte för vilket den har begärts.

4.Den tillsynsmyndighet som tar emot en begäran får endast vägra att tillmötesgå begäran om

a)den inte är behörig att behandla den sakfråga som begäran avser eller de åtgärder som det begärs att den ska utföra, eller

b)det skulle stå i strid med denna förordning eller unionsrätten eller den nationella rätt i en medlemsstat som tillsyns­ myndigheten omfattas av att tillmötesgå begäran.

5.Den tillsynsmyndighet som tagit emot begäran ska meddela den myndighet som begäran kommer ifrån om resultatet eller, allt efter omständigheterna, om hur de åtgärder som vidtagits för att tillmötesgå begäran fortskrider. Den tillsynsmyndighet som tagit emot begäran ska redogöra för sina skäl för att vägra tillmötesgå begäran i enlighet med punkt 4.

6.Den tillsynsmyndighet som tar emot en begäran ska som regel tillhandahålla den information som begärts av andra tillsynsmyndigheter på elektronisk väg med användning av ett standardiserat format.

7.Tillsynsmyndigheter som tar emot en begäran får inte ta ut någon avgift för åtgärder som vidtagits av dem till följd av en begäran om ömsesidigt bistånd. Tillsynsmyndigheter får i undantagsfall komma överens med andra tillsynsmyn­ digheter om regler för ersättning från varandra för vissa utgifter i samband med tillhandahållande av ömsesidigt bistånd.

8.Om en tillsynsmyndighet inte tillhandahåller den information som avses i punkt 5 i denna artikel inom en månad efter det att den erhållit begäran från en annan tillsynsmyndighet får den begärande myndigheten anta en provisorisk åtgärd på sin medlemsstats territorium i enlighet med artikel 55.1. I detta fall ska det brådskande behov av att agera

enligt artikel 66.1 anses vara uppfyllt och kräva ett brådskande bindande beslut från styrelsen i enlighet med artikel 66.2.

9. Kommissionen får genom genomförandeakter närmare ange format och förfaranden för sådant ömsesidigt bistånd som avses i denna artikel samt formerna för elektronisk överföring av information tillsynsmyndigheter emellan, samt mellan tillsynsmyndigheter och styrelsen, i synnerhet det standardiserade format som avses i punkt 6 i den här artikeln. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

Artikel 62

Tillsynsmyndigheters gemensamma insatser

1. Tillsynsmyndigheter ska vid behov genomföra gemensamma insatser, inbegripet gemensamma utredningar och gemensamma verkställighetsåtgärder i vilka ledamöter eller personal från andra medlemsstaters tillsynsmyndigheter deltar.

292

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/73

 

 

 

 

2.Om den personuppgiftsansvarige eller personuppgiftsbiträdet har verksamhetsställen i flera medlemsstater eller om ett betydande antal registrerade personer i mer än en medlemsstat sannolikt kommer att påverkas i väsentlig grad av att uppgifter behandlas, ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i de gemensamma insatserna. Den tillsynsmyndighet som är behörig enligt artikel 56.1 eller 56.4 ska bjuda in tillsynsmyndigheterna i var och en av de berörda medlemsstaterna att delta i de gemensamma insatserna och ska utan dröjsmål svara på en annan tillsynsmyndighets begäran att få delta.

3.En tillsynsmyndighet får, i enlighet med medlemsstatens nationella rätt och efter godkännande från ursprung­ slandets tillsynsmyndighet, tilldela befogenheter, inklusive utredningsbefogenheter, till ledamöter eller personal från ursprungslandets tillsynsmyndighet som deltar i gemensamma insatser eller, i den mån lagstiftningen i den medlemsstat som är värdland för tillsynsmyndigheten tillåter detta, medge att ursprungslandets tillsynsmyndighets ledamöter eller personal utövar utredningsbefogenheter enligt lagstiftningen i ursprungslandets tillsynsmyndighets medlemsstat. Sådana utredningsbefogenheter får endast utövas under vägledning och i närvaro av ledamöter eller personal från värdlandets tillsynsmyndighet. Ledamöter och personal från ursprungslandets tillsynsmyndighet ska omfattas av den medlemsstats nationella rätt som gäller för värdlandets tillsynsmyndighet.

4.Om personal från ursprungslandets tillsynsmyndighet verkar i en annan medlemsstat i enlighet med punkt 1 ska värdtillsynsmyndighetens medlemsstat ansvara för deras handlingar, vilket inbegriper ansvar för skador som personalen vållar i samband med insatserna, i enlighet med rätten i den medlemsstat på vars territorium personalen verkar.

5.Den medlemsstat på vars territorium skadorna förorsakades ska ersätta sådana skador enligt de villkor som gäller för skador som förorsakas av dess egen personal. Den medlemsstat vars tillsynsmyndighets tjänstemän har orsakat en person skada på någon annan medlemsstats territorium ska fullt ut ersätta den andra medlemsstaten för det belopp som denna har betalat ut till den personens rättsinnehavare.

6.Utan att det påverkar rättigheterna gentemot tredje man och tillämpningen av punkt 5, ska varje medlemsstat i de fall som nämns i punkt 1 avstå från att kräva ersättning från en annan medlemsstat för skador som avses i punkt 4.

7.Om en gemensam insats planeras och en tillsynsmyndighet inte inom en månad har uppfyllt sin skyldighet enligt punkt 2 i den här artikeln, andra meningen får övriga tillsynsmyndigheter anta provisoriska åtgärder på sina respektive medlemsstaters territorium i enlighet med artikel 55. I detta fall ska det brådskande behov av att agera enligt artikel 66.1 anses vara uppfyllt och kräva ett yttrande eller ett brådskande bindande beslut från styrelsen i enlighet med artikel 66.2.

Avsnitt 2

Enhetlighet

Artikel 63

Mekanism för enhetlighet

För att bidra till en enhetlig tillämpning av denna förordning i hela unionen ska tillsynsmyndigheterna samarbeta med varandra och, i förekommande fall, med kommissionen, genom den mekanism för enhetlighet som föreskrivs i detta avsnitt.

Artikel 64

Yttrande från Styrelsen

1. Styrelsen ska avge ett yttrande när en behörig tillsynsmyndighet avser att anta någon av åtgärderna nedan. I detta syfte ska den behöriga tillsynsmyndigheten skicka utkastet till beslut till styrelsen när det

a)syftar till att anta en förteckning över behandling som omfattas av kravet på en konsekvensbedömning avseende dataskydd enligt artikel 35.4,

b)rör ett ärende i enlighet med artikel 40.7 om huruvida ett utkast till uppförandekoder eller en ändring eller förlängning av en uppförandekod är förenlig med denna förordning,

293

Prop. 2017/18:218

Bilaga 1

L 119/74

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

c)syftar till att godkänna kriterierna för ackreditering av ett organ enligt artikel 41.3 eller ett certifieringsorgan enligt artikel 43.3,

d)syftar till att fastställa standardiserade dataskyddsbestämmelser enligt artiklarna 46.2 d och 28.8,

e)syftar till att godkänna sådana avtalsklausuler som avses i artikel 46.3 a, eller

f)syftar till att godkänna bindande företagsbestämmelser enligt artikel 47.

2.Varje tillsynsmyndighet, styrelsens ordförande eller kommissionen får i syfte att erhålla ett yttrande begära att styrelsen granskar en fråga med allmän räckvidd eller som har följder i mer än en medlemsstat, i synnerhet om en behörig myndighet inte uppfyller sina skyldigheter i fråga om ömsesidigt bistånd i enlighet med artikel 61 eller i fråga om gemensamma insatser i enlighet med artikel 62.

3.I de fall som avses i punkterna 1 och 2 ska styrelsen avge ett yttrande i den fråga som ingivits till den, förutsatt att den inte redan har avgett ett yttrande i samma fråga. Detta yttrande ska antas med enkel majoritet av styrelsens ledamöter inom åtta veckor. Denna period får förlängas med ytterligare sex veckor med hänsyn till sakfrågans komplexitet. Vad gäller det utkast till beslut som avses i punkt 1 som spridits till styrelsens ledamöter i enlighet med punkt 5, ska en ledamot som inte har gjort invändningar inom en rimlig period som ordföranden angett anses samtycka till utkastet till beslut.

4.Tillsynsmyndigheterna och kommissionen ska utan onödigt dröjsmål i ett standardiserat elektroniskt format till styrelsen översända all relevant information, som allt efter omständigheterna får utgöras av en sammanfattning av sakförhållanden, utkastet till beslut, grunden till att en sådan åtgärd är nödvändig och synpunkter från övriga berörda tillsynsmyndigheter.

5.Styrelsens ordförande ska utan onödigt dröjsmål och på elektronisk väg upplysa

a)styrelsens ledamöter samt kommissionen om all relevant information som meddelats styrelsen i ett standardiserat format; styrelsens sekretariat ska vid behov tillhandahålla översättningar av relevant information; och

b)den tillsynsmyndighet som, allt efter omständigheterna, avses i punkterna 1 och 2 samt kommissionen om yttrandet, och ska också offentliggöra det.

6.Den behöriga tillsynsmyndigheten får inte anta sitt utkast till beslut enligt punkt 1 inom den period som avses i punkt 3.

7.Den tillsynsmyndighet som avses i punkt 1 ska ta största möjliga hänsyn till styrelsens yttrande och ska, inom två veckor efter att yttrandet inkommit, i ett standardiserat elektroniskt format meddela styrelsens ordförande om huruvida den kommer att hålla fast vid eller ändra sitt utkast till beslut, och i förekommande fall översända det ändrade utkastet till beslut.

8.Om den berörda tillsynsmyndigheten underrättar styrelsens ordförande inom den period som avses i punkt 7 i den här artikeln om att den inte avser att följa styrelsens yttrande, helt eller delvis, och tillhandahåller en relevant motivering, ska artikel 65.1 tillämpas.

Artikel 65

Tvistlösning genom styrelsen

1. För att säkerställa en korrekt och enhetlig tillämpning av denna förordning i enskilda fall ska styrelsen anta ett bindande beslut i följande fall:

a)Om en berörd tillsynsmyndighet i ett fall som avses i artikel 60.4 har gjort en relevant och motiverad invändning mot ett utkast till beslut av den ansvariga myndigheten, eller om den ansvariga myndigheten har avslagit denna invändning med motiveringen att den inte var relevant eller motiverad. Det bindande beslutet ska avse alla ärenden som är föremål för den relevanta och motiverade invändningen, särskilt frågan om huruvida det föreligger en överträdelse av denna förordning.

294

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/75

 

 

 

 

b)Om det finns motstridiga åsikter om vilken av de berörda tillsynsmyndigheterna som är behörig för det huvudsakliga verksamhetsstället.

c)Om en behörig tillsynsmyndighet inte begär ett yttrande från styrelsen i de fall som avses i artikel 64.1, eller inte följer ett yttrande som styrelsen avger enligt artikel 64. I detta fall får varje berörd tillsynsmyndighet eller kommissionen översända ärendet till styrelsen.

2.Det beslut som avses i punkt 1 ska antas inom en månad efter det att sakfrågan hänskjutits med två tredjedels majoritet av styrelsens ledamöter. Denna period får förlängas med ytterligare en månad med hänsyn till sakfrågans komplexitet. Det beslut som avses i punkt 1 ska vara motiverat och riktat till den ansvariga tillsynsmyndigheten och alla berörda tillsynsmyndigheter och ska vara bindande för dem.

3.Om styrelsen inte har kunnat anta något beslut inom de perioder som avses i punkt 2 ska den anta sitt beslut inom två veckor efter utgången av den andra månad som avses i punkt 2 med enkel majoritet av styrelsens ledamöter. Om styrelsens ledamöter är delade i frågan ska beslutet antas i enlighet med ordförandens röst.

4.De berörda tillsynsmyndigheterna ska inte anta något beslut om den sakfråga som ingivits till styrelsen i enlighet med punkt 1 under de perioder som avses i punkterna 2 och 3.

5.Styrelsens ordförande ska utan onödigt dröjsmål meddela de berörda tillsynsmyndigheterna det beslut som avses i punkt 1. Kommissionen ska informeras om detta. Beslutet ska utan dröjsmål offentliggöras på styrelsens webbplats efter att tillsynsmyndigheten har meddelat det slutliga beslut som avses i punkt 6.

6.Den ansvariga tillsynsmyndigheten eller, allt efter omständigheterna, den tillsynsmyndighet till vilken klagomålet har ingetts ska anta sitt slutliga beslut på grundval av det beslut som avses i punkt 1 i den här artikeln, utan onödigt dröjsmål och senast en månad efter det att styrelsen har meddelat sitt beslut. Den ansvariga tillsynsmyndigheten eller, allt efter omständigheterna, den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta styrelsen om vilken dag dess slutliga beslut meddelas till den personuppgiftsansvarige respektive personuppgiftsbiträdet och den registrerade. De berörda tillsynsmyndigheternas slutliga beslut ska antas i enlighet med bestämmelserna i artikel 60.7, 60.8 och 60.9. Det slutliga beslutet ska hänvisa till det beslut som avses i punkt 1 i den här artikeln och ska precisera att det beslut som avses i punkt 1 kommer att offentliggöras på styrelsens webbplats i enlighet med punkt 5 i den här artikeln. Det beslut som avses i punkt 1 i den här artikeln ska fogas till det slutliga beslutet.

Artikel 66

Skyndsamt förfarande

1.Under exceptionella omständigheter får en berörd tillsynsmyndighet med avvikelse från den mekanism för enhetlighet som avses i artiklarna 63, 64 och 65 eller det förfarande som avses i artikel 60 omedelbart vidta provisoriska åtgärder avsedda att ha rättsverkan på det egna territoriet och med förutbestämd varaktighet som inte överskrider tre månader, om den anser att det finns ett brådskande behov av att agera för att skydda registrerades rättigheter och friheter. Tillsynsmyndigheten ska utan dröjsmål underrätta de andra berörda tillsynsmyndigheterna, styrelsen och kommissionen om dessa åtgärder och om skälen till att de vidtas.

2.Om en tillsynsmyndighet har vidtagit en åtgärd enligt punkt 1 och anser att definitiva åtgärder skyndsamt måste antas, får den begära ett brådskande yttrande eller ett brådskande bindande beslut från styrelsen; den ska då motivera varför den begär ett sådant yttrande eller beslut.

3.Om en behörig tillsynsmyndighet inte har vidtagit någon lämplig åtgärd i en situation som kräver skyndsam handling för att skydda registrerades rättigheter och friheter, får vilken tillsynsmyndighet som helst begära ett brådskande yttrande eller, i tillämpliga fall, ett brådskande bindande beslut från styrelsen, varvid den ska motivera varför den begär ett sådant yttrande eller beslut och varför åtgärden måste vidtas skyndsamt.

4.Genom undantag från artiklarna 64.3 och 65.2 ska ett brådskande yttrande eller ett brådskande beslut enligt punkterna 2 och 3 i den här artikeln antas inom två veckor med enkel majoritet av styrelsens ledamöter.

295

Prop. 2017/18:218

Bilaga 1

L 119/76

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

Artikel 67

Utbyte av information

Kommissionen får anta genomförandeakter med allmän räckvidd i syfte att närmare ange tillvägagångssätten för elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter och styrelsen, särskilt det standardiserade format som avses i artikel 64.

Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

Avsnitt 3

Europeiska dataskyddsstyrelsen

Artikel 68

Europeiska dataskyddsstyrelsen

1.Europeiska dataskyddsstyrelsen (nedan kallad styrelsen) inrättas härmed som ett unionsorgan och ska ha ställning som juridisk person.

2.Styrelsen ska företrädas av sin ordförande.

3.Styrelsen ska bestå av chefen för en tillsynsmyndighet per medlemsstat och av Europeiska datatillsynsmannen eller deras respektive företrädare.

4.Om en medlemsstat har mer än en tillsynsmyndighet som ansvarar för att övervaka tillämpningen av bestämmelserna i denna förordning ska en gemensam företrädare utses i enlighet med den medlemsstatens nationella rätt.

5.Kommissionen ska ha rätt att delta i styrelsens verksamhet och möten utan rösträtt. Kommissionen ska utse en egen företrädare. Styrelsens ordförande ska underrätta kommissionen om styrelsens verksamhet.

6.I de fall som avses i artikel 65 ska Europeiska datatillsynsmannen endast ha rösträtt i fråga om beslut som rör principer och regler som är tillämpliga på unionens institutioner, organ och byråer, och som i allt väsentligt motsvarar dem i denna förordning.

Artikel 69

Oberoende

1.Styrelsen ska vara oberoende när den fullgör sina uppgifter eller utövar sina befogenheter i enlighet med artiklarna 70 och 71.

2.Utan att detta påverkar kommissionens rätt att lämna en begäran enligt artikel 70.1 b och 70.2 ska styrelsen när den fullgör sina uppgifter eller utövar sina befogenheter varken begära eller ta emot instruktioner av någon.

Artikel 70

Styrelsens uppgifter

1. Styrelsen ska se till att denna förordning tillämpas enhetligt. För detta ändamål ska styrelsen, på eget initiativ eller i förekommande fall på begäran av kommissionen, i synnerhet

a)övervaka och säkerställa korrekt tillämpning av denna förordning i de fall som avses i artiklarna 64 och 65 utan att det påverkar de nationella tillsynsmyndigheternas uppgifter,

296

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/77

 

 

 

 

b)ge kommissionen råd i alla frågor som gäller skydd av personuppgifter inom unionen, inklusive om eventuella förslag till ändring av denna förordning,

c)ge kommissionen råd om format och förfaranden för informationsutbyte mellan personuppgiftsansvariga, personuppgiftsbiträden och tillsynsmyndigheter för bindande företagsbestämmelser,

d)utfärda riktlinjer, rekommendationer och bästa praxis beträffande förfaranden för att radera länkar, kopior eller reproduktioner av personuppgifter från allmänt tillgängliga kommunikationstjänster enligt artikel 17.2,

e)på eget initiativ eller på begäran av en av sina ledamöter eller av kommissionen behandla frågor om tillämpningen av denna förordning och utfärda riktlinjer, rekommendationer och bästa praxis i syfte att främja en enhetlig tillämpning av denna förordning,

f)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange kriterierna och villkoren för profileringsbaserade beslut enligt artikel 22.2,

g)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att konstatera sådana personuppgiftsincidenter och fastställa sådant onödigt dröjsmål som avses i artikel 33.1 och 33.2 och för de särskilda omständigheter under vilka en personuppgiftsansvarig eller ett personuppgiftsbiträde är skyldig att anmäla personuppgiftsincidenten,

h)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt angående de omständigheter under vilka en personuppgiftsincident sannolikt kommer att leda till hög risk för rättigheterna och friheterna för de fysiska personer som avses i artikel 34.1,

i)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange kriterierna och kraven för överföringar av personuppgifter på grundval av bindande företagsbestämmelser som personuppgiftsansvariga eller personuppgiftsbiträden följer samt ytterligare nödvändiga krav för att säkerställa skyddet för personuppgifter för berörda registrerade enligt artikel 47,

j)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange kriterierna och villkoren för överföring av personuppgifter på grundval av artikel 49.1,

k)utforma riktlinjer för tillsynsmyndigheterna i fråga om tillämpningen av de åtgärder som avses i artikel 58.1, 58.2 och 58.3 och fastställandet av administrativa sanktionsavgifter i enlighet med artikel 83,

l)se över den praktiska tillämpningen av de riktlinjer och rekommendationer samt den bästa praxis som avses i leden e och f,

m)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att fastställa gemensamma förfaranden för fysiska personers rapportering av överträdelser av denna förordning enligt artikel 54.2,

n)främja utarbetandet av uppförandekoder och införandet av certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd i enlighet med artiklarna 40 och 42,

o)ackreditera certifieringsorgan och utföra sin periodiska översyn i enlighet med artikel 43 och föra ett offentligt register över ackrediterade organ i enlighet med artikel 43.6 och över de ackrediterade personuppgiftsansvariga eller personuppgiftsbiträdena som är etablerade i tredjeländer i enlighet med artikel 42.7,

p)närmare ange de krav som avses i artikel 43.3 i syfte att ackreditera certifieringsorgan enligt artikel 42,

q)avge ett yttrande till kommissionen om de certifieringskrav som avses i artikel 43.8,

r)avge ett yttrande till kommissionen om de symboler som avses i artikel 12.7,

s)avge ett yttrande till kommissionen för bedömningen av adekvat skyddsnivå i ett tredjeland eller en internationell organisation, inklusive för bedömningen av huruvida ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom det tredjelandet, eller en internationell organisation inte längre säkerställer en adekvat skyddsnivå; i detta syfte ska kommissionen lämna all nödvändig dokumentation till styrelsen, inklusive korrespondens med regeringen i tredjelandet, med avseende på tredjelandet, territoriet eller den specificerade sektorn, eller till databehandlingssektorn i tredjelandet eller den internationella organisationen,

297

Prop. 2017/18:218

Bilaga 1

L 119/78

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

t)avge yttranden om utkast till beslut som läggs fram av tillsynsmyndigheter inom den mekanism för enhetlighet som avses i artikel 64.1, i ärenden som ingivits i enlighet med artikel 64.2 och anta bindande beslut i enlighet med artikel 65, inbegripet de fall som avses i artikel 66,

u)främja samarbete och effektivt bilateralt och multilateralt utbyte av bästa praxis och information mellan tillsynsmyn­ digheterna,

v)främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna och där så är lämpligt även med tillsynsmyndigheter i tredjeländer eller internationella organisationer,

w)främja utbyte av kunskap och dokumentation om lagstiftning om och praxis för dataskydd med tillsynsmyndigheter för dataskydd i hela världen.

x)avge yttranden över de uppförandekoder som utarbetas på unionsnivå i enlighet med artikel 40.9, och

y)föra ett offentligt elektroniskt register över tillsynsmyndigheters beslut och domstolars avgöranden i frågor som hanteras inom mekanismen för enhetlighet.

2.När kommissionen begär rådgivning från styrelsen får den ange en tidsfrist med hänsyn till hur brådskande ärendet

är.

3.Styrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och bästa praxis till kommissionen och till den kommitté som avses i artikel 93, samt offentliggöra dem.

4.När så är lämpligt ska styrelsen samråda med berörda parter och ge dem möjlighet att yttra sig inom rimlig tid. styrelsen ska, utan att det påverkar tillämpningen av artikel 76, offentliggöra resultatet av samrådsförfarandet.

Artikel 71

Rapporter

1.Styrelsen ska sammanställa en årsrapport om skydd av fysiska personer vid behandling inom unionen och, i förekommande fall, i tredjeländer och internationella organisationer. Rapporten ska offentliggöras och översändas till Europaparlamentet, rådet och kommissionen.

2.Årsrapporten ska också innehålla en översikt över den praktiska tillämpningen av de riktlinjer och rekommen­ dationer och den bästa praxis som avses i artikel 70.1 l liksom de bindande beslut som avses i artikel 65.

Artikel 72

Förfarande

1.Styrelsen ska fatta beslut med enkel majoritet av dess ledamöter, om inte annat anges i denna förordning.

2.Styrelsen ska själv anta sin arbetsordning med två tredjedels majoritet av sina ledamöter och fastställa sina arbetsformer.

Artikel 73

Ordförande

1.Styrelsen ska med enkel majoritet välja en ordförande och två vice ordförande bland sina ledamöter.

2.Ordförandens och de vice ordförandenas mandattid ska vara fem år och kunna förnyas en gång.

298

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/79

 

 

 

 

Artikel 74

Ordförandens uppgifter

1.Ordföranden ska ha i uppgift att

a)sammankalla till styrelsens möten och planera dagordningen,

b)meddela beslut som antas av styrelsen i enlighet med artikel 65 till den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna,

c)se till att styrelsens uppgifter fullgörs i tid, särskilt i fråga om den mekanism för enhetlighet som avses i artikel 63.

2.Fördelningen av uppgifter mellan ordföranden och de vice ordförandena ska fastställas i styrelsens arbetsordning.

Artikel 75

Sekretariatet

1.Styrelsen ska förfoga över ett sekretariat som ska tillhandahållas av Europeiska datatillsynsmannen.

2.Sekretariatet ska utföra sina uppgifter enbart under ledning av ordföranden för styrelsen.

3.Den personal vid Europeiska datatillsynsmannen som utför de uppgifter som styrelsen tilldelas genom denna förordning ska följa separata rapporteringsvägar från den personal som utför de uppgifter som Europeiska datatill­ synsmannen tilldelas.

4.När så är lämpligt ska styrelsen och Europeiska datatillsynsmannen fastställa och offentliggöra ett samförståndsavtal för genomförande av denna artikel, som fastställer villkoren för deras samarbete, och som ska tillämpas på den personal vid Europeiska datatillsynsmannen som utför de uppgifter som styrelsen tilldelas genom denna förordning.

5.Sekretariatet ska förse styrelsen med analysstöd samt administrativt och logistiskt stöd.

6.Sekretariatet ska särskilt ansvara för

a)styrelsens löpande arbete,

b)kommunikationen mellan styrelsens ledamöter, dess ordförande och kommissionen,

c)kommunikationen med andra institutioner och med allmänheten,

d)användningen av elektroniska medel för intern och extern kommunikation,

e)översättning av relevant information,

f)förberedelser och uppföljning av styrelsens möten,

g)förberedelse, sammanställning och offentliggörande av yttranden, beslut om lösning av tvister mellan tillsynsmyn­ digheter och andra texter som antas av styrelsen.

Artikel 76

Konfidentialitet

1. Styrelsens överläggningar ska vara konfidentiella i de fall som styrelsen bedömer detta vara nödvändigt, i enlighet med vad som anges i dess arbetsordning.

299

Prop. 2017/18:218

Bilaga 1

L 119/80

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

2. Tillgången till handlingar som skickas till styrelsens ledamöter, till experter eller till företrädare för tredje part ska regleras av Europaparlamentets och rådets förordning (EG) nr 1049/2001 (1).

KAPITEL VIII

Rättsmedel, ansvar och sanktioner

Artikel 77

Rätt att lämna in klagomål till en tillsynsmyndighet

1.Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks.

2.Den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta den enskilde om hur arbetet med klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 78.

Artikel 78

Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut

1.Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet.

2.Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol, ska varje registrerad person ha rätt till ett effektivt rättsmedel om den tillsynsmyndighet som är behörig i enlighet med artiklarna 55 och 56 underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur det fortskrider med det klagomål som ingetts med stöd av artikel 77 eller vilket beslut som har fattats med anledning av det.

3.Talan mot en tillsynsmyndighet ska väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt

säte.

4.Om talan väcks mot ett beslut som fattats av en tillsynsmyndighet och som föregicks av ett yttrande från eller beslut av styrelsen inom ramen för mekanismen för enhetlighet ska tillsynsmyndigheten vidarebefordra detta yttrande eller beslut till domstolen.

Artikel 79

Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde

1.Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.

2.Talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde ska väckas vid domstolarna i den medlemsstat där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad. Alternativt får sådan talan väckas vid domstolarna i den medlemsstat där den registrerade har sin hemvist, såvida inte den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning.

(1) Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).

300

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/81

 

 

 

 

Artikel 80

Företrädande av registrerade

1.Den registrerade ska ha rätt att ge ett organ, en organisation eller sammanslutning utan vinstsyfte, som har inrättats på lämpligt sätt i enlighet med lagen i en medlemsstat, vars stadgeenliga mål är av allmänt intresse och som är verksam inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter, i uppdrag att lämna in ett klagomål för hans eller hennes räkning, att utöva de rättigheter som avses i artiklarna 77, 78 och 79 för hans eller hennes räkning samt att för hans eller hennes räkning utöva den rätt till ersättning som avses i artikel 82 om så föreskrivs i medlemsstatens nationella rätt.

2.Medlemsstaterna får föreskriva att ett organ, en organisation eller en sammanslutning enligt punkt 1 i den här artikeln, oberoende av en registrerads mandat, har rätt att i den medlemsstaten inge klagomål till den tillsynsmyndighet som är behörig enligt artikel 77 och utöva de rättigheter som avses i artiklarna 78 och 79 om organet, organisationen eller sammanslutningen anser att den registrerades rättigheter enligt den här förordningen har kränkts som en följd av behandlingen.

Artikel 81

Vilandeförklaring av förfaranden

1.Om en behörig domstol i en medlemsstat har information om att förfaranden som rör samma sakfråga vad gäller behandling av samma personuppgiftsansvarige eller personuppgiftsbiträde pågår i en domstol i en annan medlemsstat ska den kontakta denna domstol i den andra medlemsstaten för att bekräfta förekomsten av sådana förfaranden.

2.Om förfaranden som rör samma sakfråga vad gäller behandling av samma personuppgiftsansvarige eller personuppgiftsbiträde pågår i en domstol i en annan medlemstat får alla andra behöriga domstolar än den där förfarandena först inleddes vilandeförklara förfarandena.

3.Om dessa förfaranden prövas i första instans får varje domstol, utom den vid vilken förfarandena först inleddes, också förklara sig obehörig på begäran av en av parterna, om den domstol vid vilken förfarandena först inleddes är behörig att pröva de berörda förfarandena och dess lagstiftning tillåter förening av dessa.

Artikel 82

Ansvar och rätt till ersättning

1.Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.

2.Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter i denna förordning som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.

3.Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.

4.Om mer än en personuppgiftsansvarig eller ett personuppgiftsbiträde, eller både en personuppgiftsansvarig och ett personuppgiftsbiträde, har medverkat vid samma behandling, och om de enligt punkterna 2 och 3 är ansvariga för eventuell skada som behandlingen orsakat ska varje personuppgiftsansvarig eller personuppgiftsbiträde hållas ansvarig för hela skadan för att säkerställa att den registrerade får effektiv ersättning.

5.Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, i enlighet med punkt 4, har betalat full ersättning för den skada som orsakats ska den personuppgiftsansvarige eller personuppgiftsbiträdet ha rätt att från de andra personuppgiftsansvariga eller personuppgiftsbiträdena som medverkat vid samma behandling återkräva den del av ersättningen som motsvarar deras del av ansvaret för skadan i enlighet med de villkor som fastställs i punkt 2.

301

Prop. 2017/18:218

Bilaga 1

L 119/82

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

6. Domstolsförfaranden för utövande av rätten till ersättning ska tas upp vid de domstolar som är behöriga enligt den nationella rätten i den medlemsstat som avses i artikel 79.2.

Artikel 83

Allmänna villkor för påförande av administrativa sanktionsavgifter

1.Varje tillsynsmyndighet ska säkerställa att påförande av administrativa sanktionsavgifter i enlighet med denna artikel för sådana överträdelser av denna förordning som avses i punkterna 4, 5 och 6 i varje enskilt fall är effektivt, proportionellt och avskräckande.

2.Administrativa sanktionsavgifter ska, beroende på omständigheterna i det enskilda fallet, påföras utöver eller i stället för de åtgärder som avses i artikel 58.2 a–h och j. Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och om beloppet för de administrativa sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till följande:

a)Överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit.

b)Om överträdelsen skett med uppsåt eller genom oaktsamhet.

c)De åtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet har vidtagit för att lindra den skada som de registrerade har lidit.

d)Graden av ansvar hos den personuppgiftsansvarige eller personuppgiftsbiträdet med beaktande av de tekniska och organisatoriska åtgärder som genomförts av dem i enlighet med artiklarna 25 och 32.

e)Eventuella relevanta tidigare överträdelser som den personuppgiftsansvarige eller personuppgiftsbiträdet gjort sig skyldig till.

f)Graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen och minska dess potentiella negativa effekter.

g)De kategorier av personuppgifter som påverkas av överträdelsen.

h)Det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom, särskilt huruvida och i vilken omfattning den personuppgiftsansvarige eller personuppgiftsbiträdet anmälde överträdelsen.

i)När åtgärder enligt artikel 58.2 tidigare har förordnats mot den berörda personuppgiftsansvarige eller personuppgifts­ biträdet vad gäller samma sakfråga, efterlevnad av dessa åtgärder.

j)Tillämpandet av godkända uppförandekoder i enlighet med artikel 40 eller godkända certifieringsmekanismer i enlighet med artikel 42.

k)Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen.

3.Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, med avseende på en och samma eller sammankopplade uppgiftsbehandlingar, uppsåtligen eller av oaktsamhet överträder flera av bestämmelserna i denna förordning får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen.

4.Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till 10 000 000 EUR eller, om det gäller ett företag, på upp till 2 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

a)Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter enligt artiklarna 8, 11, 25–39, 42 och 43.

b)Certifieringsorganets skyldigheter enligt artiklarna 42 och 43.

c)Övervakningsorganets skyldigheter enligt artikel 41.4.

302

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/83

 

 

 

 

5. Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till 20 000 000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

a)De grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 5, 6, 7 och 9.

b)Registrerades rättigheter enligt artiklarna 12–22.

c) Överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation enligt artiklarna 44–49.

d)Alla skyldigheter som följer av medlemsstaternas lagstiftning som antagits på grundval av kapitel IX.

e)Underlåtenhet att rätta sig efter ett föreläggande eller en tillfällig eller permanent begränsning av behandling av uppgifter eller ett beslut om att avbryta uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med artikel 58.2 eller underlåtelse att ge tillgång till uppgifter i strid med artikel 58.1.

6.Vid underlåtenhet att rätta sig efter ett föreläggande från tillsynsmyndigheten i enlighet med artikel 58.2 ska det i enlighet med punkt 2 i den här artikeln påföras administrativa sanktionsavgifter på upp till 20 000 000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

7.Utan att det påverkar tillsynsmyndigheternas korrigerande befogenheter enligt artikel 58.2 får varje medlemsstat fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga myndigheter och organ som är inrättade i medlemsstaten.

8.Tillsynsmyndighetens utövande av sina befogenheter enligt denna artikel ska omfattas av lämpliga rättssäkerhets­ garantier i enlighet med unionsrätten och medlemsstaternas nationella rätt, inbegripet effektiva rättsmedel och rättssäkerhet.

9.Om det i medlemsstatens rättssystem inte finns några föreskrifter om administrativa sanktionsavgifter får den här artikeln tillämpas så att förfarandet inleds av den behöriga tillsynsmyndigheten och sanktionsavgifterna sedan utdöms av behörig nationell domstol, varvid det säkerställs att rättsmedlen är effektiva och har motsvarande verkan som de administrativa sanktionsavgifter som påförs av tillsynsmyndigheter. De sanktionsavgifter som påförs ska i alla händelser vara effektiva, proportionella och avskräckande. Dessa medlemsstater ska till kommissionen anmäla de bestämmelser i deras lagstiftning som de antar i enlighet med denna punkt senast den 25 maj 2018, samt utan dröjsmål anmäla eventuell senare ändringslagstiftning eller ändringar som berör dem.

Artikel 84

Sanktioner

1.Medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av denna förordning, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83, och vidta alla nödvändiga åtgärder för att säkerställa att de genomförs. Dessa sanktioner ska vara effektiva, proportionella och avskräckande.

2.Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antar i enlighet med punkt 1 senast den 25 maj 2018, samt utan dröjsmål anmäla eventuella senare ändringar som berör dem.

KAPITEL IX

Bestämmelser om särskilda behandlingssituationer

Artikel 85

Behandling och yttrande- och informationsfriheten

1. Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

303

Prop. 2017/18:218

Bilaga 1

L 119/84

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

2.Medlemsstaterna ska, för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, fastställa undantag eller avvikelser från kapitel II (principer), kapitel III (den registrerades rättigheter), kapitel IV (personuppgiftsansvarig och personuppgiftsbiträde), kapitel V (överföring av personuppgifter till tredjeländer eller internationella organisationer), kapitel VI (oberoende tillsynsmyndigheter), kapitel VII (samarbete och enhetlighet) och kapitel IX (särskilda situationer vid behandling av personuppgifter) om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten.

3.Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antagit i enlighet med punkt 2, samt utan dröjsmål anmäla eventuell senare ändringslagstiftning eller ändringar som berör dem.

Artikel 86

Behandling och allmänhetens tillgång till allmänna handlingar

Personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med denna förordning.

Artikel 87

Behandling av nationella identifikationsnummer

Medlemsstaterna får närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt denna förordning.

Artikel 88

Behandling i anställningsförhållanden

1.Medlemsstaterna får i lag eller i kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering, genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet, hälsa och säkerhet på arbetsplatsen samt skydd av arbetsgivarens eller kundens egendom men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsför­ hållandet.

2.Dessa regler ska innehålla lämpliga och specifika åtgärder för att skydda den registrerades mänskliga värdighet, berättigade intressen och grundläggande rättigheter, varvid hänsyn särskilt ska tas till insyn i behandlingen, överföring av personuppgifter inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet samt övervakningssystem på arbetsplatsen.

3.Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antar i enlighet med punkt 1 senast den 25 maj 2018, samt utan dröjsmål anmäla eventuella senare ändringar som berör dem.

Artikel 89

Skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål

1. Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt

304

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/85

 

 

 

 

principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

2.Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i punkt 1 i den här artikeln i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

3.Om personuppgifter behandlas för arkivändamål av allmänt intresse får det i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas om undantag från de rättigheter som avses i artiklarna 15, 16, 18, 19, 20 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i punkt 1 i den här artikeln i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

4.Om behandling enligt punkterna 2 och 3 samtidigt har andra ändamål, ska undantagen endast tillämpas på behandling för de ändamål som avses i dessa punkter.

Artikel 90

Tystnadsplikt

1. Medlemsstaterna får anta särskilda bestämmelser för att fastställa tillsynsmyndigheternas befogenheter enligt artikel 58.1 e och f gentemot personuppgiftsansvariga eller personuppgiftsbiträden som enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställts av behöriga nationella organ omfattas av tystnadsplikt eller andra motsvarande former av förbud mot att lämna ut uppgifter, om det är nödvändigt och står i proportion till vad som behövs för att förena rätten till skydd för personuppgifter och tystnadsplikten. Dessa bestämmelser ska endast tillämpas med avseende på personuppgifter som den personuppgiftsansvarige eller personuppgiftsbiträdet har erhållit i samband med en verksamhet som omfattas av denna tystnadsplikt.

2. Varje medlemsstat ska till kommissionen anmäla de bestämmelser den har antagit i enlighet med punkt 1 senast den 25 maj 2018, samt utan dröjsmål anmäla eventuella ändringar som berör dem.

Artikel 91

Befintliga bestämmelser om dataskydd inom kyrkor och religiösa samfund

1.Om kyrkor och religiösa samfund eller gemenskaper i en medlemsstat vid tidpunkten för ikraftträdandet av denna förordning tillämpar övergripande bestämmelser om skyddet av fysiska personer i samband med behandling, får sådana befintliga bestämmelser fortsätta att tillämpas under förutsättning att de görs förenliga med denna förordning.

2.Kyrkor och religiösa samfund som tillämpar övergripande bestämmelser i enlighet med punkt 1 i denna artikel ska vara föremål för kontroll av en oberoende tillsynsmyndighet som kan vara specifik, förutsatt att den uppfyller de villkor som fastställs i kapitel VI i denna förordning.

KAPITEL X

Delegerade akter och genomförandeakter

Artikel 92

Utövande av delegeringen

1. Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

305

Prop. 2017/18:218

Bilaga 1

L 119/86

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

2.Den befogenhet att anta delegerade akter som avses i artikel 12.8 och artikel 43.8 ska ges till kommissionen tills vidare från och med den 24 maj 2016.

3.Den delegering av befogenhet som avses i artikel 12.8 och artikel 43.8 får när som helst återkallas av Europapar­ lamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

4.Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

5.En delegerad akt som antas enligt artikel 12.8 och artikel 43.8 ska träda i kraft endast om varken Europapar­ lamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av tre månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med tre månader på Europaparlamentets eller rådets initiativ.

Artikel 93

Kommittéförfarande

1.Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2.När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

3.När det hänvisas till denna punkt ska artikel 8 i förordning (EU) nr 182/2011, jämförd med artikel 5 i samma förordning, tillämpas.

KAPITEL XI

Slutbestämmelser

Artikel 94

Upphävande av direktiv 95/46/EG

1.Direktiv 95/46/EG ska upphöra att gälla med verkan från och med den 25 maj 2018.

2.Hänvisningar till det upphävda direktivet ska anses som hänvisningar till denna förordning. Hänvisningar till arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, som inrättades genom artikel 29 i direktiv 95/46/EG, ska anses som hänvisningar till Europeiska dataskyddsstyrelsen, som inrättas genom denna förordning.

Artikel 95

Förhållande till direktiv 2002/58/EG

Denna förordning ska inte innebära några ytterligare förpliktelser för fysiska eller juridiska personer som behandlar personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster i allmänna kommunikationsnät i unionen, när det gäller områden inom vilka de redan omfattas av särskilda skyldigheter för samma ändamål i enlighet med direktiv 2002/58/EG.

306

Prop. 2017/18:218

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/87

 

 

 

 

Artikel 96

Förhållande till tidigare ingångna avtal

De internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer som ingicks av medlemsstaterna före den 24 maj 2016 och som är förenliga med unionsrätten i dess lydelse innan detta datum, ska fortsätta att gälla tills de ändras, ersätts eller återkallas.

Artikel 97

Kommissionsrapporter

1.Senast den 25 maj 2020 och därefter vart fjärde år ska kommissionen överlämna en rapport om tillämpningen och översynen av denna förordning till Europaparlamentet och rådet.

2.Inom ramen för de utvärderingar och översyner som avses i punkt 1 ska kommissionen särskilt undersöka hur följande bestämmelser tillämpas och fungerar:

a)Kapitel V om överföring av personuppgifter till tredjeländer och internationella organisationer, särskilt när det gäller beslut som antagits enligt artikel 45.3 i den här förordningen och beslut som antagits på grundval av artikel 25.6 i direktiv 95/46/EG.

b)Kapitel VII om samarbete och enhetlighet.

3.Med avseende på tillämpningen av punkt 1 får kommissionen begära information från medlemsstaterna och till­ synsmyndigheterna.

4.Kommissionen ska när den utför de utvärderingar och översyner som avses i punkterna 1 och 2 ta hänsyn till ståndpunkter och slutsatser från Europaparlamentet, rådet och andra relevanta organ och källor.

5.Kommissionen ska om nödvändigt överlämna lämpliga förslag om ändring av denna förordning, med särskild hänsyn till informationsteknikens utveckling och mot bakgrund av tendenserna inom informationssamhället.

Artikel 98

Översyn av andra unionsrättsakter om dataskydd

Kommissionen ska, om så är lämpligt, lägga fram lagstiftningsförslag i syfte att ändra andra unionsrättsakter om skydd av personuppgifter, för att säkerställa ett enhetligt och konsekvent skydd för fysiska personer med avseende på behandling. Detta gäller i synnerhet bestämmelserna om skyddet för fysiska personer i samband med behandling som utförs av unionens institutioner, organ och byråer samt om det fria flödet av sådana uppgifter.

Artikel 99

Ikraftträdande och tillämpning

1.Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

2.Den ska tillämpas från och med den 25 maj 2018.

307

Prop. 2017/18:218

Bilaga 1

L 119/88

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

 

 

 

 

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

 

 

Utfärdad i Bryssel den 27 april 2016.

 

 

 

 

 

På Europaparlamentets vägnar

 

På rådets vägnar

 

 

 

M. SCHULZ

J.A. HENNIS-PLASSCHAERT

 

 

 

Ordförande

 

Ordförande

 

 

 

 

 

 

 

 

308

Sammanfattning av betänkandet EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49)

Prop. 2017/18:218

Bilaga 2

Utredningens uppdrag

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Utredningen har i detta betänkande valt att benämna den nya rättsakten dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna och ska börja tillämpas den 25 maj 2018. Genom dataskyddsförordningen upphävs Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet), vilket innebär att personupp- giftslagen (1998:204, PUL) måste upphävas.

En särskild utredare fick den 25 februari 2016 regeringens uppdrag att lämna förslag till upphävande av den nuvarande generella person- uppgiftsregleringen (dir. 2016:15). Utredningen, som tog sig namnet Dataskyddsutredningen (Ju 2016:04), fick även i uppdrag att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter. I Dataskyddsutredningens uppdrag ingick också bl.a. att överväga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter som bör finnas i den generella regleringen. I Dataskyddsutredningens uppdrag ingick dock inte att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som finns i bl.a. särskilda registerförfattningar.

Utredningen har fått i uppdrag att föreslå kompletterande regleringar för behandling av personuppgifter inom utbildningsområdet, med undan- tag för forskningsverksamhet. Syftet är att regleringen ska möjliggöra en ändamålsenlig behandling av personuppgifter inom utbildningsområdet samtidigt som den ska skydda den enskildes fri- och rättigheter.

I utredningens uppdrag ingår att undersöka vilken reglering på natio- nell nivå av personuppgiftsbehandling inom utbildningsområdet som är möjlig och kan behövas utöver dataskyddsförordningen och den gene- rella reglering som Dataskyddsutredningen kommer att föreslå.

Uppdraget omfattar även att analysera om det utöver dataskydds- förordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå finns ett behov av kompletterande regleringar för behandling av känsliga personuppgifter inom utbildningsområdet.

I utredningens uppdrag ingår vidare att se över vilka anpassningar av studiestödsdatalagen (2009:287), studiestödsdataförordningen (2009:321), förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor, förordningen (2011:268) om lärar- och

förskollärarregister och förordningen (2006:39) om register och doku-

309

 

Prop. 2017/18:218

Bilaga 2

mentation vid fullgörandet av kommunernas aktivitetsansvar för ung- domar som behövs med anledning av dataskyddsförordningen, den gene- rella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag som utredningen kan komma att lämna.

Slutligen ingår det även i utredningens uppdrag att analysera om det behövs något författningsstöd – utöver dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredningen kan komma att lämna – för att person- uppgifter även fortsättningsvis ska kunna behandlas i betygsdatabasen BEDA, i de register som Myndigheten för yrkeshögskolan (MYH) svarar för samt i registret över deltagare i studiecirklar och annan folkbild- ningsverksamhet hos studieförbunden.

Skollagsreglerad utbildningsverksamhet

Utredningen bedömer att det för huvudmän inom skolväsendet och aktö- rer enligt 24 och 25 kap. skollagen (2010:800) finns en i svensk rätt fast- ställd uppgift av allmänt intresse att tillhandahålla, anordna och bedriva utbildning och annan pedagogisk verksamhet. Även en kommuns åligganden enligt skollagen är en i svensk rätt fastställd uppgift av all- mänt intresse. För sådan personuppgiftsbehandling som är nödvändig för utförandet av dessa uppgifter är den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen tillämplig. Därutöver kan dessa organ i viss utsträckning samtidigt använda sig av de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och andra ledet i 6.1 e (myndighets- utövning). Dessa kan även i viss utsträckning använda sig av samtycke som rättslig grund (artikel 6.1 a). Vidare kan enskilda huvudmän även tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning).

Beträffande behandling av känsliga personuppgifter bedömer utred- ningen att kommuner, landsting och staten, även som huvudmän inom skolväsendet, kan finna stöd för viss sådan behandling i Dataskydds- utredningens förslag till bestämmelser i 3 kap. 3 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (data- skyddslagen). Enligt utredningens bedömning har enskilda huvudmän – när de anordnar utbildning enligt skollagen – samma behov av att kunna behandla känsliga personuppgifter som offentliga huvudmän. De enskilda huvudmännen kan dock inte grunda sådan behandling i data- skyddslagen annat än i den mån offentlighetsprincipen och sekretess- lagstiftningen enligt författning gäller i ett organs verksamhet. I dessa fall möjliggör 3 kap. 3 § 2 dataskyddslagen sådan behandling av känsliga personuppgifter som är oundviklig i organets verksamhet som en direkt följd av bland annat tryckfrihetsförordningens och offentlighets- och sekretesslagens (2009:400) bestämmelser om allmänna handlingar och diarieföring.

Vissa skolformer och anordnare av vissa utbildningar har dessutom ett behov av att kunna behandla känsliga personuppgifter mer systematiskt, bl.a. grundsärskolan och sameskolan, som det inte finns stöd för i data- skyddslagen. Detsamma gäller för kommunerna när de ska utföra vissa uppgifter som de är ålagda enligt skollagen.

310

Utredningen bedömer därför att det finns behov av att möjliggöra sådan behandling. För tydlighets skull föreslår utredningen att det i ett nytt 28 a kapitel i skollagen ska införas bl.a. motsvarande bestämmelser som Dataskyddsutredningen föreslår i 3 kap. 3 och 4 §§ dataskyddslagen. Kapitlet ska tillämpas vid den personuppgiftsbehandling som både offentliga och enskilda huvudmän, hemkommunen och aktörer enligt 24 och 25 kap. skollagen utför.

Vidare föreslås att huvudmän för vissa skolformer, bl.a. grund- särskolan och specialskolan, och för vissa utbildningar, bl.a. Rh-anpassad utbildning och fristående grundskola som begränsats till att avse elever som är i behov av särskilt stöd, under vissa förutsättningar får behandla uppgifter om hälsa. Sameskolan föreslås få behandla uppgifter om etniskt ursprung under vissa förutsättningar.

Hemkommunen föreslås få behandla uppgifter om hälsa i vissa fall och uppgift om hälsa och etniskt ursprung när det är nödvändigt för att full- göra skyldighet enligt 7 kap. 21 § skollagen.

För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen föreslår utredningen att det ska införas bestämmelser om förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. Huvudmän för de skolformer och utbildningar som föreslås få behandla uppgifter om hälsa respektive etniskt ursprung under vissa förutsättningar undantas dock från förbudet för just sök- begrepp som avslöjar hälsa respektive etniskt ursprung. Detsamma gäller för hemkommunen i de fall den getts särskild möjlighet att behandla vissa känsliga personuppgifter. Regeringen föreslås få meddela före- skrifter om begränsningar av möjligheten att använda de sökbegrepp som tillåts.

Vidare föreslås regeringen få meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det be- hövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt skollagen eller föreskrifter som har meddelats med stöd av skollagen.

Förslaget till dataskyddslag innehåller en upplysningsbestämmelse som tydliggör att förbudet i artikel 10 mot behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel inte gäller för myndigheter. Utredningen bedömer att i förskolor, skolor och vuxenutbildningsenheter vars huvud- män är staten, en kommun eller ett landsting kommer personuppgifter som rör fällande domar i brottmål och liknande i de enskilda fall sådan behandling bedöms nödvändig kunna behandlas med stöd av data- skyddsförordningen.

Utredningen bedömer att det för fristående skolor finns skäl att möjlig- göra behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel i elevhälsan i löpande text om det är absolut nödvändigt för ändamålet med behandlingen och i skriftlig dokumentation som ska föras enligt 5 kap. 24 § skollagen om det är absolut nödvändigt för ändamålet med behandlingen.

Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och

Prop. 2017/18:218

Bilaga 2

311

Prop. 2017/18:218

Bilaga 2

rättigheter, för huvudmän inom skolväsendet, hemkommunen och aktörer enligt 24 och 25 kap. skollagen kan ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt de förslag som utred- ningen lämnar. Utredningen anser att det enligt bestämmelserna i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2 regeringsformen inte krävs en särskild lag för den personuppgiftsbehandling som utförs av huvudmännen inom skolväsendet. Utredningen anser att det inte heller finns något annat skäl för ytterligare reglering än den som utredningen föreslår.

Utredningen anser att goda skäl talar för att det ska tas fram en uppförandekod för skolväsendets personuppgiftsbehandling. Utredningen föreslår därför att regeringen ger lämplig myndighet i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet.

Universitets- och högskolesektorn

Behov av reglering

 

Utredningen bedömer att det för statliga högskolor och enskilda

 

utbildningsanordnare med examenstillstånd enligt lagen (1993:792) om

 

tillstånd att utfärda vissa examina finns en i svensk rätt fastställd uppgift

 

av allmänt intresse att anordna och bedriva högskoleutbildning. För

 

sådan personuppgiftsbehandling som är nödvändig för utförandet av

 

denna uppgift är den rättsliga grunden i första ledet i artikel 6.1 e i data-

 

skyddsförordningen tillämplig. Därutöver kan lärosätena i viss utsträck-

 

ning samtidigt använda sig av de rättsliga grunderna i artikel 6.1 c

 

(rättslig förpliktelse) och andra ledet i 6.1 e (myndighetsutövning).

 

Lärosätena kan i viss utsträckning även använda sig av samtycke som

 

rättslig grund (artikel 6.1 a). Enskilda utbildningsanordnare kan dess-

 

utom tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning).

 

Beträffande behandling av känsliga personuppgifter bedömer

 

utredningen att statliga högskolor kan finna stöd för sådan behandling i

 

Dataskyddsutredningens förslag till bestämmelser i 3 kap. 3 § data-

 

skyddslagen. Dataskyddsutredningens förslag, med undantag för behand-

 

ling av känsliga personuppgifter med anledning av offentlighets-

 

principen, gäller endast för myndigheter. Eftersom utredningen bedömer

 

att enskilda utbildningsanordnare har samma behov som statliga hög-

 

skolor att behandla känsliga personuppgifter föreslår utredningen att det i

 

lagen om tillstånd att utfärda vissa examina ska införas bestämmelser

 

med motsvarande innebörd som de som Dataskyddsutredningen föreslår.

 

Vidare bedömer utredningen att enskilda utbildningsanordnare, i

 

ärenden om avskiljande av studenter från utbildning, har samma behov

 

som statliga högskolor att behandla personuppgifter som rör fällande

 

domar i brottmål. Utredningen föreslår därför en bestämmelse som

 

möjliggör sådan behandling, eftersom dataskyddsförordningen och data-

 

skyddslagen endast medger att statliga högskolor behandlar sådana upp-

 

gifter.

 

För att leva upp till dataskyddsförordningens krav på lämpliga och

 

särskilda åtgärder för att säkerställa den registrerades grundläggande

312

rättigheter och intressen föreslår utredningen att det ska införas en be-

stämmelse om förbud mot att använda sökbegrepp som avslöjar känsliga

Prop. 2017/18:218

personuppgifter och uppgifter som rör fällande domar i brottmål.

Bilaga 2

Sammanfattningsvis bedömer utredningen att en ändamålsenlig

 

personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och

 

rättigheter, för lärosätenas del kan ske med stöd av bestämmelserna i

 

dataskyddsförordningen och dataskyddslagen samt de förslag som

 

utredningen lämnar. Utredningen anser inte att det enligt bestämmelserna

 

i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2 regeringsfor-

 

men krävs en särskild lag för statliga högskolors personuppgifts-

 

behandling. Utredningen anser att det inte heller finns något annat skäl

 

för ytterligare reglering än den som utredningen föreslår.

 

Förordningen om redovisning av studier m.m. vid universitet och högskolor

Utredningen bedömer att bestämmelserna i förordningen om redovisning

 

av studier m.m. vid universitet och högskolor utgör i enlighet med artikel

 

6.1 c i dataskyddsförordningen fastställda rättsliga förpliktelser för

 

statliga högskolor att föra ett studieregister och för Statistiska central-

 

byrån att föra ett universitets- och högskoleregister samt ett register för

 

sammanställning av statistik över högskolornas personal. Förandet av

 

nämnda register är dessutom fastställda uppgifter av allmänt intresse i

 

enlighet med första ledet i artikel 6.1 e. För UHR:s del finns det genom

 

bestämmelserna i förordningen om redovisning av studier m.m. vid

 

universitet och högskolor en fastställd uppgift av allmänt intresse att föra

 

ett antagningsregister.

 

Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra

 

stycket i dataskyddsförordningen är tillåtet att behålla eller införa mer

 

specifika bestämmelser för att anpassa tillämpningen av bestämmelserna

 

i dataskyddsförordningen med hänsyn till behandling för att efterleva

 

artikel 6.1 c och e. Förordningen om redovisning av studier m.m. vid uni-

 

versitet och högskolor är därmed i sig förenlig med dataskyddsförord-

 

ningen.

 

För att anpassa förordningens bestämmelser till dataskyddsförord-

 

ningen föreslår utredningen att hänvisningen till personuppgiftslagen i

 

1 kap. 1 § andra stycket ska utgå och ersättas med nya bestämmelser i en

 

ny paragraf. I den nya paragrafen, 1 a §, ska det upplysas om att

 

förordningen kompletterar dataskyddsförordningen. Därtill ska förhållan-

 

det till dataskyddslagen regleras. Utredningen föreslår vidare att bestäm-

 

melserna om information, rättelse och skadestånd samt intern kontroll

 

över studieregistret som finns i 1 kap. 4 och 5 §§ samt 2 kap. 1 § tredje

 

stycket ska upphävas, eftersom det finns direkt tillämpliga bestämmelser

 

i dataskyddsförordningen med motsvarande innehåll. Bestämmelsen om

 

överklagande i 1 kap. 6 § föreslår utredningen också ska upphävas,

 

eftersom det finns bestämmelser om överklagande i dataskyddslagen.

 

Avslutningsvis föreslår utredningen att hänvisningarna till 13 § PUL,

 

som finns i 2 kap. 5 a § och 4 kap. 3 §, ska ändras på så sätt att de hän-

 

visar till artikel 9.1 i dataskyddsförordningen i stället. I artikel 9.1 finns

 

motsvarande förbud mot behandling av känsliga personuppgifter som

 

finns i 13 § PUL.

313

 

Prop. 2017/18:218

Bilaga 2

Utredningen lyfter även fram att den tekniska utvecklingen och den praktiska hanteringen av personuppgifter när det gäller redovisning m.m. vid universitet och högskolor har gjort att det finns ett behov av en omfattande översyn av förordningen. En sådan översyn som utredningen bedömer är påkallad krävs dock inte för att anpassa förordningen till dataskyddsförordningen och den reglering som Dataskyddsutredningen har föreslagit. Utredningen lämnar därför inga förslag i dessa delar.

Yrkeshögskolan och andra eftergymnasiala utbildningar

Behov av reglering

 

Utredningen bedömer att det för anordnare av utbildningar inom

 

yrkeshögskolan och sådana utbildningar som avses i förordningen

 

(2013:871) om stöd för konst- och kulturutbildningar och vissa andra

 

utbildningar finns en i svensk rätt fastställd uppgift av allmänt intresse att

 

anordna och bedriva sådana utbildningar. För sådan personuppgifts-

 

behandling som är nödvändig för utförandet av denna uppgift är den

 

rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen

 

tillämplig. Därutöver kan utbildningsanordnarna i viss utsträckning sam-

 

tidigt använda sig av de rättsliga grunderna i artikel 6.1 c (rättslig

 

förpliktelse) och, beträffande utbildningsanordnarna inom yrkeshögsko-

 

lan, andra ledet i artikel 6.1 e (myndighetsutövning). Utbildningsanord-

 

narna kan i viss utsträckning även använda sig av samtycke som rättslig

 

grund (artikel 6.1 a). Enskilda utbildningsanordnare inom yrkeshög-

 

skolan och anordnare av sådana utbildningar som avses i förordningen

 

om stöd för konst- och kulturutbildningar och vissa andra utbildningar

 

kan dessutom tillämpa den rättsliga grunden i artikel 6.1 f (intresse-

 

avvägning).

 

Beträffande behandling av känsliga personuppgifter inom yrkeshög-

 

skolan bedömer utredningen att offentliga utbildningsanordnare kan

 

finna stöd för sådan behandling i Dataskyddsutredningens förslag till

 

bestämmelser i 3 kap. 3 § dataskyddslagen. För tydlighets skull föreslår

 

utredningen dock att det i lagen (2009:128) om yrkeshögskolan, som

 

gäller för både offentliga och enskilda utbildningsanordnare, ska införas

 

motsvarande bestämmelser som Dataskyddsutredningen föreslår och att

 

dessa ska gälla för både offentliga och enskilda utbildningsanordnare,

 

eftersom dessa har samma behov av att behandla känsliga person-

 

uppgifter. Ett undantag finns dock, enskilda utbildningsanordnare inom

 

yrkeshögskolan omfattas inte av offentlighetsprincipen. Utredningens

 

förslag i denna del omfattar således endast offentliga utbildnings-

 

anordnare.

 

Utredningen föreslår att motsvarande bestämmelser om behandling av

 

känsliga personuppgifter också ska föras in i förordningen om stöd för

 

konst- och kulturutbildningar och vissa andra utbildningar. De som an-

 

ordnar sådana utbildningar har samma behov som anordnare av ut-

 

bildningar inom yrkeshögskolan att behandla känsliga personuppgifter.

 

Eftersom de som anordnar utbildningar som avses i förordningen om

 

stöd för konst- och kulturutbildningar och vissa andra utbildningar inte

314

omfattas av offentlighetsprincipen ska det dock inte föras in någon

bestämmelse som möjliggör behandling av känsliga personuppgifter som

Prop. 2017/18:218

krävs enligt lag.

Bilaga 2

Vidare bedömer utredningen att det för enskilda utbildningsanordnare

 

inom yrkeshögskolan och anordnare av utbildningar som avses i förord-

 

ningen om stöd för konst- och kulturutbildningar och vissa andra utbild-

 

ningar finns skäl att möjliggöra behandling av personuppgifter som rör

 

fällande domar i brottmål i ärenden om avskiljande av studerande från

 

utbildning. Utredningen föreslår därför sådana bestämmelser, eftersom

 

dataskyddsförordningen och dataskyddslagen endast medger att offent-

 

liga utbildningsanordnare inom yrkeshögskolan behandlar sådana upp-

 

gifter.

 

För att leva upp till dataskyddsförordningens krav på lämpliga och

 

särskilda åtgärder för att säkerställa den registrerades grundläggande

 

rättigheter och intressen föreslår utredningen att det i lagen om yrkeshög-

 

skolan och förordningen om stöd för konst- och kulturutbildningar och

 

vissa andra utbildningar ska införas bestämmelser om förbud mot att

 

använda sökbegrepp som avslöjar känsliga personuppgifter. Motsvarande

 

sökförbud ska även gälla för personuppgifter som rör fällande domar i

 

brottmål i fråga om enskilda utbildningsanordnare inom yrkeshögskolan

 

och anordnare av sådana utbildningar som avses i förordningen om stöd

 

för konst- och kulturutbildningar och vissa andra utbildningar.

 

Sammanfattningsvis bedömer utredningen att en ändamålsenlig

 

personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och

 

rättigheter, för utbildningsanordnarnas del kan ske med stöd av be-

 

stämmelserna i dataskyddsförordningen och dataskyddslagen samt de

 

förslag som utredningen lämnar. Utredningen anser inte att det enligt

 

bestämmelserna i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2

 

regeringsformen krävs en särskild lag för den personuppgiftsbehandling

 

som utförs av de offentliga utbildningsanordnarna inom yrkeshögskolan.

 

Utredningen anser att det inte heller finns något annat skäl för ytterligare

 

reglering än den som utredningen föreslår.

 

MYH:s register

Utredningen bedömer att det för MYH finns en i svensk rätt fastställd rättslig förpliktelse och uppgift av allmänt intresse att svara för ett register över uppgifter om de studerande i utbildningarna inom yrkes- högskolan och i de utbildningar inom yrkeshögskolan som bedrivs som uppdragsutbildningar. Utredningen bedömer att motsvarande gäller för det register över uppgifter om de studerande i utbildningarna enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar som MYH också ska svara för. MYH kan därmed tillämpa de rättsliga grunderna i artikel 6.1 c och första ledet i artikel 6.1 e i dataskyddsförordningen för sådan personuppgiftsbehandling som är nödvändig vid förandet av registren. Utredningen bedömer att det inte finns något ytterligare regleringsbehov.

Vidare bedömer utredningen att utbildningsanordnarna inom yrkes- högskolan kan tillämpa samma rättsliga grunder när de lämnar uppgifter om de studerande till MYH. Något ytterligare regleringsbehov finns

därmed inte heller för deras del.

315

Prop. 2017/18:218

Bilaga 2

För att säkerställa att anordnarna av utbildningar som avses i för- ordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har en rättslig grund att tillämpa när de ska lämna uppgifter till MYH, föreslår utredningen att MYH ska bemyndigas att meddela föreskrifter om uppgiftslämningen på motsvarande sätt som i 2 kap. 17 § förordningen (2009:130) om yrkeshögskolan.

Folkbildning

Folkhögskolorna

Utredningen bedömer att folkhögskolorna, som stöd för sin person- uppgiftsbehandling när dataskyddsförordningen ska börja tillämpas, kan använda främst samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för sin behandling av personuppgifter. Folkhögskolor som anordnar utbildning motsvarande kommunal vuxenutbildning i svenska för invandrare kan behandla personuppgifter om studerande i den verksamheten även med stöd av första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse. Känsliga personuppgifter kan behandlas med stöd av samtycke enligt artikel 9.2 a.

Utredningen bedömer att nämnda rättsliga grunder är tillräckliga för att nödvändig behandling av personuppgifter inom folkhögskolorna ska kunna ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas. Något behov av ytterligare reglering finns inte.

Studieförbunden

Utredningen bedömer att studieförbunden, som stöd för sin personupp- giftsbehandling när dataskyddsförordningen ska börja tillämpas, kan an- vända främst samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för sin behandling av personuppgifter. Känsliga personupp- gifter kan behandlas med stöd av samtycke enligt artikel 9.2 a.

Utredningen bedömer att den rättsliga grunden samtycke är tillräcklig för att nödvändig behandling av personuppgifter inom studieförbunden ska kunna ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas. Något behov av ytterligare reglering finns inte.

Register över deltagare i studieförbundens verksamhet

Utredningen bedömer att Folkbildningsrådet och studieförbunden kan använda samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för behandling av personuppgifter i Folkbildningsrådets centrala uppgiftssamlingar över deltagare i studiecirkel och annan folkbildningsverksamhet när dataskyddsförordningen ska börja tillämpas. Utredningen anser att varken 2 kap. 6 § andra stycket regeringsformen eller något annat skäl fordrar att det införs någon särskild reglering.

316

CSN:s studiestödsverksamhet

Utredningen bedömer att Centrala studiestödsnämnden (CSN) har en i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestöds- verksamhet. Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 e. Studiestödsdatalagen med tillhörande förord- ning är därmed i sig förenliga med dataskyddsförordningen.

För att anpassa studiestödsdatalagens bestämmelser till dataskydds- förordningen föreslår utredningen att hänvisningen till personuppgifts- lagen i 2 § ska ersättas med en upplysningsbestämmelse om dataskydds- förordningen samt, i andra stycket, en reglering om förhållandet till data- skyddslagen. Det nuvarande andra stycket, som reglerar studiestöds- datalagens förhållande till lagen (2001:99) om den officiella statistiken, ska flyttas till ett nytt tredje stycke. Bestämmelserna i 6 och 8 §§, vilka reglerar begränsningar i rätten att behandla personuppgifter respektive användningen av sökbegrepp, föreslår utredningen ska ändras på så sätt att de ska omfatta samtliga kategorier av personuppgifter som räknas upp i artikel 9.1 i dataskyddsförordningen. Bestämmelsen i 7 § tredje stycket om återkallande av samtycke och 15 §, vilken reglerar rättelse och skade- stånd, ska upphävas, eftersom det i dessa delar finns direkt tillämpliga bestämmelser i dataskyddsförordningen. Avslutningsvis ska bestämmel- serna i 16 § tredje stycket och 16 § studiestödsdataförordningen ändras på så sätt att formuleringen ”historiska, statistiska eller vetenskapliga ändamål” ändras till ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.

Prop. 2017/18:218

Bilaga 2

Betygsdatabasen BEDA

Utredningen föreslår att UHR:s uppgift att ansvara för en nationell databas för betygsuppgifter från gymnasieskolan och den kommunala vuxenutbildningen på gymnasial nivå, betygsdatabasen BEDA, ska fastställas genom att den förs in i en bestämmelse i förordningen (2012:811) med instruktion för Universitets- och högskolerådet. Såväl ändamålet med registret att användas vid antagning av studenter till studier vid universitet och högskolor som det statistiska ändamål upp- gifterna i registret används för ska fastställas i bestämmelsen.

Utredningen bedömer vidare att Statens skolverk (Skolverket) behöver komplettera sina föreskrifter (SKOLFS 2011:142) om uppgiftsinsamling från huvudmännen inom skolväsendet m.m. för att huvudmännen som bedriver kommunal vuxenutbildning på gymnasial nivå ska ha en rättslig grund att tillämpa när de fullgör sin skyldighet att lämna uppgifter om gymnasieexamen genom att lämna uppgifterna till UHR.

Om utredningens förslag genomförs och om Skolverket kompletterar sina föreskrifter bedömer utredningen att ändamålsenliga behandlingar i BEDA, som samtidigt skyddar den enskildes fri- och rättigheter, kan göras även när dataskyddsförordningen ska börja tillämpas. Utredningen

317

Prop. 2017/18:218

Bilaga 2

anser att det inte finns något ytterligare regleringsbehov med anledning av regeringsformens bestämmelser. Utredningen anser inte heller att det finns anledning att med stöd av artikel 89.2 i dataskyddsförordningen föreskriva om undantag från den registrerades rättigheter som avses i artiklarna 15, 16, 18 och 21, dvs. rätt till information om personuppgifter som behandlas, rätt att få felaktiga personuppgifter rättade, rätt att kräva begränsning av behandling och rätt att göra invändningar mot behand- ling.

Lärar- och förskollärarregistret

Utredningen bedömer att bestämmelserna i förordningen om lärar- och förskollärarregister utgör i enlighet med artikel 6.1 c i dataskydds- förordningen en fastställd rättslig förpliktelse för Skolverket att föra ett register över legitimerade och tidigare legitimerade lärare och förskol- lärare. Förandet av registret är dessutom en för Skolverket fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e.

Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 c och e. Förord- ningen om lärar- och förskollärarregister är därmed i sig förenlig med dataskyddsförordningen.

För att anpassa förordningens bestämmelser till dataskyddsförord- ningen föreslår utredningen att hänvisningen till personuppgiftslagen i 2 § ska utgå och ersättas med en upplysning om att förordningen komp- letterar dataskyddsförordningen. Därtill ska förhållandet till dataskydds- lagen regleras. Utredningen föreslår vidare att det i ett nytt tredje stycke i 6 § ska finnas en hänvisning till artikel 5.1 b i dataskyddsförordningen. Hänvisningen ersätter den nuvarande hänvisningen till finalitetsprincipen i 9 § PUL som finns i 6 § andra stycket. Bestämmelserna om information i 10 § föreslås ändras på så sätt att de endast reglerar den informations- skyldighet som gäller utöver den informationsskyldighet som kommer att gälla enligt dataskyddsförordningen. Slutligen föreslår utredningen att bestämmelserna om rättelse och skadestånd i 11 § ska upphävas, efter- som det finns motsvarande bestämmelser i dataskyddsförordningen som är direkt tillämpliga.

Kommunernas register över ungdomar som de har aktivitetsansvar för

Utredningen bedömer att det i svensk rätt finns en i enlighet med artikel 6.1 c i dataskyddsförordningen fastställd rättslig förpliktelse för kommu- nerna att föra ett register över de ungdomar som omfattas av kommunens aktivitetsansvar enligt 29 kap. 9 § skollagen. Förandet av registren är dessutom en för kommunerna fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e.

318

Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra

Prop. 2017/18:218

stycket är tillåtet att behålla eller införa mer specifika bestämmelser för

Bilaga 2

att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen

 

med hänsyn till behandling för att efterleva artikel 6.1 c och e. För-

 

ordningen om register och dokumentation vid fullgörandet av kommu-

 

nernas aktivitetsansvar för ungdomar är därmed i sig förenlig med data-

 

skyddsförordningen.

 

För att anpassa förordningens bestämmelser till dataskyddsförord-

 

ningen föreslår utredningen att hänvisningen till personuppgiftslagen i

 

2 § ska utgå och ersättas med en upplysning om att förordningen komp-

 

letterar dataskyddsförordningen. Därtill ska förhållandet till dataskydds-

 

lagen regleras. Vidare föreslår utredningen att bestämmelsen i 5 § om

 

förbud mot att behandla känsliga personuppgifter ska hänvisa till artikel

 

9.1 i stället för 13 § PUL. Bestämmelsen i 5 § om förbud mot att behand-

 

la uppgifter om lagöverträdelser m.m. ska ändras så att den när data-

 

skyddsförordningen och dataskyddslagen ska börja tillämpas kommer att

 

ha samma materiella innebörd som i dagsläget. Slutligen föreslår utred-

 

ningen att bestämmelserna om rättelse och skadestånd i 6 § ska upphä-

 

vas, eftersom det finns motsvarande bestämmelser i dataskyddsförord-

 

ningen som är direkt tillämpliga.

 

Övriga myndigheter med anknytning till utbildningsområdet

Direktiven anger inte att det ska göras en analys av om det behöver införas kompletterande regleringar för personuppgiftsbehandlingen hos sådana myndigheter vars verksamhet anknyter till utbildningsområdet t.ex. Statens skolinspektion, Skolverket och UHR. Enligt utredningens uppfattning omfattas därför inte den personuppgiftsbehandling som sker vid dessa myndigheter av utredningens uppdrag, annat än i de fall det särskilt har angivits att utredningen ska analysera behovet av reglering av särskilda register som förs av en myndighet eller behovet av anpass- ningar av författningar som styr en myndighets personuppgiftsbehand- ling.

Då det finns ett intresse av vägledning har utredningen dock funnit anledning att göra en generell och övergripande analys av myndig- heternas möjligheter att behandla personuppgifter sett i ljuset av data- skyddsförordningen och den av Dataskyddsutredningen föreslagna data- skyddslagen.

Utredningen bedömer att statliga och kommunala myndigheters verk- samhet inom utbildningsområdet i allt väsentligt är en uppgift av allmänt intresse. Denna verksamhet framgår normalt av uppdrag och åligganden i författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser. Uppgiften av allmänt intresse är fastställd genom dessa författningar, beslut och kommunala reglementen. Myndigheterna kan därigenom grunda nödvändig behandling av personuppgifter på första ledet i artikel 6.1 e i dataskyddsförordningen.

Utredningen konstaterar dock att det ankommer på myndigheterna att

själva gå igenom all personuppgiftsbehandling som sker inom myndig-

319

Prop. 2017/18:218

heten och säkerställa att den har stöd i och är förenlig med dataskydds-

Bilaga 2

förordningens och dataskyddslagens bestämmelser.

Konsekvenser

Utredningen bedömer att utredningens förslag till regleringar inte kommer att innebära någon kostnadsökning för stat, kommuner, lands- ting och enskilda huvudmän som tillhandahåller och anordnar utbild- ningsverksamhet. Vidare bedömer utredningen att förslagen är neutrala rörande integritetsskyddet och att förslagen inte förväntas få några andra konsekvenser.

Ikraftträdande och övergångsbestämmelser

Utredningen föreslår att den nya förordningen – förordningen om sök- begränsningar vid personuppgiftsbehandling i vissa utbildningsformer och i hemkommunen – och ändringsförfattningarna ska träda i kraft den 25 maj 2018.

Vidare föreslår utredningen tre övergångsbestämmelser för studie- stödsdatalagen, förordningen om lärar- och förskollärarregister, förord- ningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar samt förordningen om redovisning av studier m.m. vid universitet och högskolor. Enligt den första ska äldre föreskrifter fortfarande gälla för ärenden hos Datainspektionen eller aktuell myndighet som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet. Den andra övergångsbestämmelsen ska ange att äldre föreskrifter fortfarande gäller för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet. Enligt den sista övergångsbestämmelsen ska äldre föreskrifter om skadestånd fortfarande gälla för skada som har orsakats före ikraftträdandet.

320

Betänkandets lagförslag

Prop. 2017/18:218

 

 

Bilaga 3

Förslag till lag om ändring i lagen (1993:792) om

 

tillstånd att utfärda vissa examina

 

Härigenom föreskrivs att det i lagen (1993:792) om tillstånd att utfärda

 

vissa examina ska införas fyra nya paragrafer, 10–13 §§, av följande

 

lydelse.

 

10 § Bestämmelserna i 11–13 §§ kompletterar Europaparlamentets och

 

rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för

 

fysiska personer med avseende på behandling av personuppgifter och om

 

det fria flödet av sådana uppgifter och om upphävande av direktiv

 

95/46/EG (allmän dataskyddsförordning), nedan kallad dataskydds-

 

förordningen.

 

Lagen (2018:xx) med kompletterande bestämmelser till EU:s data-

 

skyddsförordning gäller vid enskilda utbildningsanordnares behandling

 

av personuppgifter, om inte annat följer av 11–13 §§ eller föreskrifter

 

som har meddelats med stöd av lagen med kompletterande bestämmelser

 

till EU:s dataskyddsförordning.

 

11 § Känsliga personuppgifter får med stöd av artikel 9.2 g i data- skyddsförordningen behandlas av en enskild utbildningsanordnare

1.i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,

2.om uppgifterna har lämnats till den enskilde utbildningsanordnaren och behandlingen krävs enligt lag, eller

3.i enstaka fall, om det är absolut nödvändigt för ändamålet med

behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

12 § Personuppgifter som rör fällande domar i brottmål får behandlas av en enskild utbildningsanordnare i löpande text i ett ärende om av- skiljande av student från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära.

13 § Vid behandling enligt 11 och 12 §§ får en enskild utbildnings- anordnare inte använda sökbegrepp som avslöjar känsliga person- uppgifter eller uppgifter som rör fällande domar i brottmål.

Denna lag träder i kraft den 25 maj 2018.

321

Prop. 2017/18:218

Bilaga 3

Förslag till lag om ändring i lagen (2009:128) om yrkeshögskolan

Härigenom föreskrivs att det i lagen (2009:128) om yrkeshögskolan ska införas sju nya paragrafer, 19 a–19 g §§, samt närmast före 19 a § en ny rubrik av följande lydelse.

Behandling av personuppgifter

19 a § Bestämmelserna i 19 b–19 g §§ kompletterar Europaparlamen- tets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskydds- förordningen.

Lagen (2018:xx) med kompletterande bestämmelser till EU:s data- skyddsförordning gäller vid utbildningsanordnares behandling av personuppgifter, om inte annat följer av 19 b–19 f §§ eller föreskrifter som har meddelats med stöd av denna lag eller lagen med komplet- terande bestämmelser till EU:s dataskyddsförordning.

19 b § Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en utbildningsanordnare i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.

19 c § Statliga universitet och högskolor samt andra statliga myndig- heter, kommuner och landsting som anordnar utbildning får med stöd av artikel 9.2 g i dataskyddsförordningen behandla känsliga personuppgifter om uppgifterna har lämnats till universitetet, högskolan, myndigheten, kommunen eller landstinget och behandlingen krävs enligt lag.

19 d § Utöver vad som följer av 19 b och 19 c §§ får känsliga per- sonuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen behand- las av en utbildningsanordnare i enstaka fall, om det är absolut nöd- vändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

19 e § Utbildningsanordnare med en enskild fysisk eller juridisk person som huvudman får behandla personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande av studerande från utbildning, om det är absolut nödvändigt för ändamålet med behand- lingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära.

19 f § Vid behandling enligt 19 b–19 d §§ får en utbildningsanordnare inte använda sökbegrepp som avslöjar känsliga personuppgifter. Vid behandling enligt 19 e § får en enskild utbildningsanordnare inte använda

322

sökbegrepp som avslöjar personuppgifter som rör fällande domar i brottmål.

19 g § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt denna lag eller föreskrifter som har meddelats med stöd av denna lag.

Denna lag träder i kraft den 25 maj 2018.

Prop. 2017/18:218

Bilaga 3

323

Prop. 2017/18:218

Bilaga 3

Förslag till lag om ändring i studiestödsdatalagen (2009:287)

Härigenom föreskrivs i fråga om studiestödsdatalagen (2009:287) dels att 15 § ska upphävas,

dels att rubriken närmast före 15 § ska utgå,

dels att 2, 6–8 och 16 §§ samt rubriken närmast före 2 § ska ha följande lydelse.

 

Nuvarande lydelse

 

 

Föreslagen lydelse

 

 

 

 

Förhållandet till personuppgifts-

Förhållandet till annan data-

 

lagen och lagen om den officiella

skyddsreglering

 

 

 

 

 

statistiken

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2 §

 

 

 

 

 

 

 

I den

mån personuppgiftslagen

Denna lag kompletterar Europa-

 

(1998:204)

innehåller bestäm-

parlamentets och rådets förord-

 

melser om behandling av person-

ning (EU) 2016/679 av den 27

 

uppgifter som saknar motsvarighet

april 2016 om skydd för fysiska

 

i denna lag, ska personuppgifts-

personer med avseende på be-

 

lagen tillämpas vid behandling av

handling

av

personuppgifter

och

 

personuppgifter i Centrala studie-

om det fria flödet av sådana

 

stödsnämndens

studiestödsverk-

uppgifter och om upphävande av

 

samhet.

 

 

 

 

direktiv 95/46/EG (allmän data-

 

 

 

 

 

 

skyddsförordning).

 

 

 

 

 

 

 

 

 

Lagen (2018:xx) med komplet-

 

 

 

 

 

 

terande

bestämmelser

till

EU:s

 

 

 

 

 

 

dataskyddsförordning

gäller

vid

 

 

 

 

 

 

behandling

av

personuppgifter

 

 

 

 

 

 

enligt denna lag, om inte annat

 

 

 

 

 

 

följer av denna lag eller före-

 

 

 

 

 

 

skrifter som har meddelats med

 

 

 

 

 

 

stöd av lagen eller lagen med

 

 

 

 

 

 

kompletterande

bestämmelser

till

 

 

 

 

 

 

EU:s dataskyddsförordning.

 

 

 

Vid Centrala studiestödsnämndens behandling av personuppgifter för

 

att framställa statistik ska lagen (2001:99) om den officiella statistiken

 

och anslutande författningar tillämpas i stället för denna lag.

 

 

 

 

 

 

 

 

 

6 §

 

 

 

 

 

 

 

Särskilda

begränsningar

gäller

Särskilda

begränsningar

gäller

 

för behandling av personuppgifter

för behandling av personuppgifter

 

som

 

 

 

 

som avslöjar ras eller etniskt

 

1. avslöjar ras, etniskt ursprung,

ursprung, politiska åsikter, religiös

 

politiska

åsikter,

religiös

eller

eller filosofisk

övertygelse

eller

 

filosofisk övertygelse eller med-

medlemskap

i fackförening

samt

 

lemskap i fackförening,

 

för behandling av genetiska upp-

 

2. avser

lagöverträdelser

som

gifter, biometriska uppgifter för att

324

innefattar brott, domar i brottmål,

entydigt

identifiera

en

fysisk

 

 

 

 

 

 

 

 

 

 

 

 

straffprocessuella tvångsmedel eller administrativa frihetsberöv- anden, eller

3. rör hälsa eller sexualliv.

Uppgifter enligt första stycket får behandlas bara för ändamål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket.

person, uppgifter om

hälsa

 

eller

Prop. 2017/18:218

uppgifter om en fysisk persons

Bilaga 3

sexualliv eller sexuella läggning.

 

Särskilda

begränsningar

gäller

 

även för behandling av person-

 

uppgifter som avser lagöver-

 

trädelser som

innefattar

brott,

 

domar i brottmål, straffprocess-

 

uella tvångsmedel eller admi-

 

nistrativa frihetsberövanden.

 

 

 

Uppgifter

enligt

första

 

och

 

andra stycket får behandlas bara

 

för ändamål som avses i 4 § första

 

stycket 1,

om

uppgifterna

har

 

lämnats i ett ärende i studiestöds-

 

verksamheten

eller

behövs

för

 

handläggningen av ett sådant ären-

 

de, eller för ändamål som avses i

 

4 § första

stycket 6

och

andra

 

stycket.

 

 

 

 

 

 

7 §

Trots 4 § första stycket får personuppgifter behandlas i Centrala studiestödsnämndens studiestödsverksamhet med den registrerades samtycke. Uppgifter som avses i 6 § får behandlas för andra ändamål än som anges i paragrafen bara med den registrerades uttryckliga samtycke.

Uppgifter som behandlas med samtycke enligt första stycket får också behandlas enligt 4 § andra stycket.

I de fall då behandling av per- sonuppgifter i Centrala studie- stödsnämndens studiestödsverk- samhet bara är tillåten när den registrerade har lämnat sitt sam- tycke, har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personupp- gifter om den registrerade får därefter inte behandlas.

8 § Som sökbegrepp får inte användas

1. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,

2. genetiska uppgifter, biomet-

riska uppgifter för att entydigt

 

identifiera en fysisk person, upp-

 

gifter om hälsa eller uppgifter om

 

en fysisk persons sexualliv eller

 

sexuella läggning,

325

Prop. 2017/18:218

Bilaga 3

326

2. uppgifter som avser lagöver-

3. uppgifter som avser lagöver-

trädelser som innefattar brott,

trädelser som innefattar brott,

domar i brottmål, straffproces-

domar i brottmål, straffprocess-

suella tvångsmedel eller admi-

uella tvångsmedel eller admi-

nistrativa frihetsberövanden,

nistrativa frihetsberövanden,

3. uppgifter som rör hälsa, sex-

4. uppgifter som rör inkomst,

ualliv, inkomst, förmögenhet eller

förmögenhet eller anledning till

anledning till studieavbrott, eller

studieavbrott, eller

4. uppgift om att det allmänna

5. uppgift om att det allmänna

helt eller till en väsentlig del be-

helt eller till en väsentlig del

kostat en persons uppehälle.

bekostat en persons uppehälle.

Vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sökbegrepp som anges i första stycket användas. Som sökbegrepp får också användas uppgifter som rör

1.hälsa för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och

2.inkomst och förmögenhet för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.

16 §

Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska person- uppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.

Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att per- sonuppgifter får bevaras för his- toriska, statistiska eller veten- skapliga ändamål eller för redo- visningsändamål, även om före- skrifterna kommer att avvika från första stycket. Centrala studie- stödsnämnden får också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att per- sonuppgifter får bevaras för arkiv- ändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska

ändamål eller för redovisnings- ändamål, även om föreskrifterna kommer att avvika från första stycket. Centrala studiestödsnämn- den får också, trots första stycket, i enstaka fall besluta att person- uppgifterna i ett ärende om studie- stöd ska bevaras på papper eller annat medium som inte är elektro-

niskt.

Prop. 2017/18:218

 

Bilaga 3

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter gäller fortfarande för ärenden hos Datainspek- tionen eller Centrala studiestödsnämnden som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.

3.Äldre föreskrifter gäller fortfarande för överklagande av beslut som

avser behandlingar som utförts före ikraftträdandet.

4. Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.

327

Prop. 2017/18:218

Förslag till lag om ändring i skollagen (2010:800)

Bilaga 3

Härigenom föreskrivs att det i skollagen (2010:800) ska införas ett nytt

 

 

kapitel, 28 a kap., av följande lydelse.

 

28 a kap. Behandling av personuppgifter

 

1 § Detta kapitel tillämpas vid behandling av personuppgifter i verk-

 

samhet som utförs med stöd av denna lag eller föreskrifter som med-

 

delats med stöd av lagen och de bestämmelser för utbildningen som kan

 

finnas i andra författningar samt beslut som meddelats med stöd av dessa

 

av

 

1. en huvudman inom skolväsendet enligt 2 kap.,

 

2. en hemkommun enligt denna lag, eller

 

3. en aktör enligt 24 och 25 kap.

 

Förhållandet till annan dataskyddsreglering

 

2 § Bestämmelserna i detta kapitel kompletterar Europaparlamentets

 

och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för

 

fysiska personer med avseende på behandling av personuppgifter och om

 

det fria flödet av sådana uppgifter och om upphävande av direktiv

 

95/46/EG (allmän dataskyddsförordning), nedan kallad dataskydds-

 

förordningen.

 

Lagen (2018:xx) med kompletterande bestämmelser till EU:s data-

 

skyddsförordning gäller vid behandling av personuppgifter, om inte

 

annat följer av bestämmelserna i detta kapitel eller föreskrifter som har

 

meddelats med stöd av 9 § tredje stycket eller 10 § eller lagen med

 

kompletterande bestämmelser till EU:s dataskyddsförordning.

 

Detta kapitel ska inte tillämpas på vårdgivares behandling av

 

personuppgifter inom hälso- och sjukvården eller Kriminalvårdens

 

verksamhet enligt 24 kap. 10 §.

Känsliga personuppgifter

3 § Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskydds- förordningen behandlas av ett sådant organ som avses i 1 §

1.i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, eller

2.om uppgifterna har lämnats till organet och behandlingen krävs enligt lag.

 

4 § I grundsärskolan, specialskolan, gymnasiesärskolan och särskild

 

utbildning för vuxna får med stöd av artikel 9.2 g i dataskydds-

 

förordningen uppgifter om hälsa behandlas om det är nödvändigt för

 

ändamålet med behandlingen och behandlingen inte innebär ett otill-

 

börligt intrång i den registrerades personliga integritet.

 

Vad som föreskrivs i första stycket gäller även

 

1. i gymnasieskolan med Rh-anpassad utbildning,

 

2. i utbildning i gymnasieskolan för elever som är döva, hörselskadade

328

eller dövblinda eller har en språkstörning,

 

3. i fristående förskoleklass som begränsats till att avse elever som är i

Prop. 2017/18:218

behov av särskilt stöd för sin utveckling enligt 9 kap. 17 §,

Bilaga 3

4.i fristående grundskola som begränsats till att avse elever som är i behov av särskilt stöd enligt 10 kap. 35 § 2, och

5.i fristående gymnasieskola som begränsats till att avse elever som är

ibehov av särskilt stöd enligt 15 kap. 33 § 1.

5 § I sameskolan får med stöd av artikel 9.2 g i dataskyddsförordningen uppgifter om etniskt ursprung behandlas om det är nödvändigt för ända- målet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

6 § En hemkommun får med stöd av artikel 9.2 g i dataskydds- förordningen behandla uppgifter om hälsa om det är nödvändigt för handläggningen av

1.ett ärende om mottagande i grundsärskolan enligt 7 kap. 5 § andra stycket,

2.ett ärende om en sökande tillhör målgruppen för gymnasiesärskolan enligt 18 kap. 5 §, eller

3.ett ärende om tilläggsbelopp för en elev som har ett omfattande

behov av särskilt stöd.

För att behandlingen enligt första stycket ska vara tillåten krävs dessutom att den inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

7 § En hemkommun får med stöd av artikel 9.2 g i dataskydds- förordningen behandla uppgifter om etniskt ursprung och hälsa i form av elevens namn, personnummer, samordningsnummer, adress och vård- nadshavare om det är nödvändigt för att fullgöra skyldigheter enligt 7 kap. 21 §.

8 § Utöver vad som följer av 3–7 §§ får ett organ som avses i 1 § behandla känsliga personuppgifter med stöd av artikel 9.2 g i data- skyddsförordningen i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otill- börligt intrång i den registrerades personliga integritet.

9 § Vid behandling enligt 3–8 §§ får sökbegrepp som avslöjar känsliga personuppgifter inte användas. Förbudet i första stycket gäller inte an- vändning av sökbegrepp som avslöjar

1.hälsa i de utbildningsformer som anges i 4 §,

2.etniskt ursprung i sameskolan som anges i 5 §,

3.hälsa i hemkommunen i ärenden som anges i 6 §, och

4.hälsa eller etniskt ursprung i form av namn, personnummer, samordningsnummer och adress i hemkommunen som anges i 7 §.

Regeringen får meddela föreskrifter om begränsningar av möjligheten att använda de sökbegrepp som anges i andra stycket.

10 § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hän-

329

Prop. 2017/18:218

Bilaga 3

330

syn till det viktiga allmänna intresset att anordna utbildning enligt denna lag eller föreskrifter som har meddelats med stöd av denna lag.

Personuppgifter som rör lagöverträdelser

11 § Fristående skolor får behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straff- processuella tvångsmedel

1.i elevhälsan i löpande text om det är absolut nödvändigt för ändamålet med behandlingen, och

2.i skriftlig dokumentation som ska föras enligt 5 kap. 24 § om det är absolut nödvändigt för ändamålet med behandlingen.

Denna lag träder i kraft den 25 maj 2018.

Förteckning över remissinstanser

Prop. 2017/18:218

Bilaga 4

Efter remiss har yttranden över betänkandet avgetts av Kammarrätten i Stockholm, Förvaltningsrätten i Linköping, Justitiekanslern, Kriminal- vården, Migrationsverket, Datainspektionen, Försäkringskassan, Barn- ombudsmannen, Statens institutionsstyrelse, Statistiska centralbyrån, Statens skolverk, Statens skolinspektion, Specialpedagogiska skolmyn- digheten, Sameskolstyrelsen, Skolväsendets överklagandenämnd, Skol- forskningsinstitutet, Myndigheten för yrkeshögskolan, Universitets- kanslersämbetet, Universitets- och högskolerådet, Överklagandenämnden för högskolan, Högskolans avskiljandenämnd, Centrala studiestöds- nämnden, Överklagandenämnden för studiestöd, Försvarshögskolan, Karlstads universitet, Göteborgs universitet, Uppsala universitet, Söder- törns högskola, Högskolan i Skövde, Luleå tekniska universitet, Dalarnas läns landsting, Jönköpings läns landsting, Västerbottens läns landsting, Askersunds kommun, Bergs kommun, Eskilstuna kommun, Eslövs kommun, Göteborgs kommun, Halmstads kommun, Kils kommun, Luleå kommun, Stockholms kommun, Trollhättans kommun, Umeå Kommun, Varbergs kommun, Vilhelmina kommun, Transportstyrelsen, Sveriges lantbruksuniversitet, Arbetsförmedlingen, Academedia AB, Chalmers tekniska högskola AB, Dataskydd.net, Folkbildningsrådet, Friskolornas riksförbund, Funktionsrätt Sverige, Stiftelsen Högskolan i Jönköping, Lärarnas riksförbund, Riksförbundet för barn, unga och vuxna med utvecklingsstörning (FUB), Rörelsefolkhögskolornas intresseorgani- sation, Studieförbunden i samverkan, Studieförbundet SISU Idrottsut- bildarna, Sveriges förenade studentkårer, Sveriges Kommuner och Landsting och Sveriges skolledarförbund.

Utanför remisslistan har dessutom Svensk kollektivtrafik inkommit med yttranden.

Följande myndigheter och organisationer har beretts tillfälle att yttra sig men har avstått: Riksdagens ombudsmän (JO), Skolforskningsinsti- tutet, Blekinge läns landsting, Västra Götalands läns landsting, Enkö- pings kommun, Falköpings kommun, Grums kommun, Gullspångs kommun, Gällivare kommun, Haninge Kommun, Hudiksvalls kommun, Kalmar kommun, Kramfors kommun, Kristianstad kommun, Ockelbo kommun, Ronneby kommun, Säters kommun, Upplands-Bro kommun, Vadstena kommun, Västerviks kommun, Växjö kommun, Örebro kom- mun, Fridaskolorna AB, Fria konstnärliga och hantverksinriktade utbild- ningar, FSO Fria förskolor, Idéburna skolors riksförbund, Internationella Engelska skolan AB, Kunskapsskolan AB, Ladokkonsortiet, Lärarför- bundet, Sophiahemmet Högskola, Sveriges elevråd och Sveriges uni- versitets- och högskoleförbund.

331

Prop. 2017/18:218

Bilaga 5

Lagrådsremissens lagförslag

Lagförslag

Regeringen har följande förslag till lagtext.

Förslag till lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina

Härigenom föreskrivs i fråga om lagen (1993:792) om tillstånd att utfärda vissa examina3

dels att nuvarande 5 och 6 §§ ska betecknas 6 och 5 §§,

dels att det ska införas fem nya paragrafer, 10–14 §§, och närmast före 10 § en ny rubrik av följande lydelse,

dels att det ska införas en ny rubrik närmast före 1 § som ska lyda ”Tillstånd att utfärda examina”, en ny rubrik närmast före den nya 6 § som ska lyda ”Uppföljning och utvärdering”, en ny rubrik närmast före 7 § som ska lyda ”Återkallelse av tillstånd” och en ny rubrik närmast före 8 § som ska lyda ”Utfärdande av examina utan tillstånd”.

Behandling av personuppgifter

10 § Bestämmelserna i 13 och 14 §§ tillämpas vid behandling av personuppgifter i verksamhet hos en enskild utbildningsanordnare som har fått tillstånd att utfärda examina och som bedrivs med stöd av denna lag, bestämmelser för utbildningen som kan finnas i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.

11 § Bestämmelserna i 13 och 14 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskydds- förordning.

Termer och uttryck i 13 och 14 §§ har samma betydelse som i EU:s dataskyddsförordning.

12 § Bestämmelser som kompletterar EU:s dataskyddsförordning finns även i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.

3 Senaste lydelse av

5 § 2000:1371

6 § 2000:1371.

332

13 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare

1.om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller

2.i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

För enskilda utbildningsanordnare som enligt 3 kap. 3 § tredje stycket dataskyddslagen jämställs med myndigheter finns det även bestämmelser om behandling av känsliga personuppgifter med stöd av artikel 9.2 g i EU:s dataskyddsförordning i 3 kap. 3 § första stycket 1 dataskyddslagen. Bestämmelser om sökbegränsningar för sådana utbildningsanordnare finns i 3 kap. 3 § andra stycket dataskyddslagen.

14 § Personuppgifter som rör fällande domar i brottmål får behandlas av en enskild utbildningsanordnare om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en student från utbildning.

För enskilda utbildningsanordnare som är skyldiga att följa föreskrifter om arkiv finns det även bestämmelser om nödvändig behandling för det syftet av sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § andra stycket dataskyddslagen.

Denna lag träder i kraft den 1 augusti 2018.

Prop. 2017/18:218

Bilaga 5

333

Prop. 2017/18:218

Bilaga 5

Förslag till lag om ändring i lagen (2009:128) om yrkeshögskolan

Härigenom föreskrivs att det i lagen (2009:128) om yrkeshögskolan ska införas fem nya paragrafer, 19 a–19 e §§, och närmast före 19 a § en ny rubrik av följande lydelse.

Behandling av personuppgifter

19 a § Bestämmelserna i 19 d och 19 e §§ tillämpas vid behandling av personuppgifter i verksamhet inom yrkeshögskolan som bedrivs av en enskild utbildningsanordnare med stöd av denna lag, föreskrifter som meddelats med stöd av lagen, bestämmelser för utbildningen som kan finnas i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.

19 b § Bestämmelserna i 19 d och 19 e §§ kompletterar Europaparla- mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i 19 d och 19 e §§ har samma betydelse som i EU:s dataskyddsförordning.

19 c § Bestämmelser som kompletterar EU:s dataskyddsförordning finns även i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.

19 d § Personuppgifter som avses i artikel 9.1 i EU:s dataskydds- förordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare

1.om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller

2.i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på

känsliga personuppgifter.

För myndigheter finns bestämmelser om behandling av känsliga personuppgifter med stöd av artikel 9.2 g i EU:s dataskyddsförordning i 3 kap. 3 § första stycket dataskyddslagen. Bestämmelser om sökbegräns- ningar för myndigheter finns i 3 kap. 3 § andra stycket dataskyddslagen.

19 e § Personuppgifter som rör fällande domar i brottmål får behandlas av en enskild utbildningsanordnare om behandlingen är nödvändig för en

334

hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en studerande från utbildning.

För myndigheter finns det bestämmelser om behandling av person- uppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § första stycket dataskyddslagen.

Denna lag träder i kraft den 1 augusti 2018.

Prop. 2017/18:218

Bilaga 5

335

Prop. 2017/18:218

Bilaga 5

Förslag till lag om ändring i studiestödsdatalagen (2009:287)

Härigenom föreskrivs i fråga om studiestödsdatalagen (2009:287) dels att 7 och 15 §§ ska upphöra att gälla,

dels att rubriken närmast före 15 § ska utgå,

dels att 2, 5, 6, 8, 10 och 16 §§ och rubriken närmast före 2 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 2 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till personupp-

Förhållandet till annan data-

giftslagen och lagen om den

skyddsreglering

officiella statistiken

 

 

2 §

I den mån personuppgiftslagen

(1998:204) innehåller bestäm- melser om behandling av person- uppgifter som saknar motsvarighet i denna lag, ska personuppgifts- lagen tillämpas vid behandling av personuppgifter i Centrala studie- stödsnämndens studiestödsverk- samhet.

Vid Centrala studiestödsnämnd- ens behandling av personuppgifter för att framställa statistik ska lagen (2001:99) om den officiella statistiken och anslutande författ- ningar tillämpas i stället för denna lag.

Denna lag kompletterar Europa- parlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.

2 a §

Vid behandling av person- uppgifter enligt denna lag gäller lagen (2018:000) med komplette- rande bestämmelser till EU:s dataskyddsförordning, här be- nämnd dataskyddslagen, och före- skrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna lag.

Vid Centrala studiestöds-

nämndens behandling av person-

336

5 §

Behandling av personuppgifter som enligt denna lag är tillåten utan den registrerades samtycke får utföras även om den regi- strerade motsätter sig behand- lingen.

6 §

Särskilda begränsningar gäller för behandling av personuppgifter som

1. avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller med- lemskap i fackförening,

2.avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberöv- anden, eller

3.rör hälsa eller sexualliv. Uppgifter enligt första stycket får behandlas bara för ändamål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket.

uppgifter för att framställa statistik

Prop. 2017/18:218

ska lagen (2001:99) om den

Bilaga 5

officiella statistiken

och anslut-

 

ande författningar

tillämpas i

 

stället för denna lag.

 

 

Artikel 21.1 i EU:s dataskydds- förordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Personuppgifter som avses i artikel 9.1 i EU:s data- skyddsförordning (känsliga personuppgifter) och personupp- gifter som avses i artikel 10 samma förordning får behandlas av Centrala studiestödsnämnden för ändamål som avses i 4 § första stycket 1 och 6 och andra stycket.

8 §

Som sökbegrepp får inte an- vändas

1. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,

2. uppgifter som avser lagöver- trädelser som innefattar brott, domar i brottmål, straffprocess- uella tvångsmedel eller admi- nistrativa frihetsberövanden,

Det är förbjudet att använda sökbegrepp som avslöjar

1.känsliga personuppgifter,

2.personuppgifter som avses i artikel 10 i EU:s dataskydds- förordning,

337

Prop. 2017/18:218

Bilaga 5

3. uppgifter som rör hälsa, sex-

3. uppgifter

som

rör inkomst,

ualliv, inkomst, förmögenhet eller

förmögenhet

eller

anledning till

anledning till studieavbrott, eller

studieavbrott, eller

 

4. uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle.

Vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sökbegrepp som anges i första stycket användas. Som sök- begrepp får också användas upp- gifter som rör

1.hälsa för att ge behörig perso- nal elektronisk tillgång till på- gående ärenden där sjukdom har betydelse, och

2.inkomst och förmögenhet för att ge behörig personal elektronisk

tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.

Sökbegrepp som avslöjar upp- gifter som anges i första stycket får dock användas vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan av- skild samling av personuppgifter som avses i 4 § andra stycket andra meningen.

Sökbegrepp får också användas om de avslöjar uppgifter som rör

1.hälsa, om det är nödvändigt för att ge behörig personal elek- tronisk tillgång till pågående ären- den där sjukdom har betydelse, och

2.inkomst och förmögenhet, om det är nödvändigt för att ge behö- rig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.

10 §

Direktåtkomst till och annat el- ektroniskt utlämnande utan den registrerades samtycke av person- uppgifter som behandlas i Centrala studiestödsnämndens studiestöds- verksamhet, är tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att 4 och 6–8 §§ följs.

Direktåtkomst till och annat el- ektroniskt utlämnande av person- uppgifter som behandlas i Centrala studiestödsnämndens studiestöds- verksamhet, är tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att 4, 6 och 8 §§ följs.

338

 

 

 

16 §

 

 

 

 

Prop. 2017/18:218

Om

återbetalning

eller återkrav

av studiestöd inte är aktuellt i

ett

Bilaga 5

ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre

 

år efter utgången av det kalenderår då studiestöd senast beviljades i

 

ärendet eller ansökan om studiestöd avslogs. I annat fall ska person-

 

uppgifterna i ärendet gallras senast två år efter utgången av det

 

kalenderår då full betalning skedde eller betalningsskyldigheten annars

 

upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett

 

nytt ärende om studiestöd eller som kan ha betydelse för återkrav av

 

studiestöd i form av bidrag behöver dock inte gallras förrän de inte

 

längre kan ha sådan betydelse.

 

 

 

 

 

 

 

Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den

 

utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast

 

ett år efter det att uppgifterna registrerades.

 

 

 

 

 

Regeringen eller den myndighet

Regeringen eller den myndighet

 

som

regeringen bestämmer

får

som regeringen bestämmer

får

 

meddela föreskrifter om att per-

meddela föreskrifter om att per-

 

sonuppgifter får bevaras för his-

sonuppgifter får bevaras för arkiv-

 

toriska, statistiska eller veten-

ändamål

av

allmänt

intresse,

 

skapliga ändamål eller för redo-

vetenskapliga

eller

historiska

 

visningsändamål, även om före-

forskningsändamål,

statistiska

 

skrifterna kommer att avvika från

ändamål eller för redovisnings-

 

första stycket. Centrala studie-

ändamål,

även

om föreskrifterna

 

stödsnämnden får

också,

trots

kommer att avvika från första

 

första stycket, i enstaka fall besluta

stycket. Centrala studiestödsnämn-

 

att personuppgifterna i ett ärende

den får också, trots första stycket, i

 

om studiestöd ska bevaras på

enstaka fall besluta att person-

 

papper eller annat medium som

uppgifterna i ett ärende om studie-

 

inte är elektroniskt.

 

 

stöd ska bevaras på papper eller

 

 

 

 

 

annat medium som inte är elektro-

 

 

 

 

 

niskt.

 

 

 

 

 

Denna lag träder i kraft den 1 augusti 2018.

339

Prop. 2017/18:218

Förslag till lag om ändring i skollagen (2010:800)

Bilaga 5

Härigenom föreskrivs att det i skollagen (2010:800) ska införas ett nytt

 

 

kapitel, 28 a kap., av följande lydelse.

 

28 a kap. Behandling av personuppgifter

 

1 § Detta kapitel tillämpas vid behandling av personuppgifter i verk-

 

samhet som bedrivs med stöd av denna lag, föreskrifter som meddelats

 

med stöd av lagen, bestämmelser för utbildningen som kan finnas i annan

 

författning eller beslut som meddelats med stöd av någon av dessa för-

 

fattningar.

 

Detta kapitel ska inte tillämpas på behandling av personuppgifter i

 

elevhälsan som utförs inom hälso- och sjukvården.

 

Förhållandet till annan dataskyddsreglering

 

2 § Bestämmelserna i detta kapitel kompletterar Europaparlamentets

 

och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för

 

fysiska personer med avseende på behandling av personuppgifter och om

 

det fria flödet av sådana uppgifter och om upphävande av direktiv

 

95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskydds-

 

förordning.

 

Termer och uttryck i detta kapitel har samma betydelse som i EU:s

 

dataskyddsförordning.

 

3 § Bestämmelser som kompletterar EU:s dataskyddsförordning finns

även i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.

 

Känsliga personuppgifter

 

4 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning

 

(känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förord-

 

ning behandlas hos en enskild huvudman enligt 2 kap. eller hos en en-

 

skild aktör enligt 24 eller 25 kap.

 

1. om behandlingen är nödvändig för en hantering som motsvarar

 

handläggning av ett ärende hos en myndighet, eller

 

2. i annat fall, om behandlingen är nödvändig av hänsyn till ett viktigt

 

allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades

 

personliga integritet.

 

Vid behandling som sker med stöd av första stycket är det förbjudet att

 

utföra sökningar i syfte att få fram ett urval av personer grundat på

 

känsliga personuppgifter.

 

För myndigheter och organ som enligt 3 kap. 3 § tredje stycket data-

 

skyddslagen jämställs med myndigheter finns det även bestämmelser om

 

behandling av känsliga personuppgifter med stöd av artikel 9.2 g i EU:s

 

dataskyddsförordning i 3 kap. 3 § första stycket dataskyddslagen.

 

Bestämmelser om sökbegränsningar för myndigheter och sådana organ

340

finns i 3 kap. 3 § andra stycket dataskyddslagen.

 

5 § Regeringen får meddela föreskrifter om undantag från de sökbe- gränsningar som avses i 4 § andra stycket denna lag och i 3 kap. 3 § andra stycket dataskyddslagen i fråga om personuppgifter om hälsa i verksamhet hos en huvudman för

1.grundsärskola,

2.specialskolan,

3.gymnasiesärskola,

4.särskild utbildning för vuxna,

5.gymnasieskola med Rh-anpassad utbildning,

6.utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning, och

7.förskola, förskoleklass eller skola som har begränsats till att avse elever som är i behov av särskilt stöd.

Regeringen får också meddela föreskrifter om undantag från sökbe- gränsningen i 3 kap. 3 § andra stycket dataskyddslagen i fråga om personuppgifter om

1.etniskt ursprung i verksamhet hos en huvudman för sameskolan, och

2.hälsa och etniskt ursprung i verksamhet hos en kommun.

Personuppgifter som rör lagöverträdelser

6 § Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas i verksamhet hos en huvudman för en fristående skola om behandlingen är nödvändig i verksamheten och inte innebär ett otill- börligt intrång i den registrerades personliga integritet

1.i löpande text inom elevhälsan, och

2.i skriftlig dokumentation som ska föras enligt 5 kap. 24 §.

För myndigheter finns det bestämmelser om behandling av person- uppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § första stycket dataskyddslagen. För andra än myndigheter som är skyldiga att följa föreskrifter om arkiv finns det även bestämmelser om nödvändig behandling för det syftet av sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § andra stycket data- skyddslagen.

Denna lag träder i kraft den 1 augusti 2018.

Prop. 2017/18:218

Bilaga 5

341

Prop. 2017/18:218

Bilaga 6

342

Lagrådets yttrande

Utdrag ur protokoll vid sammanträde 2018-03-21

Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka

Behandling av personuppgifter på utbildningsområdet

Enligt en lagrådsremiss den 1 mars 2018 har regeringen (Utbildnings- departementet) beslutat inhämta Lagrådets yttrande över förslag till

1.lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina,

2.lag om ändring i lagen (2009:128) om yrkeshögskolan,

3.lag om ändring i studiestödsdatalagen (2009:287),

4.lag om ändring i skollagen (2010:800).

Förslagen har inför Lagrådet föredragits av kanslirådet Anita Stawarz och departementssekreteraren Drazenko Jozic.

Förslagen föranleder följande yttrande av Lagrådet:

Förslaget till lag om ändring i lagen om tillstånd att utfärda vissa examina

10 §

Orden ”som kan finnas” bör bytas mot ”finns”, särskilt som det av författningskommentaren framgår att bestämmelser av åsyftat slag redan i dag förekommer i andra författningar.

12 §

Paragrafens inledning bör kunna förenklas enligt följande.

Bestämmelser om behandling av personuppgifter finns även i lagen…

13 §

Tredje stycket bör kunna förenklas enligt följande.

För vissa enskilda utbildningsanordnare som jämställs med myndigheter finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.

14 §

Upplysningsbestämmelsen i andra stycket framstår som överflödig och kan undvaras.

Förslaget till lag om ändring i lagen om yrkeshögskolan

19 a §

Se Lagrådets synpunkt angående 10 § lagen om tillstånd att utfärda vissa examina. För att uppnå en enhetlighet i förhållande till motsvarande bestämmelse i skollagen bör vidare orden ”av en enskild utbildningsanordnare” utgå.

19 c §

Se Lagrådets synpunkt angående 12 § lagen om tillstånd att utfärda vissa examina.

19 d §

Tredje stycket bör kunna förenklas enligt följande.

För myndigheter finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.

Förslaget till lag om ändring i studiestödsdatalagen

Rubriken närmast före 2 §

Med hänsyn till intresset av enhetlighet bör rubriken utformas med beaktande av hur motsvarande rubriker har utformats i andra registerlagar som anpassas med anledning av EU:s dataskyddsförordning. Rubriken bör därför ändras till ”Förhållandet till annan reglering”. (Jfr remissförslaget till ändring i skollagen, som inte är en registerlag.)

2 a §

Eftersom lagen med kompletterande bestämmelser till EU:s dataskyddsförordning inte förekommer i någon av de följande paragraferna i lagen saknas skäl att införa en särskild benämning på lagen. Den inskjutna satsen ”här benämnd dataskyddslagen” bör därför utgå.

Förslaget till lag om ändring i skollagen

Kapitlets placering

I remissen föreslås att det nya kapitlet ska införas i skollagen som 28 a kap. Denna placering innebär att kapitlets bestämmelser kommer efter 28 kap. som har rubriken Överklagande. Det framstår sakligt sett som en

Prop. 2017/18:218

Bilaga 6

343

Prop. 2017/18:218

Bilaga 6

344

mindre lämplig placering. Det är naturligare att det nya kapitlet i stället placeras efter 26 kap. som ett nytt 26 a kap. Bestämmelserna kommer då före de båda kapitel som reglerar överklagandefrågor.

1 §

Se Lagrådets synpunkt angående 10 § lagen om tillstånd att utfärda vissa examina.

3 §

Se Lagrådets synpunkt angående 12 § lagen om tillstånd att utfärda vissa examina.

4 §

Tredje stycket bör kunna förenklas enligt följande.

För myndigheter och vissa organ finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § data- skyddslagen.

5 §

Hänvisningarna till andra bestämmelser i paragrafens inledning bör förtydligas enligt följande.

Regeringen får meddela föreskrifter om undantag från de sök- begränsningar som avses i 4 § andra stycket samt i 3 kap. 3 § andra stycket dataskyddslagen…

6 §

Andra stycket bör kunna förenklas enligt följande.

För myndigheter finns det bestämmelser om behandling av person- uppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen. Där finns det även bestämmelser för andra än myndigheter som är skyldiga att följa föreskrifter om arkiv.

Prop. 2017/18:218

Utbildningsdepartementet

Utdrag ur protokoll vid regeringssammanträde den 5 april 2018

Närvarande: statsminister Löfven, ordförande, och statsråden

M Johansson, Baylan, Hallengren, Bucht, Hultqvist, Andersson, Bolund, Shekarabi, Fridolin, Linde, Ekström, Fritzon, Eneroth

Föredragande: statsrådet Gustav Fridolin

Regeringen beslutar proposition 2017/18:218 Behandling av personuppgifter på utbildningsområdet

345