Utbildningsutskottets betänkande
|
Behandling av personuppgifter på utbildningsområdet
Sammanfattning
Utskottet ställer sig bakom regeringens förslag till lag om ändring i lagen om tillstånd att utfärda vissa examina, lag om ändring i lagen om yrkeshögskolan, lag om ändring i studiestödsdatalagen och lag om ändring i skollagen.
De lagändringar som utskottet tillstyrker innebär kompletteringar och anpassningar till
– Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
– den lag som föreslås i propositionen Ny dataskyddslag (prop. 2017/18:105) med kompletterande bestämmelser till EU:s dataskyddsförordning
– föreskrifter som meddelas med stöd av den lagen.
De kompletterande bestämmelser som föreslås syftar till att möjliggöra en fortsatt ändamålsenlig behandling av personuppgifter på utbildningsområdet samtidigt som den enskildes fri- och rättigheter skyddas, oavsett om behandlingen utförs av offentliga eller enskilda aktörer.
Lagändringarna föreslås träda i kraft den 1 augusti 2018.
Utskottet anser att riksdagen bör avslå motionsyrkandena.
I betänkandet finns två reservationer (V).
Behandlade förslag
Proposition 2017/18:218 Behandling av personuppgifter på utbildningsområdet.
Två yrkanden i en följdmotion.
Utskottets förslag till riksdagsbeslut
Propositionens huvudsakliga innehåll
Behandling av personuppgifter på utbildningsområdet
Kvalitetsmärkning av säkra appar och molntjänster för elever
Konsekvenser för studentkårerna
1.Kvalitetsmärkning av säkra appar och molntjänster för elever, punkt 2 (V)
2.Konsekvenser för studentkårerna, punkt 3 (V)
Bilaga 1
Förteckning över behandlade förslag
Bilaga 2
Regeringens lagförslag
Utskottets förslag till riksdagsbeslut
1. |
Behandling av personuppgifter på utbildningsområdet |
Riksdagen antar regeringens förslag till
1. lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina,
2. lag om ändring i lagen (2009:128) om yrkeshögskolan,
3. lag om ändring i studiestödsdatalagen (2009:287),
4. lag om ändring i skollagen (2010:800).
Därmed bifaller riksdagen proposition 2017/18:218 punkterna 1–4.
2. |
Kvalitetsmärkning av säkra appar och molntjänster för elever |
Riksdagen avslår motion
2017/18:4130 av Daniel Riazat m.fl. (V) yrkande 1.
Reservation 1 (V)
3. |
Konsekvenser för studentkårerna |
Riksdagen avslår motion
2017/18:4130 av Daniel Riazat m.fl. (V) yrkande 2.
Reservation 2 (V)
Stockholm den 12 juni 2018
På utbildningsutskottets vägnar
Matilda Ernkrans
Följande ledamöter har deltagit i beslutet: Matilda Ernkrans (S), Christer Nylander (L), Erik Bengtzboe (M), Thomas Strand (S), Betty Malmberg (M), Caroline Helmersson Olsson (S), Stefan Jakobsson (SD), Michael Svensson (M), Håkan Bergman (S), Ulrika Carlsson i Skövde (C), Elisabet Knutsson (MP), Maria Stockhaus (M), Gunilla Svantorp (S), Robert Stenkvist (SD), Daniel Riazat (V), Annika Eclund (KD) och Roza Güclü Hedin (S).
I betänkandet behandlar utskottet regeringens proposition 2017/18:218 Behandling av personuppgifter på utbildningsområdet. De behandlade förslagen finns i bilaga 1 och regeringens lagförslag i bilaga 2.
Dataskyddsdirektivet ska ersättas av en dataskyddsförordning
När myndigheter och enskilda behandlar personuppgifter inom utbildningsområdet sker det i huvudsak med stöd av personuppgiftslagen (1998:204), förkortad PUL. Med utbildningsområdet avses bl.a. skolväsendet och annan verksamhet som regleras i skollagen (2010:800), den verksamhet som bedrivs av universitet och högskolor, yrkeshögskolan, folkbildningen och studiestödet. PUL är en lag som har tillkommit i syfte att genomföra Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).
Sedan dataskyddsdirektivet beslutades har den ekonomiska och sociala integrationen på EU:s inre marknad lett till en betydande ökning av gränsöverskridande flöden av personuppgifter. Vidare har den snabba tekniska utvecklingen och globaliseringen skapat nya utmaningar i fråga om skyddet av personuppgifter. Dessa förändringar har av EU:s medlemsstater ansetts kräva en stark och mer sammanhängande ram för dataskyddet inom EU. Dataskyddsdirektivet har inte heller förhindrat bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgifter har ansetts förhindra det fria flödet av personuppgifter och anses därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten. Av bl.a. ovan nämnda skäl antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Förordningen började tillämpas den 25 maj 2018 och syftar till att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Den syftar närmare till att skapa rättslig säkerhet och öppenhet för ekonomiska aktörer, ge fysiska personer i alla medlemsstater samma rättigheter och skyldigheter och ålägga dem som ansvarar för personuppgifterna samma ansvar. På så sätt avses övervakningen av behandling av personuppgifter bli enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt (skäl 10 och 13 till dataskyddsförordningen).
Dataskyddsförordningen har ett begränsat tillämpningsområde. Vid sidan av dataskyddsförordningen gäller Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.
Dataskyddsförordningen tillämpas fr.o.m. den 25 maj 2018 då dataskyddsdirektivet upphör att gälla (artikel 99.2 och 94.1 i dataskyddsförordningen). Dataskyddsförordningen ersätter alltså dataskyddsdirektivet. Denna förändring innebär att PUL upphävs och att det även i övrigt kommer att behöva göras ändringar i svensk rätt.
Dataskyddsförordningen är direkt tillämplig i medlemsstaterna men kan kompletteras i nationell rätt
Dataskyddsförordningen är till alla delar bindande och direkt tillämplig i medlemsstaterna (artikel 99.2 i dataskyddsförordningen). Till skillnad från EU-direktiv ska alltså EU-förordningar inte genomföras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmelser.
Även om dataskyddsförordningen är direkt tillämplig i medlemsstaterna, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Sådana bestämmelser måste dock vara förenliga med dataskyddsförordningen och avse en fråga som får regleras genom nationell rätt.
Dataskyddsförordningen ska kompletteras av en ny svensk övergripande lag och förordning om dataskydd
Till följd av att dataskyddsdirektivet upphävs och ersätts av dataskyddsförordningen beslutade regeringen den 15 februari 2018 propositionen Ny dataskyddslag (prop. 2017/18:105). I propositionen, som baseras på Dataskyddsutredningen (SOU 2017:39), föreslogs att PUL skulle upphävas. I stället samlas bestämmelser som kompletterar dataskyddsförordningen och är av generell karaktär i en ny övergripande lag om dataskydd. För att betona att lagen inte är heltäckande, utan endast utgör komplement till dataskyddsförordningen, föreslogs den i propositionen benämnas lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. Den nya lagen förkortas i det följande dataskyddslagen. Lagen trädde i kraft den 25 maj 2018 (prop. 2017/18:105, bet. 2017/18:KU23, rskr. 2017/18:224).
Dataskyddslagen innehåller bl.a. bestämmelser som upplyser om innehållet i dataskyddsförordningen, förtydligar innehållet i dataskyddsförordningens bestämmelser och kompletterar dataskyddsförordningen i vissa delar. Det anges också att bestämmelser i annan lag eller förordning som rör behandling av personuppgifter och som avviker från dataskyddslagen ska ha företräde framför dataskyddslagen (1 kap. 6 § dataskyddslagen), dvs. dataskyddslagen är subsidiär till andra författningar. Enligt 2 kap. 2 § dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.
Dataskyddsförordningen behöver även kompletteras genom svenska bestämmelser på utbildningsområdet
Regeringen beslutade den 30 juni 2016 att tillkalla en särskild utredare som bl.a. fick i uppdrag att undersöka vilken reglering av personuppgiftsbehandling inom utbildningsområdet som är möjlig och kan behövas utöver dels regleringen i dataskyddsförordningen, dels den generella reglering som Dataskyddsutredningen (Ju 2016:04) hade i uppdrag att föreslå med anledning av dataskyddsförordningen. Den nya utredningen, som tog sig namnet Utbildningsdatautredningen (U 2016:03), överlämnade i juni 2017 betänkandet EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49). I betänkandet föreslog utredningen kompletterande bestämmelser om personuppgiftsbehandling i lagen (1993:792) om tillstånd att utfärda vissa examina, lagen (2009:128) om yrkeshögskolan, studiestödsdatalagen (2009:287) och skollagen (2010:800). Betänkandet har remissbehandlats (U2017/02586/RS).
Lagrådet
Regeringen beslutade den 1 mars 2018 att inhämta Lagrådets yttrande över lagförslagen. I förhållande till lagrådsremissens lagförslag har vissa språkliga och redaktionella ändringar gjorts. Förslaget till följdändring i 1 kap. 12 § skollagen (2010:800) är författningstekniskt och även i övrigt av sådan beskaffenhet att Lagrådets hörande skulle sakna betydelse. Regeringen har därför inte inhämtat Lagrådets yttrande över det förslaget.
Propositionen innehåller förslag till lagändringar på utbildningsområdet som innebär kompletteringar och anpassningar till
– Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
– den lag som förslås i propositionen Ny dataskyddslag (prop. 2017/18:105) med kompletterande bestämmelser till EU:s dataskyddsförordning
– föreskrifter som meddelas med stöd av den lagen.
De kompletterande bestämmelser inom utbildningsområdet som föreslås i propositionen syftar till att möjliggöra en fortsatt ändamålsenlig behandling av personuppgifter på detta område samtidigt som den enskildes fri- och rättigheter skyddas, oavsett om behandlingen utförs av offentliga eller enskilda aktörer. Ändringar föreslås i
– lagen (1993:792) om tillstånd att utfärda vissa examina
– lagen (2009:128) om yrkeshögskolan
– studiestödsdatalagen (2009:287)
– skollagen (2010:800).
Lagändringarna föreslås träda i kraft den 1 augusti 2018.
Inledning
Denna del av betänkandet är disponerad så att utskottet inleder med att behandla regeringens lagförslag. Slutligen behandlas motionsyrkanden som samtliga innehåller förslag på tillkännagivanden till regeringen i frågor som anknyter till lagförslagen.
Utskottets förslag i korthet
Riksdagen antar regeringens förslag om att det ska införas bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser på utbildningsområdet i skollagen, lagen om tillstånd att utfärda vissa examina och lagen om yrkeshögskolan.
Riksdagen antar även regeringens övriga förslag bl.a. om att vissa ytterligare anpassningar till dataskyddsförordningen ska göras i studiestödsdatalagen, att förhållandet till annan dataskyddsreglering ska framgå av sektorslagstiftningen och att hänvisningar till dataskyddsförordningen ska vara dynamiska.
Lagändringarna föreslås träda i kraft den 1 augusti 2018.
Propositionen
I propositionen beskrivs vilken kompletterande reglering som behövs i svensk rätt för att känsliga personuppgifter och uppgifter om lagöverträdelser ska kunna behandlas på utbildningsområdet i den utsträckning som är nödvändigt.
Placering av kompletterande bestämmelser om personuppgiftsbehandling
Regeringen föreslår att kompletterande bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser på utbildningsområdet ska införas i ett nytt kapitel i skollagen, i lagen om tillstånd att utfärda vissa examina och i lagen om yrkeshögskolan.
I skälen för regeringens förslag framgår att regeringen anser att det är lämpligt att kompletterande bestämmelser som ger stöd för att behandla känsliga personuppgifter eller personuppgifter om lagöverträdelser inom det skollagsreglerade området, inom högskolan och inom yrkeshögskolan förs in på samma normhierarkiska nivå och i den författning som i huvudsak reglerar den aktuella verksamheten och varigenom den rättsliga grunden i huvudsak fastställs. Regeringen gör bedömningen att detta bör underlätta för tillämparna.
Kompletterande bestämmelser om känsliga personuppgifter ska föras in i skollagen
I propositionen framgår att det finns behov av behandling av känsliga personuppgifter på det skollagsreglerade området. Det kan t.ex. gälla utredningar om särskilt stöd och åtgärdsprogram (7 kap. 8 och 9 §§ skollagen) och anmälningar och utredningar om kränkande behandlingar (6 kap. 10 § skollagen). En fristående förskola eller fristående skola kan i en ansökan om tilläggsbelopp för elever som har ett omfattande behov av särskilt stöd, eller vid överklagande av ett beslut om ett sådant tilläggsbelopp, behöva behandla uppgifter om elevens hälsa för att kunna styrka behovet av särskilt stöd (t.ex. 9 kap. 21 §, 10 kap. 39 § och 28 kap. 5 § skollagen).
Behandling av känsliga personuppgifter som är nödvändig för en hantering som motsvarar handläggningen av ett ärende ska tillåtas
Regeringen föreslår att en enskild huvudman inom skolväsendet eller en enskild aktör som bedriver verksamhet inom en särskild utbildningsform eller annan pedagogisk verksamhet med stöd av artikel 9.2 g i EU:s dataskyddsförordning ska få behandla känsliga personuppgifter, om behandlingen är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet.
I skälen för regeringens förslag framgår att det föreslås en bestämmelse i dataskyddslagen om att myndigheter får behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen). Bestämmelsen i dataskyddslagen innebär att förskolor, skolor och vuxenutbildningsenheter som drivs av kommuner, landsting eller staten även fortsättningsvis kommer att kunna behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende. För dessa huvudmän krävs således ingen ytterligare reglering för att kunna behandla känsliga personuppgifter i detta avseende. Detsamma gäller för en hemkommuns möjlighet att behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende.
De enskilda huvudmännen har, i de fall det är relevant och nödvändigt, samma behov av att kunna behandla känsliga personuppgifter i sina ärenden som de offentliga huvudmännen. Syftet med den föreslagna bestämmelsen är att enskilda huvudmän ska kunna behandla känsliga personuppgifter när så behövs för att de ska kunna uppfylla sina skyldigheter enligt skollagen och anslutande föreskrifter. Då bestämmelsen bara tillåter huvudmännen att behandla sådana uppgifter då behandlingen är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet anser regeringen att bestämmelsen står i proportion till det eftersträvade syftet.
Behandling av känsliga personuppgifter ska tillåtas i annat fall om det inte innebär ett otillbörligt intrång
Regeringen föreslår att en enskild huvudman inom skolväsendet eller en enskild aktör som bedriver verksamhet inom en särskild utbildningsform eller annan pedagogisk verksamhet, med stöd av artikel 9.2 g i EU:s dataskyddsförordning även ska få behandla känsliga personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
I skälen för regeringens förslag hänvisar regeringen till att det i 3 kap. 3 § första stycket 3 förslaget till en ny dataskyddslag föreslås att en myndighet, utöver behandling av känsliga personuppgifter som krävs enligt lag eller som är nödvändig för handläggningen av ett ärende, även i annat fall ska få behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (Prop. Ny dataskyddslag [2017/18:105]).
Regeringen anser att anordnande och bedrivande av utbildning utgör ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Som exempel på när bestämmelsen i dataskyddslagen kan vara tillämplig anges också faktisk verksamhet, såsom i kommunikation mellan skola och föräldrar (propositionen Ny dataskyddslag, prop. 2017/18:108 s. 88). Vid sådan kommunikation kan det enligt regeringen t.ex. finnas behov av att behandla känsliga personuppgifter om barnets hälsa. Ett annat exempel på när bestämmelsen kan vara tillämplig är vid behandling av uppgifter om behov av specialkost på grund av allergi eller religiös övertygelse. Även inom t.ex. elevhälsans psykosociala och specialpedagogiska insatser kan det förekomma situationer när bestämmelsen är tillämplig.
Bestämmelsen i dataskyddslagen är tillämplig på kommunal verksamhet och verksamhet vars huvudman är staten, ett landsting eller en kommun. De enskilda huvudmännen och privata aktörerna som bedriver utbildningsverksamhet enligt skollagen har enligt regeringen samma behov av att kunna behandla känsliga personuppgifter som de offentliga huvudmännen.
Det ska vara förbjudet att utföra vissa sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter
Regeringen föreslår att det ska vara förbjudet för en enskild huvudman inom skolväsendet eller en enskild aktör som bedriver verksamhet inom en särskild utbildningsform eller annan pedagogisk verksamhet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Enligt förslaget ska regeringen få meddela föreskrifter om undantag från sökbegränsningen i skollagen och i dataskyddslagen i fråga om personuppgifter om hälsa i verksamhet hos en huvudman för grundsärskolan, specialskolan, gymnasiesärskolan, särskild utbildning för vuxna, gymnasieskola med Rh-anpassad utbildning, utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning, och förskolan, förskoleklassen eller en skola som har begränsats till att avse elever som är i behov av särskilt stöd.
Regeringen ska också få meddela föreskrifter om undantag från sökbegränsningen i dataskyddslagen i fråga om personuppgifter om etniskt ursprung i verksamhet hos en huvudman för sameskolan och hälsa och etniskt ursprung i verksamhet hos en kommun.
I skälen för regeringens förslag framgår att det i 3 kap. 3 § andra stycket dataskyddslagen föreslås en skyddsåtgärd som innebär ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökbegränsningen gäller för myndigheter vid tillämpningen av 3 kap. 3 § första stycket dataskyddslagen, dvs. det är ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter vid behandling som krävs enligt lag, vid behandling som är nödvändig för handläggningen av ett ärende och vid behandling i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. I propositionen framgår att regeringen anser att även enskilda huvudmän och aktörer enligt 24 och 25 kap. skollagen ska kunna behandla vissa känsliga personuppgifter. De skäl som finns för att sökbegränsningar ska gälla för myndigheter gör sig enligt regeringen även gällande för enskilda huvudmän och nämnda enskilda aktörer. En sökbegränsning bör därför införas i skollagen.
Kompletterande bestämmelser om känsliga personuppgifter ska föras in i lagen om tillstånd att utfärda vissa examina
I propositionen framgår att det finns behov av att behandla känsliga personuppgifter på högskoleområdet. Både statliga högskolor och enskilda utbildningsanordnare kan behöva behandla känsliga personuppgifter i olika sammanhang. Bland annat finns det behov av behandling av känsliga personuppgifter i ärenden om anpassning av högskoleprovet, vid antagningsförfarandet och i ärenden om särskilt pedagogiskt stöd, trakasserier, disciplinära åtgärder och avskiljande.
Behandling av känsliga personuppgifter som är nödvändiga för en hantering som motsvarar handläggning av ett ärende ska tillåtas
Regeringen föreslår att enskilda utbildningsanordnare ska få behandla känsliga personuppgifter om behandlingen är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet.
I skälen för regeringens förslag framgår att enligt propositionen Ny dataskyddslag är myndighetsutövning och övriga uppgifter av allmänt intresse som myndigheter har befogenhet att utföra alltid fastställda i enlighet med svensk rätt. Behandling av personuppgifter kan därmed ske på denna rättsliga grund. Enligt regeringens bedömning i den propositionen står det också klart att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt (prop. 2017/18:105 s. 87). I dataskyddslagen finns en bestämmelse om att myndigheter får behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen). Bestämmelsen i dataskyddslagen möjliggör för statliga högskolor att, i den mån det är nödvändigt, även fortsättningsvis kunna behandla känsliga personuppgifter, såsom ärenden om anpassning av högskoleprov, antagning, särskilt pedagogiskt stöd, trakasserier, disciplinära åtgärder och avskiljande. Någon ytterligare reglering krävs därmed inte för att statliga högskolor ska få behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende.
I propositionen framhåller regeringen att motsvarande behov av hantering kan finnas hos enskilda utbildningsanordnare. I dessa fall har enskilda utbildningsanordnare, förutsatt att det är relevant och nödvändigt, således samma behov av att kunna behandla känsliga personuppgifter som de statliga högskolorna. Regeringen anser att det är fråga om behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse. Förslaget i dataskyddslagen omfattar dock inte enskilda utbildningsanordnare. Regeringen föreslår därför att det i lagen om tillstånd att utfärda vissa examina ska införas en bestämmelse för enskilda utbildningsanordnare som så långt som möjligt motsvarar dataskyddslagens bestämmelse om ärendehandläggning.
Behandling av känsliga personuppgifter ska tillåtas i annat fall om det inte innebär ett otillbörligt intrång
Regeringen föreslår att en enskild utbildningsanordnare med stöd av artikel 9.2 g i EU:s dataskyddsförordning även ska få behandla känsliga personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
I skälen för regeringens förslag framgår det av 3 kap. 3 § första stycket 3 dataskyddslagen att en myndighet utöver behandling av känsliga personuppgifter som krävs enligt lag eller som är nödvändig för handläggningen av ett ärende, även i annat fall ska få behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Regeringen anser att anordnande och bedrivande av utbildning utgör ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Bestämmelsen i dataskyddslagen kan därmed tillämpas av statliga högskolor. Även för enskilda utbildningsanordnare kan behandling av känsliga personuppgifter vara nödvändig i vissa fall när det saknas koppling till ett visst ärende. Regeringen anser därför att det ska införas en bestämmelse i lagen om tillstånd att utfärda vissa examina som ger enskilda utbildningsanordnare som omfattas av lagen möjlighet att med stöd av artikel 9.2 g i dataskyddsförordningen behandla känsliga personuppgifter i motsvarande fall.
Regeringens uppfattning är att en bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla känsliga personuppgifter i annat fall om det är nödvändigt av hänsyn till ett viktigt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet, i t.ex. faktisk verksamhet som undervisning, står i proportion till det eftersträvade syftet. En bestämmelse med sådana starkt begränsande rekvisit tillgodoser enligt regeringen dataskyddsförordningens krav på proportionalitet och skyddsåtgärder.
Det ska vara förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter
Regeringen föreslår att det ska vara förbjudet för enskilda utbildningsanordnare att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter.
I 3 kap. 3 § andra stycket dataskyddslagen finns en skyddsåtgärd som innebär ett förbud mot att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter. Sökbegränsningen gäller för myndigheter vid tillämpningen av samtliga bestämmelser om behandling av känsliga personuppgifter i 3 kap. 3 § första stycket dataskyddslagen, dvs. vid behandling som krävs enligt lag, vid behandling som är nödvändig för handläggningen av ett ärende och vid behandling i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. Sökbegränsningen omfattar därmed statliga högskolor som är myndigheter, men inte merparten av de enskilda utbildningsanordnarna eftersom dessa inte omfattas av bestämmelserna om allmänna handlingar och sekretess. De skäl som finns för att sökbegränsningar ska gälla för myndigheter, såsom statliga högskolor, gör sig dock gällande även för enskilda utbildningsanordnare. Regeringen föreslår därför att en motsvarande bestämmelse som innebär förbud mot att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter ska införas även för samtliga enskilda utbildningsanordnare.
Kompletterande bestämmelser om känsliga personuppgifter ska införas i lagen om yrkeshögskolan
I propositionen framgår att det finns behov av att behandla känsliga personuppgifter inom yrkeshögskolan och annan eftergymnasial utbildning i samband med stödåtgärder och trakasserier, i ärenden om anstånd med att påbörja studier, studieuppehåll och avskiljande från utbildningen och vid uppfyllandet av offentlighetsprincipen.
Behandling av känsliga personuppgifter som är nödvändiga för en hantering som motsvarar handläggning av ett ärende ska tillåtas
Regeringen föreslår att en enskild utbildningsanordnare inom yrkeshögskolan ska få behandla känsliga personuppgifter om behandlingen är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet.
I skälen för regeringens förslag framgår att det föreslås en bestämmelse i dataskyddslagen om att myndigheter får behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen). Bestämmelsen i dataskyddslagen möjliggör för offentliga utbildningsanordnare inom yrkeshögskolan att, i den mån det är nödvändigt, även fortsättningsvis kunna behandla känsliga personuppgifter i ärenden om t.ex. särskilt pedagogiskt stöd, i ärenden om statsbidrag eller särskilda medel för kostnader för särskilt pedagogiskt stöd samt i ärenden om trakasserier, sexuella trakasserier och avskiljande från utbildningen. Någon ytterligare reglering krävs därmed inte för att offentliga utbildningsanordnare inom yrkeshögskolan ska få behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende.
Regeringen framhåller att motsvarande behov av behandling även kan finnas hos de enskilda utbildningsanordnarna inom yrkeshögskolan och enskilda anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Dessa utbildningsanordnare har därmed, förutsatt att det är relevant och nödvändigt, samma behov av att kunna behandla känsliga personuppgifter som de offentliga utbildningsanordnarna inom yrkeshögskolan. Regeringen anser att det även i detta fall är fråga om behandling som är nödvändig med hänsyn till ett viktigt allmänt intresse. Dataskyddslagen omfattar dock inte enskilda utbildningsanordnare. Regeringen föreslår därför att det i lagen om yrkeshögskolan införs en bestämmelse för enskilda utbildningsanordnare inom yrkeshögskolan som motsvarar dataskyddslagens bestämmelse för ärendehandläggning för myndigheter.
Behandling av känsliga personuppgifter ska tillåtas i annat fall om det inte innebär ett otillbörligt intrång
Regeringen föreslår att en enskild utbildningsanordnare inom yrkeshögskolan med stöd av artikel 9.2 g i EU:s dataskyddsförordning även ska få behandla känsliga personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
I skälen för regeringens förslag framgår att det föreslås en bestämmelse i dataskyddslagen om att en myndighet, utöver behandling av känsliga personuppgifter som krävs enligt lag eller som är nödvändig för handläggningen av ett ärende, även i annat fall ska få behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3). Regeringen anser att anordnande och bedrivande av utbildning utgör ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Bestämmelsen i dataskyddslagen kan därmed tillämpas av offentliga utbildningsanordnare inom yrkeshögskolan. När det gäller deras behandling av känsliga personuppgifter kan bestämmelsen vara tillämplig t.ex. när beslut att bevilja särskilt pedagogiskt stöd ska verkställas. Även för enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan behandling av känsliga personuppgifter vara nödvändig i vissa fall när det inte är fråga om handläggningen av ett ärende. Exempelvis tillhandahåller även dessa utbildningsanordnare särskilt pedagogiskt stöd. De har därmed samma behov som offentliga utbildningsanordnare inom yrkeshögskolan att behandla känsliga personuppgifter även när det inte är fråga om ärendehandläggning. Regeringen anser därför att det ska införas en bestämmelse i lagen om yrkeshögskolan som möjliggör även för enskilda utbildningsanordnare inom yrkeshögskolan att med stöd av artikel 9.2 g i dataskyddsförordningen behandla känsliga personuppgifter i motsvarande fall som myndigheter.
Det ska vara förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter
Regeringen föreslår att det ska vara förbjudet för enskilda utbildningsanordnare inom yrkeshögskolan att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter.
I skälen för regeringens förslag framgår att det föreslås en bestämmelse i dataskyddslagen om att det ska införas en skyddsåtgärd som innebär ett förbud mot att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter (3 kap. 3 § andra stycket dataskyddslagen). Sökförbudet gäller för myndigheter vid tillämpningen av samtliga de bestämmelser om behandling av känsliga personuppgifter som finns i 3 kap. 3 § första stycket dataskyddslagen, dvs. vid behandling som krävs enligt lag, vid behandling som är nödvändig för handläggningen av ett ärende och vid behandling i enstaka fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. Eftersom sökförbudet gäller myndigheter omfattar det offentliga utbildningsanordnare inom yrkeshögskolan, men inte enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. De skäl som finns för att sökförbudet ska gälla för myndigheter, såsom offentliga utbildningsanordnare inom yrkeshögskolan, gör sig dock gällande även för enskilda utbildningsanordnare inom yrkeshögskolan. Regeringen föreslår därför att en motsvarande bestämmelse som innebär att enskilda utbildningsanordnare inom yrkeshögskolan inte får utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter ska införas i lagen om yrkeshögskolan.
Dataskyddsförordningen tillåter bara behandling av personuppgifter som rör lagöverträdelser i vissa fall
Enligt dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet (artikel 10).
Kompletterande bestämmelser om lagöverträdelser ska införas i skollagen
I propositionen anges att det i samband med att disciplinära eller andra särskilda åtgärder, t.ex. avstängning, behöver vidtas enligt 5 kap. skollagen i vissa fall kan vara nödvändigt att behandla en uppgift om bl.a. lagöverträdelser. Ett exempel kan vara i ett ärende om avstängning av en narkotikapåverkad elev som dyker upp i skolan och är farlig för sig själv eller andra. I detta sammanhang skulle det, om eleven tidigare har dömts för t.ex. ringa narkotikabrott, kunna bli aktuellt att även anteckna den uppgiften. Även inom elevhälsan skulle det kunna uppstå situationer där det finns ett berättigat behov av att i löpande text behandla en uppgift om en lagöverträdelse. Datainspektionen har också genom föreskrifter möjliggjort för den elevvårdande verksamheten i fristående skolor att i anteckningar behandla uppgifter om bl.a. lagöverträdelser (1 § b Datainspektionens föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. [DIFS 1998:3] som ändrats genom DIFS 2010:1).
Behandling av personuppgifter som rör lagöverträdelser ska tillåtas i vissa fall
Regeringen föreslår att det ska anges i skollagen att personuppgifter om lagöverträdelser som avses i artikel 10 i EU:s dataskyddsförordning ska få behandlas i verksamhet hos en huvudman för en fristående skola dels i elevhälsan i löpande text, dels i skriftlig dokumentation som ska föras om disciplinära och andra särskilda åtgärder enligt skollagen. Behandlingen ska vara tillåten om den är nödvändig och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
I skälen för regeringens förslag framgår bl.a. följande. Av artikel 10 i dataskyddsförordningen följer att uppgifter om lagöverträdelser får behandlas om det sker under kontroll av en myndighet, vilket enligt regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 99) innebär att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter som rör lagöverträdelser. Enligt förslaget i den propositionen har det i 3 kap. 8 § dataskyddslagen förtydligats att myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen. Inom utbildning med offentlig huvudman kommer alltså personuppgifter som rör lagöverträdelser att kunna behandlas. Någon motsvarande möjlighet att behandla uppgifter om lagöverträdelser som omfattar enskilda skolhuvudmän föreslås dock inte i dataskyddslagen. Regeringen framhåller att behovet av att behandla uppgifter om lagöverträdelser dock är detsamma hos enskilda skolhuvudmän som hos offentliga, då det omfattas av samma regelverk i skollagen. Exempelvis kan nämnas att bestämmelser om tillfällig omplacering och avstängning i 5 kap. skollagen tar sikte på bl.a. övriga elevers trygghet och studiero. Det måste därmed anses vara lika angeläget att det i fristående skolor är möjligt att behandla personuppgifter som rör lagöverträdelser i dessa sammanhang som i skolor med offentlig huvudman. Regeringen anser därför att det bör införas en bestämmelse i skollagen som möjliggör att hos huvudmän för fristående skolor behandla personuppgifter som rör lagöverträdelser dels i elevhälsan, dels i skriftlig dokumentation som ska föras om disciplinära och andra särskilda åtgärder enligt 5 kap. 24 § skollagen.
En bestämmelse som gör det möjligt att i fristående skolor behandla personuppgifter som rör lagöverträdelser måste, enligt artikel 10 i dataskyddsförordningen, omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. En sådan bestämmelse bör därför bestå av rekvisit som betonar att det är fråga om en restriktiv tillämpning där en noggrann avvägning behöver göras mellan behovet av behandling och intrånget i den enskildes integritet. Behandling av personuppgifter som rör lagöverträdelser bör enligt regeringens uppfattning därför tillåtas om det är nödvändigt för dokumentation i löpande text inom elevhälsan och dokumentation av vidtagna disciplinära och andra särskilda åtgärder, under förutsättning att behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. På detta sätt skapas en möjlighet för dels elevhälsan, dels huvudman, rektor och lärare att, när de har en skyldighet enligt 5 kap. 24 § skollagen att dokumentera åtgärder, behandla nödvändiga uppgifter om t.ex. fällande domar samtidigt som den enskilda elevens integritet skyddas genom att bestämmelsen ska tillämpas restriktivt. En bestämmelse med sådana begränsande rekvisit får anses uppfylla kraven i artikel 10 i dataskyddsförordningen och bör därför införas.
Kompletterande bestämmelser om lagöverträdelser ska införas i lagen om tillstånd att utfärda vissa examina
I propositionen framgår att det finns behov av behandling av personuppgifter som rör lagöverträdelser på högskoleområdet. En student vid en statlig högskola får under vissa förutsättningar avskiljas från utbildningen. En sådan grund för avskiljande är att studenten har gjort sig skyldig till allvarlig brottslighet (4 kap. 6 § högskolelagen och förordningen [2007:989] om avskiljande av studenter från högskoleutbildning). Detta medför att statliga högskolor kan behöva behandla personuppgifter som rör fällande domar i brottmål i utredningar och ärenden om avskiljande. Vidare finns det samma behov hos enskilda utbildningsanordnare att ha motsvarande regler om disciplinära åtgärder och avskiljande som statliga högskolor.
Behandling av personuppgifter som rör fällande domar i brottmål ska tillåtas i ärenden om avskiljande från utbildning
Regeringen föreslår att det ska anges i lagen om tillstånd att utfärda vissa examina att enskilda utbildningsanordnare får behandla personuppgifter som rör fällande domar i brottmål om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en student från utbildning.
I skälen för regeringens förslag framgår att det enligt 3 kap. 8 § dataskyddslagen har förtydligats att myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen, dvs. personuppgifter som rör fällande domar i brottmål samt lagöverträdelser. Statliga högskolor kommer alltså att kunna behandla personuppgifter om fällande domar i ärenden om avskiljande av studenter från utbildningen.
Enligt regeringen betyder inte frånvaron av offentligrättslig reglering om avskiljande av studenter för enskilda utbildningsanordnare att frågan är av underordnad betydelse för deras del. Regeringen framhåller att flera enskilda utbildningsanordnare har en egen disciplinstadga eller liknande. Vidare tar bestämmelser om avskiljande sikte på bl.a. övriga studenters och utbildningsanordnarnas arbetstagares och studenters säkerhet. Det måste därmed enligt regeringen anses vara lika angeläget att enskilda utbildningsanordnare har möjlighet att behandla personuppgifter som rör fällande domar i brottmål i deras motsvarighet till ärenden om avskiljande. Regeringen föreslår därför att en bestämmelse som möjliggör detta införs i lagen om tillstånd att utfärda vissa examina. Eftersom det inte har identifierats något behov för de enskilda utbildningsanordnarna att behandla andra slags personuppgifter som avses i artikel 10 i dataskyddsförordningen, anser regeringen att bestämmelsen bör begränsas till att avse fällande domar i brottmål. En bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål måste dock omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter (artikel 10 i dataskyddsförordningen). Regeringens uppfattning är att den snäva avgränsning som endast ger möjlighet för enskilda utbildningsanordnare att behandla personuppgifter om fällande domar i brottmål i ett specifikt ärendeslag, dvs. avskiljande från utbildningen, utgör en sådan skyddsåtgärd som avses i artikel 10 dataskyddsförordningen.
Kompletterande bestämmelser om lagöverträdelser ska införas i lagen om yrkeshögskolan
I propositionen framgår att det finns behov av behandling av personuppgifter som rör lagöverträdelser i yrkeshögskolan och annan eftergymnasial utbildning. Studerande inom yrkeshögskolan som bedrivs av offentliga utbildningsanordnare får under vissa förutsättningar avskiljas från utbildningen. En sådan grund för avskiljande är att studenten har gjort sig skyldig till allvarlig brottslighet (19 § lagen om yrkeshögskolan). Detta medför att offentliga anordnare av utbildning inom yrkeshögskolan kan behöva behandla personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande.
Behandling av personuppgifter som rör lagöverträdelser m.m. ska tillåtas i ärenden om avskiljande från utbildning
Regeringen föreslår att det ska anges i lagen om yrkeshögskolan att enskilda utbildningsanordnare får behandla personuppgifter som rör fällande domar i brottmål om behandlingen är nödvändig för hantering som motsvarar handläggning av ett ärende om att avskilja en student från utbildning.
I 3 kap. 8 § dataskyddslagen finns ett förtydligande om att myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen, dvs. personuppgifter som rör fällande domar i brottmål samt överträdelser. Offentliga anordnare av utbildning inom yrkeshögskolan kommer alltså att kunna behandla personuppgifter om fällande domar i ärenden om avskiljande av studerande från utbildningen. Någon motsvarande möjlighet att behandla uppgifter om fällande domar för enskilda utbildningsanordnare inom yrkeshögskolan eller utbildningsanordnare som omfattas av förordningen om stöd för konst- och kulturutbildningar eller vissa andra utbildningar finns dock inte i dataskyddslagen. Regeringen anser att en sådan bestämmelse behöver införas även för enskilda utbildningsanordnare inom yrkeshögskolan.
Vissa ytterligare anpassningar till dataskyddsförordningen ska göras i studiestödsdatalagen
Regeringen föreslår att det ska anges i studiestödsdatalagen att artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar inte gäller vid sådan behandling som är tillåten enligt studiestödsdatalagen eller enligt föreskrifter som har meddelats i anslutning till lagen.
I skälen för regeringens förslag framgår att enligt 5 § studiestödsdatalagen (2009:287) får behandling av personuppgifter, som enligt studiestödsdatalagen är tillåten utan den registrerades samtycke, utföras även om den registrerade motsätter sig behandlingen. Frågan är om bestämmelsen är förenlig med dataskyddsförordningen. Enligt regeringens uppfattning är den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen tillämplig på CSN:s behandling av personuppgifter inom studiestödsverksamheten. Den registrerade ska då ha rätt att göra invändningar mot behandlingar, och den personuppgiftsansvarige får då inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk (artikel 21.1 i dataskyddsförordningen).
Det är enligt regeringen av stor betydelse att personuppgifter får behandlas i studiestödsverksamhet oberoende av den registrerades inställning. Den personuppgiftsansvarige får närmast undantagslöst anses kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet. Under sådana förhållanden och för att fullt ut säkerställa förutsättningarna för CSN att behandla relevanta personuppgifter bör den registrerade inte heller fortsättningsvis ha någon rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen. En sådan begränsning måste anses utgöra en nödvändig och proportionell åtgärd i syfte att säkerställa ett viktigt mål av generellt allmänt intresse.
Övriga förslag och bedömningar
I propositionen finns även bl.a. förslag och bedömningar om att det ska göras vissa ytterligare anpassningar till dataskyddsförordningen i studiestödsdatalagen samt förslag om att förhållandet till annan dataskyddsreglering ska framgå av sektorslagstiftningen och att hänvisningar till dataskyddsförordningen ska vara dynamiska. Vidare finns förslag som är av lagteknisk karaktär.
Ikraftträdande och övergångsbestämmelser
Regeringen föreslår att ändringarna i lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan, studiestödsdatalagen och skollagen ska träda i kraft den 1 augusti 2018.
I skälen för regeringens förslag framgår att enligt artikel 99.1 i dataskyddsförordningen träder förordningen i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning, vilket skedde den 4 maj 2016. Av artikel 99.2 följer att förordningen ska tillämpas fr.o.m. den 25 maj 2018. I artikel 94 anges vidare att dataskyddsdirektivet ska upphöra att gälla med verkan fr.o.m. samma dag och att hänvisningar till det upphävda direktivet ska anses som hänvisningar till förordningen. I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås att dataskyddslagen ska träda i kraft den 25 maj 2018 och att personuppgiftslagen (1998:204) samtidigt ska upphöra att gälla. Med hänsyn till ovanstående delar regeringen Datainspektionens och Skolverkets uppfattning att även ändringarna i lagen (1993:792) om tillstånd att utfärda vissa examina, lagen (2009:128) om yrkeshögskolan, studiestödsdatalagen (2009:287) och skollagen (2010:800) bör träda i kraft så snart som möjligt i anslutning till detta datum. Ett ikraftträdande föreslås därför den 1 augusti 2018, dvs. så snart som det bedöms möjligt med hänsyn till lagstiftningsprocessen.
Utskottets ställningstagande
Utskottet kan konstatera att det behövs kompletterande reglering i svensk rätt för att känsliga personuppgifter och uppgifter om lagöverträdelser ska kunna behandlas på utbildningsområdet i den utsträckning som är nödvändigt. Utskottet instämmer i regeringens förslag om att det bör införas kompletterande bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser på utbildningsområdet i ett nytt kapitel i skollagen, i lagen om tillstånd att utfärda vissa examina och i lagen om yrkeshögskolan. Utskottet instämmer även i att det behöver göras vissa ytterligare anpassningar till dataskyddsförordningen i studiestödsdatalagen och i regeringens övriga förslag och bedömningar. Med det anförda tillstyrker utskottet regeringens proposition.
Utskottet övergår nu till att i de nästföljande avsnitten behandla motioner som innehåller begäranden om tillkännagivanden.
Utskottets förslag i korthet
Riksdagen avslår ett motionsyrkande om att man bör utreda inrättandet av en kvalitetsmärkning av säkra applikationer och molntjänster.
Jämför reservation 1 (V).
Motionen
I kommittémotion 2017/18:4130 av Daniel Riazat m.fl. (V) yrkande 1 välkomnar motionären regeringens bedömning om att man ska ta fram en uppförandekod för användandet av personuppgifter inom utbildningsområdet. Motionären anser dock att det inte är tillräckligt för att göra personal, föräldrar och elever trygga i användandet av personuppgifter i skolan. Enligt motionären kan det bli svåra gränsdragningar när man ska avgöra om en applikation är nödvändig för att fullgöra en undervisningsuppgift. Den tekniska utvecklingen går väldigt fort och det finns en stor marknad för digitala läromedel och molnbaserade tjänster. För att underlätta för skolorna vid inköp av applikationer och molntjänster till undervisningen bör regeringen ge Skolverket i uppdrag att utreda inrättandet av en kvalitetsmärkning av säkra applikationer och molntjänster som kan användas utan att äventyra elevers personuppgifter.
Utskottets ställningstagande
Enligt 2 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (prop. 2017/18:105, bet. 2017/18:KU23, rskr. 2017/18:224).
Utskottet kan konstatera att regeringen gör bedömningen i propositionen att tillhandahållande, anordnande och bedrivande av utbildning och annan pedagogisk verksamhet är en i svensk rätt fastställd uppgift av allmänt intresse genom bestämmelser i skollagen med anslutande föreskrifter och beslut fattade med stöd av dessa. Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i EU:s dataskyddsförordning (prop. 2017/18:218 avsnitt 9.1.2).
När det gäller frågan om digitala läromedel som är molnbaserade antingen genom olika typer av webbtjänster eller genom applikationer framhåller regeringen att den personuppgiftsansvarige ansvarar för att bedöma om syftet med behandlingen är nödvändigt för att utföra en uppgift av allmänt intresse (prop. 2017/18:218 avsnitt 9.1.2 s. 68 och artikel 5.2 och 6.3 i dataskyddsförordningen). Att det ska vara nödvändigt att behandla en uppgift ska enligt regeringens bedömning inte tolkas som att uppgiften av allmänt intresse måste vara avgränsad så att den bara kan utföras på ett sätt. Den metod som den personuppgiftsansvarige väljer för att utföra sin uppgift måste dock – som all offentlig förvaltning – vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Ju mer detaljerat en viss uppgift har reglerats, desto mindre utrymme torde det finnas för den personuppgiftsansvarige att välja olika tillvägagångssätt. Detta medför i sin tur enligt regeringen en större förutsebarhet i fråga om vilken personuppgiftsbehandling som kan aktualiseras (prop. 2017/18:218 avsnitt 6.2).
Utskottet vill i sammanhanget uppmärksamma att regeringen delar Datainspektionens uppfattning att personuppgiftsansvariga kan vara betjänta av ytterligare vägledning i fråga om behandling av personuppgifter och att behovet av ytterligare vägledning är störst i fråga om skolväsendet. Regeringen avser därför, trots de utmaningar det kan innebära, att ge en lämplig myndighet i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet.
Utskottet anser att regeringens bedömningar är väl avvägda och att det inte finns skäl för att föreslå att frågan om applikationer och molntjänster utreds enligt motionärernas förslag. Med det anförda avstyrks motion 2017/18:4130 (V) yrkande 1.
Utskottets förslag i korthet
Riksdagen avslår ett motionsyrkande om att man bör utreda konsekvenserna för studentkårerna efter införandet av EU:s dataskyddsförordning.
Jämför reservation 2 (V).
Motionen
I kommittémotion 2017/18:4130 av Daniel Riazat m.fl. (V) yrkande 2 begärs att regeringen utreder konsekvenserna för studentkårerna efter införandet av EU:s dataskyddsförordning. Motionärerna framhåller att studentkårernas användning av personuppgifter inte har utretts i den föregående utredningen. Enligt motionärerna gör regeringen det alldeles för lätt för sig i sin argumentation kring att studentkårerna bedriver verksamhet som är en uppgift av allmänt intresse. Studentkårerna bedriver i dag en väldigt bred verksamhet och ingen kår är den andra lik. På grund av en pressad ekonomisk situation i många kårer sedan kårobligatoriets avskaffande tvingas de finansiera sin verksamhet med en rad sidoinkomster. När Universitetskanslersämbetet 2017 undersökte kårernas ekonomiska situation konstaterades att endast hälften av kårerna fick sin huvudsakliga inkomst från lärosätena eller genom statsbidrag. Eftersom studentkårernas situation inte grundligt utretts bör detta enligt motionärerna göras så att inte lagförslaget får oanade konsekvenser för deras verksamhet.
Utskottets ställningstagande
Enligt 2 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (prop. 2017/18:105, bet. 2017/18:KU23, rskr. 2017/18:224).
Av 4 kap. 9 och 11 §§ högskolelagen (1992:1434) följer att en studentkår ska ha som huvudsakligt syfte att bevaka och medverka i utvecklingen av utbildningen och förutsättningarna för studier vid högskolan. Den ska också vara demokratiskt uppbyggd och kunna representera studenterna inom kårens verksamhetsområde. Alla studenter inom en studentkårs verksamhetsområde har rätt att bli medlemmar i kåren, om de uppfyller de krav som ställs för medlemskap. Den student som är medlem i studentkåren ska ha rösträtt vid val till studentkårens högsta beslutande organ (4 kap. 12 §§ högskolelagen). Statliga universitet och högskolor får meddela föreskrifter om hur en studentkår vid högskolan ska redovisa sin verksamhet och sitt medlemsantal (6 § studentkårsförordningen).
Utskottet kan konstatera att regeringen gör bedömningen i proposition 2017/17:218 Behandling av personuppgifter på utbildningsområdet att det genom bestämmelser i högskolelagen och studentkårsförordningen är fastställt i svensk rätt att studentkårerna vid statliga universitet och högskolor bedriver verksamhet som är en uppgift av allmänt intresse. Studentkårerna utför således vissa uppgifter av allmänt intresse som är fastställda genom tillräckligt tydliga, precisa och förutsägbara bestämmelser. De kan därmed enligt regeringens bedömning utföra behandling av personuppgifter som är nödvändig för att utöva offentligt reglerad verksamhet som grundas på nämnda föreskrifter med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen. Regeringen gör vidare bedömningen att studentkårerna kan använda sig av den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen för sin personuppgiftsbehandling. Studentkårerna kan även behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning enligt artikel 6.1 f i dataskyddsförordningen. Det kräver dock att kåren först gör en avvägning mellan behovet av behandlingen och den registrerades intressen. Regeringen hänvisar vidare till att det i proposition Frihet och inflytande – kårobligatoriets avskaffande framgår att synen på studentsammanslutningarnas ställning har varit omdiskuterad, men att regeringen inte ser några alternativ till att betrakta studentsammanslutningarna som privaträttsliga organ (prop. 2008/09:154 s. 19).
Utskottet kan vidare konstatera att det enligt regeringens bedömning inte råder en sådan betydande ojämlikhet mellan studentkåren och en student att ett samtycke till behandling av personuppgifter inte kan anses lämnas frivilligt enligt skäl 43 i dataskyddsförordningen. Regeringen bedömer därför att studentkårer både vid statliga universitet och högskolor och vid enskilda utbildningsanordnare, kan använda den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen för sin personuppgiftsbehandling. Eftersom studentkårerna är privaträttsliga organ kan de även behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsförordningen. Det kräver dock att kåren först gör en avvägning mellan behovet av behandlingen och den registrerades intressen enligt artikel 6.1 f i dataskyddsförordningen.
Utskottet finner inga skäl för att göra någon annan bedömning och avstyrker med det anförda motion 2017/18:4130 (V) yrkande 2.
1. |
Kvalitetsmärkning av säkra appar och molntjänster för elever, punkt 2 (V) |
av Daniel Riazat (V).
Förslag till riksdagsbeslut
Jag anser att förslaget till riksdagsbeslut under punkt 2 borde ha följande lydelse:
Riksdagen ställer sig bakom det som anförs i reservationen och tillkännager detta för regeringen.
Därmed bifaller riksdagen motion
2017/18:4130 av Daniel Riazat m.fl. (V) yrkande 1.
Ställningstagande
Det är oroande att regeringen inte i tillräcklig utsträckning ser komplexiteten i frågor som rör digitalisering och den personliga integriteten. Den alltmer omfattande digitaliseringen av samhället erbjuder fler möjligheter att både ge uttryck för sina idéer och åsikter och ta del av information. Användningen av informationsteknik leder också till viktiga frågeställningar och avvägningar om hur personuppgifter behandlas och sprids samt vilka risker för intrång i den personliga integriteten som kan uppkomma i och med detta. Skolverket arbetar aktivt med att ta fram nationella strategier för digitalisering. Det tycker jag är positivt, men det är viktigt att detta inte forceras på ett sådant sätt att seriösa utredningar av och diskussioner om konsekvenserna omöjliggörs. Barnombudsmannen påpekar i sitt remissvar på delbetänkandet Hur står det till med den personliga integriteten? – En kartläggning av Integritetskommittén (SOU 2016:41) att det finns ett behov av ett kunskapslyft hos lärare när barn använder digitala hjälpmedel i skolan som indirekt kan kartlägga dem och deras användande av informations- och kommunikationsteknik. Därför välkomnar jag förslaget att ta fram en uppförandekod för användandet av personuppgifter inom utbildningsområdet. Vi anser dock att detta inte är tillräckliga åtgärder för att göra personal, föräldrar och elever trygga i användandet av personuppgifter i skolan. Som Luleå kommun skriver i sitt remissvar till proposition 2017/18:218 Behandling av personuppgifter på utbildningsområdet kan det bli svåra gränsdragningar att avgöra om en applikation verkligen är nödvändig för att fullgöra en undervisningsuppgift. Den tekniska utvecklingen går väldigt fort och det finns en stor marknad för digitala läromedel och molnbaserade tjänster. För att underlätta för skolorna vid inköp av applikationer och molntjänster till undervisningen bör regeringen utreda inrättande av kvalitetsmärkning av säkra applikationer och molntjänster som kan användas utan att äventyra elevers personuppgifter.
2. |
av Daniel Riazat (V).
Förslag till riksdagsbeslut
Jag anser att förslaget till riksdagsbeslut under punkt 3 borde ha följande lydelse:
Riksdagen ställer sig bakom det som anförs i reservationen och tillkännager detta för regeringen.
Därmed bifaller riksdagen motion
2017/18:4130 av Daniel Riazat m.fl. (V) yrkande 2.
Ställningstagande
Som regeringen konstaterar i proposition 2017/18:218 Behandling av personuppgifter på utbildningsområdet har inte studentkårernas användning av personuppgifter utretts i den föregående utredningen. Enligt min uppfattning gör regeringen det för lätt för sig när den argumenterar för att studentkårerna utför uppgifter av allmänt intresse. Studentkårerna bedriver i dag en väldigt bred verksamhet och ingen kår är den andra lik. På grund av en pressad ekonomisk situation i många kårer sedan kårobligatoriets avskaffande tvingas de finansiera sin verksamhet med en rad sidoinkomster. När Universitetskanslersämbetet undersökte kårernas ekonomiska situation 2017 konstaterades att endast hälften av kårerna fick sin huvudsakliga inkomst från lärosätena eller genom statsbidrag. Eftersom studentkårernas situation inte grundligt utretts bör detta göras så att inte lagförslaget får oanade konsekvenser för deras verksamhet. Regeringen bör därför utreda konsekvenserna för studentkårerna efter införandet av EU:s dataskyddsförordning.
Bilaga 1
Förteckning över behandlade förslag
1.Riksdagen antar regeringens förslag till lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina.
2.Riksdagen antar regeringens förslag till lag om ändring i lagen (2009:128) om yrkeshögskolan.
3.Riksdagen antar regeringens förslag till lag om ändring i studiestödsdatalagen (2009:287).
4.Riksdagen antar regeringens förslag till lag om ändring i skollagen (2010:800).
1.Riksdagen ställer sig bakom det som anförs i motionen om att regeringen bör ge Skolverket i uppdrag att utreda inrättandet av en kvalitetsmärkning av säkra appar och molntjänster som kan användas utan att äventyra elevers personuppgifter, och detta tillkännager riksdagen för regeringen.
2.Riksdagen ställer sig bakom det som anförs i motionen om att regeringen bör utreda konsekvenserna för studentkårerna efter införandet av EU:s dataskyddsförordning och tillkännager detta för regeringen.
Bilaga 2