Regeringens proposition 2017/18:218

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 5 april 2018

Stefan Löfven

Gustav Fridolin

(Utbildningsdepartementet)

Propositionens huvudsakliga innehåll

Propositionen innehåller förslag till lagändringar på utbildningsområdet som innebär kompletteringar och anpassningar till

–Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning),

–den i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagna lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, och

–föreskrifter som meddelas med stöd av den lagen.

De kompletterande bestämmelser inom utbildningsområdet som här föreslås syftar till att möjliggöra en fortsatt ändamålsenlig behandling av personuppgifter på detta område samtidigt som den enskildes fri- och rättigheter skyddas, oavsett om behandlingen utförs av offentliga eller enskilda aktörer. Ändringar föreslås i

–lagen (1993:792) om tillstånd att utfärda vissa examina,

–lagen (2009:128) om yrkeshögskolan,

–studiestödsdatalagen (2009:287), och

–skollagen (2010:800).

Lagändringarna föreslås träda i kraft den 1 augusti 2018.

1

7.2Det finns en särskild reglering för s.k. känsliga

7.3Den finns även en särskild reglering om

9.3Yrkeshögskolan och andra eftergymnasiala

9.3.1Vilka personuppgifter behandlas inom yrkeshögskolan och andra

9.3.2Den rättsliga grunden uppgift av allmänt

3

13.4Kompletterande bestämmelser om känsliga personuppgifter ska införas i lagen om tillstånd att

13.4.1Det finns behov av att behandla känsliga

13.4.2Ytterligare reglering av behandling av känsliga personuppgifter som krävs enligt

13.4.4Behandling av känsliga personuppgifter ska tillåtas i annat fall om det inte innebär

5

8

Regeringen föreslår att riksdagen antar regeringens förslag till

1.lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina,

2.lag om ändring i lagen (2009:128) om yrkeshögskolan,

3.lag om ändring i studiestödsdatalagen (2009:287),

4.lag om ändring i skollagen (2010:800).

9

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina

Härigenom föreskrivs i fråga om lagen (1993:792) om tillstånd att utfärda vissa examina1

dels att nuvarande 5 och 6 §§ ska betecknas 6 och 5 §§,

dels att det ska införas fem nya paragrafer, 10–14 §§, och närmast före 10 § en ny rubrik av följande lydelse,

dels att det ska införas en ny rubrik närmast före 1 § som ska lyda ”Tillstånd att utfärda examina”, en ny rubrik närmast före den nya 6 § som ska lyda ”Uppföljning och utvärdering”, en ny rubrik närmast före 7 § som ska lyda ”Återkallelse av tillstånd” och en ny rubrik närmast före 8 § som ska lyda ”Utfärdande av examina utan tillstånd”.

11 §

Bestämmelserna i 13 och 14 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om

1 Senaste lydelse av

5 § 2000:1371

6 § 2000:1371.

10

upphävande av direktiv 95/46/EG Prop. 2017/18:218

(allmän dataskyddsförordning), här benämnd EU:s dataskydds- förordning.

Termer och uttryck i 13 och 14 §§ har samma betydelse som i EU:s dataskyddsförordning.

12 §

Bestämmelser om behandling av personuppgifter finns även i lagen (2018:000) med kompletterande bestämmelser till EU:s data- skyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.

13 §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare

1.om behandlingen är nöd- vändig för en hantering som mot- svarar handläggning av ett ärende hos en myndighet, eller

2.i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång

iden registrerades personliga integritet.

Vid behandling som sker med stöd av första stycket är det för- bjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personupp- gifter.

För vissa enskilda utbildnings- anordnare som jämställs med myn-

digheter finns det bestämmelser om behandling av känsliga person- uppgifter och om sökbegräns- ningar i 3 kap. 3 § dataskydds- lagen.

Denna lag träder i kraft den 1 augusti 2018.

12

Prop. 2017/18:218

2.2Förslag till lag om ändring i lagen (2009:128) om yrkeshögskolan

Härigenom föreskrivs att det i lagen (2009:128) om yrkeshögskolan ska införas fem nya paragrafer, 19 a–19 e §§, och närmast före 19 a § en ny rubrik av följande lydelse.

inom yrkeshögskolan som bedrivs med stöd av denna lag, föreskrifter som meddelats med stöd av lagen, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.

19 b §

Bestämmelserna i 19 d och 19 e §§ kompletterar Europaparla- mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska per- soner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskydds- förordning.

Termer och uttryck i 19 d och 19 e §§ har samma betydelse som i EU:s dataskyddsförordning.

19 c §

Bestämmelser om behandling av personuppgifter finns även i lagen (2018:000) med kompletterande bestämmelser till EU:s data- skyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till

den lagen.

13

Prop. 2017/18:218

19 d §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsföror- dning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare

1. om behandlingen är nöd- vändig för en hantering som mot- svarar handläggning av ett ärende hos en myndighet, eller

2. i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga in- tegritet.

Vid behandling som sker med stöd av första stycket är det för- bjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personupp- gifter.

För myndigheter finns det be- stämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.

19 e §

Personuppgifter som rör fäl- lande domar i brottmål får be- handlas av en enskild utbildnings- anordnare om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en studerande från utbild- ning.

För myndigheter finns det be- stämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § första stycket data- skyddslagen.

Denna lag träder i kraft den 1 augusti 2018.

14

Härigenom föreskrivs i fråga om studiestödsdatalagen (2009:287) dels att 7 och 15 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 7 och 15 §§ ska utgå,

dels att 2, 5, 6, 8, 10 och 16 §§ och rubriken närmast före 2 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 2 a §, av följande lydelse.

2 a §

Vid behandling av person- uppgifter enligt denna lag gäller lagen (2018:000) med komplette- rande bestämmelser till EU:s dataskyddsförordning, och före- skrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna lag.

Vid Centrala studiestödsnämn- dens behandling av personupp-

gifter för att framställa statistik

15

ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska person- uppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.

Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast

Denna lag träder i kraft den 1 augusti 2018.

18

Prop. 2017/18:218

26 a kap. Behandling av per- sonuppgifter

1 §

Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som bedrivs med stöd av denna lag, föreskrifter som meddelats med stöd av lagen, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.

Detta kapitel ska inte tillämpas på behandling av personuppgifter i elevhälsan som utförs inom hälso- och sjukvården.

Förhållande till annan data- skyddsreglering

2 §

Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskydds- förordning.

Termer och uttryck i detta kapitel har samma betydelse som i EU:s dataskyddsförordning.

3 §

Bestämmelser om behandling av personuppgifter finns även i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.

20

artikel 10 i EU:s dataskyddsför- ordning får behandlas i verk- samhet hos en huvudman för en fristående skola om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet

1. i löpande text inom elev- hälsan, och

2. i skriftlig dokumentation som ska föras enligt 5 kap. 24 §.

För myndigheter finns det bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen. Där finns det även bestämmelser för andra än myndigheter som är skyldiga att följa föreskrifter om arkiv.

Denna lag träder i kraft den 1 augusti 2018.

22

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Dataskyddsförordningen, som börjar tillämpas den 25 maj 2018, finns i svensk lydelse i bilaga 1.

Regeringen beslutade den 30 juni 2016 att tillkalla en särskild utredare som bl.a. fick i uppdrag att undersöka vilken reglering av personupp- giftsbehandling inom utbildningsområdet som är möjlig och kan behövas utöver dels regleringen i dataskyddsförordningen, dels den generella reglering som den redan tillsatta Dataskyddsutredningen (Ju 2016:04) hade i uppdrag att föreslå med anledning av dataskyddsförordningen. Den nya utredningen, som tog sig namnet Utbildningsdatautredningen (U 2016:03), överlämnade i juni 2017 betänkandet EU:s dataskydds- förordning och utbildningsområdet (SOU 2017:49). En sammanfattning av betänkandet finns i bilaga 2. Utredningens lagförslag finns i bilaga 3. Betänkandet har remissbehandlats. En förteckning över remissinstans- erna finns i bilaga 4. Remissyttrandena och en sammanställning av dessa finns tillgängliga i Utbildningsdepartementet (U2017/02586/RS).

Datainspektionen har beretts tillfälle yttra sig över ett utkast till lagrådsremiss. Utkastet överensstämmer i allt väsentligt med lagråds- remissen. Vissa myndigheter och enskilda har beretts tillfälle att yttra sig över delar av utkastet till lagrådsremiss. Dessa är Statens skolverk, Statens skolinspektion, Specialpedagogiska skolmyndigheten, Sameskol- styrelsen, Sveriges Kommuner och Landsting, Friskolornas Riksförbund, Lärarförbundet, Lärarnas riksförbund Sveriges skolledarförbund, Riks- förbundet FUB (avsnitt 2.4, 9.1, 13.3) Myndigheten för yrkeshögskolan (avsnitt 2.2, 20.2), Chalmers tekniska högskola AB (avsnitt 2.1, 20.1), Sveriges förenade studentkårer (avsnitt 9.2.7) Statistiska centralbyrån, Folkbildningsrådet, Studieförbunden i samverkan, Studieförbundet SISU Idrottsutbildarna (avsnitt 5, 5.4, 9.4, 13.6) och Centrala Studiestöds- nämnden (avsnitt 9.5, 13.7, 15, 18.2). Yttranden har inkommit från samtliga utom Lärarförbundet, Lärarnas riksförbund, Sveriges skol- ledarförbund, Riksförbundet FUB och Myndigheten för yrkeshögskolan. Chalmers tekniska högskola har avstått från att yttra sig. Synpunkterna behandlas i respektive avsnitt. Inkomna yttranden finns tillgängliga i Utbildningsdepartementet (U2017/02586/RS).

Lagrådet

Regeringen beslutade den 1 mars 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga 6. Lagrådets synpunkter behandlas i avsnitt 16 och i författ-

lemsstater ansetts kräva en stark och mer sammanhängande ram för Prop. 2017/18:218 dataskyddet inom EU. Dataskyddsdirektivet har inte heller förhindrat

bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgifter har ansetts förhindra det fria flödet av personuppgifter och anses därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten.

Av bl.a. ovan nämnda skäl antogs den 27 april 2016 Europaparlamen- tets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning). Den nya rättsakten, som i det följande benämns data- skyddsförordningen, syftar till att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Förordningen syftar även till att skapa rättslig säkerhet och öppenhet för ekonomiska aktörer, ge fysiska personer i alla medlemsstater samma rättigheter och skyldigheter och ålägga dem som ansvarar för personuppgifterna samma ansvar. På så sätt avses övervakningen av behandling av personuppgifter bli enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt (skäl 10 och 13 till dataskyddsförordningen).

Dataskyddsförordningen har i likhet med dataskyddsdirektivet ett be- gränsat tillämpningsområde. Vid sidan av dataskyddsförordningen gäller Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndig- heters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

Dataskyddsförordningen ska tillämpas från och med den 25 maj 2018 då dataskyddsdirektivet upphör att gälla (artikel 99.2 och 94.1 i data- skyddsförordningen). Dataskyddsförordningen kommer alltså att ersätta dataskyddsdirektivet. Denna förändring innebär att PUL kommer att upp- hävas och att det även i övrigt kommer att behöva göras ändringar i svensk rätt.

4.2Dataskyddsförordningen är direkt tillämplig men kan kompletteras i nationell rätt

Dataskyddsförordningen är till alla delar bindande och direkt tillämplig i medlemsstaterna (artikel 99.2 i dataskyddsförordningen). Att en EU- förordning ska ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat framgår också av Fördraget om Europeiska unionens funktionssätt (artikel 288 andra stycket). Till skillnad från EU-direktiv ska alltså EU-förordningar inte implementeras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av en-

25

Prop. 2017/18:218 skilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmelser.

Även om dataskyddsförordningen, till skillnad från dataskyddsdirek- tivet, är direkt tillämplig i medlemsstaterna, innehåller den många be- stämmelser som förutsätter eller ger utrymme för kompletterande natio- nella bestämmelser av olika slag. Sådana bestämmelser måste dock vara förenliga med dataskyddsförordningen och avse en fråga som får regleras genom nationell rätt. Möjligheten till kompletterande nationella bestäm- melser gäller framför allt för bestämmelser som reglerar förhållandena inom den offentliga sektorn i respektive medlemsstat. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen bl.a. när det handlar om behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.2 i dataskyddsförordningen). Förordningen har därmed i vissa delar en direktivliknande karaktär. Om förordningen föreskriver att förtyd- liganden eller begränsningar av dess bestämmelser kan eller ska göras i medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8 till dataskyddsförordningen).

4.3 Dataskyddsförordningen ska kompletteras av en ny svensk övergripande lag och förordning om dataskydd

reglerar behandling av personuppgifter på ett avgränsat område. För Prop. 2017/18:218 närvarande kompletteras PUL av ca 200 registerförfattningar. På utbild-

ningsområdet gäller t.ex. studiestödsdatalagen (2009:287), studiestöds- dataförordningen (2009:321) och förordningen (1993:1153) om redo- visning av studier m.m. vid universitet och högskolor.

4.4Dataskyddsförordningen behöver även kompletteras genom svenska bestämmelser på utbildningsområdet

För att den behandling av personuppgifter som i dag sker på utbildnings- området ska kunna fortsätta när dataskyddsförordningen och dataskydds- lagen börjar gälla finns det även behov av kompletterande bestämmelser om personuppgiftsbehandling på utbildningsområdet. De frågor som aktualiseras på utbildningsområdet och där regeringen ser behov att lämna förslag till riksdagen eller informera om sin bedömning gäller förekomsten av rättslig grund för att behandla personuppgifter (avsnitt 9), behandling av känsliga personuppgifter (avsnitt 13), behandling av personuppgifter som rör lagöverträdelser (avsnitt 14) och att studie- stödsdatalagen ska anpassas till dataskyddsförordningen (avsnitt 15).

Nedan ges först en kortfattad redogörelse för gällande rätt då den nya dataskyddsförordningen till stor del baseras på dataskyddsdirektivets struktur och innehåll (avsnitt 4.5). Därefter ges en kort beskrivning av vilka nyheter dataskyddsförordningens reglering innebär (avsnitt 4.6).

Prop. 2017/18:218 säkerhet, statens säkerhet eller statens verksamhet på straffrättens områ-

gett tillstånd till detta. Den registrerade ska ha rätt att få sina rättigheter Prop. 2017/18:218 enligt den nationella lagen prövad av tillsynsmyndigheten och domstol.

Överföring av personuppgifter till ett tredje land får i princip endast ske om det mottagande landet har en acceptabel skyddsnivå (se bl.a. artikel 10, 18–20, 22 och 25).

Personuppgiftslagen

Dataskyddsdirektivet har, som angetts ovan, genomförts i svensk rätt huvudsakligen genom PUL. Bestämmelserna i PUL har till syfte att skydda människor mot att deras personliga integritet kränks genom be- handling av personuppgifter. PUL följer i princip dataskyddsdirektivets struktur. Liksom direktivet innehåller PUL bestämmelser om behandling av personuppgifter som helt eller delvis är automatiserad, men även annan behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. PUL gäller både myndigheter och enskilda som behandlar personupp- gifter på detta sätt. Lagen gäller dock inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (5 och 6 §§ PUL). Vidare anges att PUL inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihets- grundlagen samt att vissa angivna bestämmelser inte ska tillämpas på sådan behandling av personuppgifter som sker uteslutande för jour- nalistiska ändamål eller konstnärligt eller litterärt skapande (7 §). Det anges även att PUL inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter samt att bestämmelserna inte heller hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkiv- material tas om hand av en arkivmyndighet (8 §).

Liksom direktivet innehåller PUL bl.a. grundläggande krav på behand- ling av personuppgifter, när behandling av personuppgifter är tillåten, förbud mot behandling av känsliga personuppgifter och undantag från detta förbud, begränsningar i fråga om behandling av personuppgifter om lagöverträdelser m.m. och skyldighet att lämna information till den regi- strerade. De som i direktivet benämns som registeransvarig och register- förare motsvaras i PUL av personuppgiftsansvarig och personuppgifts- biträde (3 §).

4.6Likheter och skillnader mellan dataskydds- direktivet och dataskyddsförordningen

Som nämnts baseras dataskyddsförordningen till stor del på dataskydds- direktivets struktur och innehåll. Precis som dataskyddsdirektivet, ska dataskyddsförordningen tillämpas på sådan behandling av person- uppgifter som helt eller delvis företas på automatisk väg och på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1).

29

Prop. 2017/18:218 Definitionerna av begreppen personuppgifter och behandling i data- skyddsförordningen har, jämfört med dataskyddsdirektivets definitioner, endast justerats något redaktionellt och kompletterats med något ytter- ligare exempel på vad som utgör personuppgifter respektive behandling (artikel 4 punkt 1 och 2 i dataskyddsförordningen).

Definitionerna av personuppgiftsansvarig och personuppgiftsbiträde i dataskyddsförordningen motsvarar definitionerna av registeransvarig och registerförare i dataskyddsdirektivet (artikel 4 punkt 7 och 8).

I likhet med dataskyddsdirektivet innehåller dataskyddsförordningen grundläggande principer för behandling av personuppgifter som i stort sett är oförändrade, en reglering av när behandling av personuppgifter är tillåten, förbud mot behandling av känsliga personuppgifter och undantag från detta förbud i vissa fall, begränsningar i fråga om behandling av personuppgifter om lagöverträdelser m.m. och bestämmelser om infor- mation till den registrerade (t.ex. artikel 5, 6, 9 10 och 12–15.)

Jämfört med dataskyddsdirektivet medför dock dataskyddsförord- ningen bl.a. följande förändringar.

Det territoriella tillämpningsområdet utvidgas

Dataskyddsförordningen ska i likhet med dataskyddsdirektivet tillämpas på behandling av personuppgifter som sker inom ramen för den verk- samhet som bedrivs av en personuppgiftsansvarig eller ett personupp- giftsbiträde som är etablerad i unionen. Vidare ska dataskyddsförord- ningen, i likhet med dataskyddsdirektivet, också tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerade i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten (artikel 3.1 och 3.3 i dataskyddsförordningen).

En skillnad jämfört med dataskyddsdirektivets ordalydelse är dock att förordningen under vissa omständigheter även ska tillämpas på behand- ling av personuppgifter som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen. Detta gäller om behandlingen avser registrerade som befinner sig i unionen, under förut- sättning att behandlingen har anknytning till antingen utbjudande av varor eller tjänster till sådana registrerade i unionen eller övervakning av deras beteende, så länge beteendet sker inom unionen (artikel 3.2 i data- skyddsförordningen).

De registrerades rättigheter förstärks

Den registrerades rättigheter har förstärkts i dataskyddsförordningen i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Den information som ska tillhandahållas den registrerade har preciserats och utvidgats och det anges bl.a. uttryckligen att den personuppgiftsansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form (artikel 12–23).

Förordningen innebär även en förstärkning av rätten att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet (artikel 20).

Vidare har en tydligare rätt till radering (”rätt att bli bortglömd”) införts (artikel 17).

30

Prop. 2017/18:218 unionsrätten eller i nationell rätt. Detta gäller om behandlingen är nöd- vändig för att fullgöra en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Hur rättsliga för- pliktelser, uppgifter av allmänt intresse och myndighetsutövning fast- ställs i enlighet med svensk rätt förtydligas i 2 kap. 1–3 §§ i den före- slagna dataskyddslagen. Frågan om rättsliga grunder för behandling av personuppgifter på utbildningsområdet behandlas i avsnitt 9.

Förändringar när det gäller känsliga personuppgifter och lagöverträdelser

Det har också skett vissa ändringar i fråga om vilka uppgifter som om- fattas av förbudet mot behandling av känsliga personuppgifter och i fråga om vilka uppgifter om lagöverträdelser m.m. som får behandlas. Det redogörs närmare för dessa förändringar i avsnitt 13.1 och 14.1.

Kompletterande nationella bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser samt personnummer och samordningsnummer föreslås i 3 kap. dataskyddslagen. Frågan om behandling av känsliga personuppgifter och uppgifter om lagöver- trädelser på utbildningsområdet behandlas i avsnitt 13 och 14.

Förhållandet till offentlighetsprincipen blir tydligare

Utrymmet för att ge offentlighetsprincipen företräde framför dataskydds- regleringen blir tydligare, genom en uttrycklig och direkt tillämplig be- stämmelse i artikel 86 i dataskyddsförordningen. Av bestämmelsen följer att personuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med för- ordningen. Härigenom möjliggörs alltså en tillämpning av tryckfrihets- förordningens reglering om allmänhetens tillgång till handlingar när det gäller allmänna handlingar som innehåller personuppgifter. Ett tydlig- görande av bl.a. detta föreslås i 1 kap. 7 § dataskyddslagen.

Administrativa sanktionsavgifter och andra åtgärder som syftar till en enhetlig tillämpning införs

Genom förordningen införs ett nytt gemensamt system med admini- strativa sanktionsavgifter som ska tas ut vid vissa typer av överträdelser av förordningen. Kompletterande nationella bestämmelser om sanktions- avgifter föreslås i 6 kap. 2–7 §§ dataskyddslagen. Även på andra sätt innebär förordningen ett ökat fokus på en enhetlig tillämpning av data- skyddsreglerna inom EU, till exempel genom åtgärder som godkännande av uppförandekoder och certifiering. Det införs även en skyldighet för de nationella tillsynsmyndigheterna att samarbeta med varandra. Det införs också en ny princip om en enda kontaktpunkt, som ska underlätta för personuppgiftsansvariga som är verksamma i flera medlemsstater genom att de endast ska behöva vara i kontakt med en av de behöriga tillsyns- myndigheterna. Det införs även ett nytt unionsorgan, Europeiska data- skyddsstyrelsen, som får långtgående befogenheter att uttala sig om tolk- ningen av förordningen även i enskilda fall (t.ex. artikel 40, 43, 57, 68– 76 och 83).

32

4.7 Regeringsformen avgör om kompletterande Prop. 2017/18:218 svensk reglering ska införas på lag- eller

förordningsnivå

När det gäller införande av svensk reglering som kompletterar data- skyddsförordningen behöver regeringsformens (RF) grundläggande be- stämmelser till skydd för den personliga integriteten beaktas.

Tidigare gällde att varje medborgare, i den utsträckning som närmare anges i lag, skulle skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling (tidigare 2 kap. 3 § andra stycket RF). Bestämmelsen gav dock inte något individuellt rättighetsskydd för enskilda, utan innebar enbart att lagstiftaren var skyldig att i lag upprätthålla någon form av skydd för den personliga integriteten i fråga om automatiserad behand- ling av personuppgifter.

Till följd av en grundlagsändring som trädde i kraft den 1 januari 2011 gäller numer att var och en är gentemot det allmänna skyddad mot bety- dande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Detta skydd kan dock begränsas genom lag (2 kap. 6 § andra stycket och 20 § första stycket 2 RF).

Vid införandet av nya bestämmelser som avser behandling av person- uppgifter behöver därmed bedömas om regleringen utgör ett sådant be- tydande intrång som kräver lagform, eller om regleringen kan införas på förordningsnivå. Förarbetena till grundlagsbestämmelsen ger ledning vid en sådan bedömning (propositionen En reformerad grundlag [prop. 2009/10:80 s. 171 f.]).

5 Vad avses med utbildningsområdet?

Utbildningsområdet omfattar bl.a. skolväsendet och annan verksamhet som regleras i skollagen, den verksamhet som bedrivs av universitet och högskolor, yrkeshögskolan, folkbildningen och studiestödet. Området omfattar utbildning hos offentliga och enskilda utbildningsanordnare som är erkända av det allmänna, t.ex. genom tillstånd, offentlig finansiering eller genom att utbildningen berättigar till studiestöd. Däremot omfattas inte rent privaträttslig utbildning. I propositionen behandlas inte behandling av personuppgifter på utbildningsområdet som sker med stöd av lagen om den officiella statistiken (2001:99) och förordningen om den officiella statistiken (2001:100). Nedan redogörs närmare för olika delar av utbildningsområdet.

5.1Skollagsreglerad verksamhet

Skolväsendet regleras i skollagen (2010:800) och anslutande förord-

ningar och omfattar skolformerna förskola, förskoleklass, grundskola,

33

Prop. 2017/18:218 grundsärskola, specialskola, sameskola, gymnasieskola, gymnasiesär- skola, kommunal vuxenutbildning och särskild utbildning för vuxna. I skolväsendet ingår också fritidshem som kompletterar utbildningen i förskoleklassen, grundskolan, grundsärskolan, specialskolan, sameskolan och vissa särskilda utbildningsformer (1 kap. 1 § skollagen). I skollagen finns även bestämmelser om vissa särskilda utbildningsformer och annan pedagogisk verksamhet som bedrivs i stället för utbildning inom skol- väsendet (1 kap. 2 §, 24 kap. och 25 kap. skollagen). Som exempel kan nämnas internationella skolor, utbildning vid särskilda ungdomshem, utbildning för barn och elever som vårdas på sjukhus, öppen förskola och omsorg under tid då förskola eller fritidshem inte erbjuds.

Utbildning inom skolväsendet anordnas av både offentliga och en- skilda aktörer. Kommuner är huvudmän för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning, särskild utbildning för vuxna och fritidshem. Staten är huvudman för specialskola och sameskola och för förskoleklass och fritidshem vid en skolenhet inom dessa skolformer. I viss utsträckning får ett landsting vara huvudman för gymnasieskola, gymnasiesärskola, kom- munal vuxenutbildning och särskild utbildning för vuxna. Efter ansökan som prövas av Statens skolinspektion, eller i vissa fall av kommunen där utbildningen ska bedrivas, får en enskild godkännas som huvudman för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gym- nasiesärskola och fritidshem (2 kap. skollagen).

Det finns också vissa möjligheter för huvudmän inom skolväsendet att sluta avtal om att någon annan enskild fysisk eller juridisk person utför vissa uppgifter enligt skollagen, s.k. entreprenad (23 kap. skollagen).

I det följande används begreppet skollagsreglerad verksamhet som samlingsbegrepp för de verksamheter som regleras i skollagen.

Inom den skollagsreglerade verksamheten kan vissa utbildningar både på grundläggande och gymnasial nivå berättiga till studiestöd (se vidare avsnitt 5.5).

5.2Universitet och högskolor

Vid universitet och högskolor ges eftergymnasial utbildning på grund- nivå, avancerad nivå och forskarnivå. Examina utfärdas på grundnivå, avancerad nivå och forskarnivå. I vissa fall krävs tillstånd för att utfärda examina.

De flesta universitet och högskolor har staten som huvudman och om- fattas av högskolelagen (1992:1494) och högskoleförordningen (1993:100). Universitetskanslersämbetet prövar frågor om examenstill- stånd. Tillstånd att utfärda examina kan också ges av regeringen till enskilda utbildningsanordnare enligt lagen (1993:792) om tillstånd att utfärda vissa examina.

I det följande används högskolor som samlingsbegrepp för universitet och högskolor, oavsett om det är fråga om statliga eller enskilda utbild- ningsanordnare.

Statliga högskoleutbildningar och ett stort antal utbildningar vid enskilda utbildningsanordnare som har tillstånd att utfärda examina

34

enligt lagen om tillstånd att utfärda vissa examina berättigar till studie- Prop. 2017/18:218 stöd (se vidare avsnitt 5.5).

5.3Yrkeshögskolan och andra eftergymnasiala utbildningar

Yrkeshögskolan inrättades 2009 som en fristående utbildningsform med ett gemensamt regelverk för eftergymnasiala yrkesutbildningar vid sidan av högskolan. Yrkeshögskolan regleras i lagen (2009:128) om yrkes- högskolan. Myndigheten för yrkeshögskolan (MYH) är förvaltnings- myndighet för yrkeshögskolan och beslutar vilka utbildningar som får ingå där. Utbildning inom yrkeshögskolan får anordnas av statliga uni- versitet och högskolor, andra statliga myndigheter, kommuner, landsting och enskilda fysiska eller juridiska personer. Ett beslut om att en ut- bildning får ingå i yrkeshögskolan kan innebära att anordnaren kan få statsbidrag eller särskilda medel för utbildningen. En yrkeshögskole- utbildning berättigar också de studerande till studiestöd. Det finns också utbildningar där anordnarna i stället för att få statsbidrag eller särskilda medel kan ta ut studerandeavgifter. Även dessa utbildningar berättigar de studerande till studiestöd. En utbildning inom yrkeshögskolan ska svara mot behov av kvalificerad arbetskraft i arbetslivet som inte tillgodoses genom en utbildning enligt högskolelagen (1992:1434) eller en utbild- ning som kan leda fram till en examen enligt lagen (1993:792) om tillstånd att utfärda vissa examina. En anordnare av utbildning inom yrkeshögskolan får efter anmälan bedriva sådan utbildning även som uppdragsutbildning.

Även konst- och kulturutbildningar är en eftergymnasial utbildnings- form. Utbildningarna finns inom exempelvis dans, musik, teater, film, konst och mode. De bedrivs av enskilda fysiska eller juridiska personer men står under statlig tillsyn. MYH prövar frågor om stöd enligt förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Både utbildning inom yrkeshögskolan enligt lagen om yrkeshögskolan som inte är uppdragsutbildning och utbildning som har förklarats berät- tiga till studiestöd genom beslut av Myndigheten för yrkeshögskolan enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar berättigar till studiestöd (se avsnitt 5.5).

5.4 Folkbildningen

Prop. 2017/18:218 förbunden är ideella organisationer. Studieförbunden driver bl.a. studie- cirkelverksamhet och kulturverksamhet.

Folkbildningen finansieras huvudsakligen. genom statsbidrag enligt förordningen (2015:218) om statsbidrag till folkbildningen. Folkbild- ningsrådet (FBR), som är en ideell organisation där organisationer som företräder folkhögskolor och studieförbund är medlemmar, beslutar vilka folkhögskolor, studieförbund och studerandeorganisationer inom folk- högskolan som ska få del av statsbidraget och fördelar tillgängliga medel mellan dem. Folkhögskolor och studieförbund som FBR fördelar stats- bidrag till enligt den nämnda förordningen kan även få statsbidrag enligt förordningen (2012:140) om statsbidrag för viss utbildning som rör tolkning och teckenspråk och förordningen (2015:521) om statsbidrag till särskilda folkbildningsinsatser för asylsökande och vissa nyanlända in- vandrare. Vidare kan folkhögskolorna ansöka hos Specialpedagogiska skolmyndigheten om statsbidrag för kostnader för särskilt utbildnings- stöd som erbjuds deltagare med funktionsnedsättningar enligt förord- ningen (2011:1163) om statsbidrag för särskilt utbildningsstöd. Special- pedagogiska skolmyndigheten beviljar det statsbidraget enbart till de folkhögskolor som av FBR har tilldelats statsbidrag till folkbildningen. Det finns även andra statsbidrag som folkhögskolor och studieförbund kan ansöka om för att genomföra olika typer av verksamhet. Det är t.ex. fallet med statsbidrag enligt förordningen (2016:1364) om statsbidrag till verksamheter för asylsökande m.fl. som beviljas av länsstyrelsen. Den del av folkbildningsverksamhet som finansieras genom olika former av statsbidrag benämns i denna proposition statsbidragsfinansierad folkbild- ning.

Folkbildningen kan dessutom finansieras på annat sätt. Det kan t.ex. handla om bidrag för uppdragsutbildningar, bidrag från kommun och landsting eller region samt bidrag från privata aktörer. Den delen av folk- bildningsverksamheten benämns i propositionen folkbildning som finan- sieras på annat sätt än genom statsbidrag.

Statsbidrag enligt förordningen om statsbidrag till folkbildningen och förordningen om statsbidrag till särskilda folkbildningsinsatser för asyl- sökande och vissa nyanlända invandrare får också direkt lämnas till Studieförbundet SISU Idrottsutbildarna (SISU) för idrottens studie-, bildnings- och utbildningsverksamhet. SISU beslutar vilka som bedriver sådan verksamhet som ska få statsbidrag och fördelar tillgängliga medel mellan dem. Även SISU mottar andra former av finansiering för sin verksamhet.

Att fördela statsbidrag är en förvaltningsuppgift som innefattar myn- dighetsutövning. En sådan uppgift får bara överlämnas till enskilda med stöd av lag (12 kap. 4 § RF). FBR och SISU fördelar statsbidrag med stöd av lagen (1976:1046) om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde. Av 2 kap. 4 § offentlighets- och sekretesslagen (2009:400, OSL) och bilagan till den lagen framgår att FBR och SISU i deras verksamhet att fördela stats- bidrag ska tillämpa vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter samt att de i den verk- samheten också ska jämställas med myndigheter vid tillämpning av OSL.

36

Kvalifikationer från folkbildningen kan vara behörighetsgivande vid Prop. 2017/18:218 ansökan till t.ex. högskolan eller yrkeshögskolan. Vissa utbildningar som

anordnas av folkhögskolor berättigar till studiestöd (se avsnitt 5.5).

5.5Studiestödet

Till utbildningsområdet hör även studiestödet. Studiestödet består fram- för allt av ekonomiskt stöd till enskilda i form av bl.a. studiehjälp och studiemedel. Sedan den 2 juli 2017 finns också ett nytt studiestöd, studiestartsstöd, som ett komplement till studiemedelssystemet. Studie- stödet administreras av Centrala studiestödsnämnden (CSN).

Bestämmelser som avser studiestödet finns framförallt i studiestöds- lagen (1999:1395), studiestödsförordningen (2000:655), lagen (2017:527) om studiestartsstöd, förordningen (2017:532) om studiestarts- stöd, studiestödsdatalagen (2009:287) och studiestödsdataförordningen (2009:321).

En förteckning över de läroanstalter och utbildningar vid vilka studie- stöd kan lämnas finns i en bilaga till studiestödsförordningen.

5.6 Den nationella referensramen för livslångt lärande

Prop. 2017/18:218 kvalifikationer som utfärdas rekommenderas medlemsstaterna att tilläm- pa de principer för kvalitetssäkring inom högre och yrkesinriktad utbild-

gymnasiesärskolebevis från särskild utbildning för vuxna på gymnasial Prop. 2017/18:218 nivå, betyg från utbildning i svenska för invandrare kurs D, eller motsva-

rande utbildning som bedrivs vid folkhögskola, betyg från kommunal vuxenutbildning i svenska för invandrare kurs D, eller motsvarande ut- bildning som bedrivs vid folkhögskola samt i intyg om godkänt resultat från allmän kurs på grundskolenivå från folkhögskola. Det finns inga kvalifikationer inplacerade på nivå 3. På nivå 4 finns bl.a. gymnasie- examen från gymnasieskolan, gymnasieexamen från kommunal vuxen- utbildning och intyg om godkänt resultat från allmän kurs på gymnasial nivå från folkhögskola. Nivå 5 innehåller gymnasieingenjörsexamen från gymnasieskolan och yrkeshögskoleexamen från yrkeshögskolan. På nivå 6 har bl.a. examina på grundnivå enligt bilaga 2 till högskoleförord- ningen och kvalificerad yrkeshögskoleexamen från yrkeshögskolan placerats. Examina på avancerad nivå enligt bilaga 2 till högskoleför- ordningen, bilagan till förordningen (1993:221) för Sveriges lantbruks- universitet och bilagan till förordningen (2007:1164) för Försvars- högskolan finns på nivå 7 och slutligen finns på nivå 8 examina på forskarnivå enligt bilaga 2 till högskoleförordningen och bilagan till för- ordningen för Sveriges lantbruksuniversitet.

Prop. 2017/18:218 lagen). Regeringen bedömer mot denna bakgrund att det i fråga om per- sonuppgiftsbehandling hos ovan nämnda myndigheter redan har lämnats förslag och bedömningar i propositionen Ny dataskyddslag som medför att det saknas anledning att även i denna proposition behandla samma frågor. I de fall det därutöver finns behov av anpassningar till den nya dataskyddsregleringen i fråga om ovan nämnda myndigheter bedöms detta kunna ske inom ramen för det fortsatta förordningsarbetet.

När det gäller studiestödet kan konstateras att CSN visserligen inte bedriver utbildning. Som nämnts i avsnitt 4.3. finns det dock registerförfattningar på studiestödsområdet och dessa behöver anpassas till den nya dataskyddsförordningen och den nya dataskyddslagen. Frågor om studiestödet behandlas därför i denna proposition.

6För att personuppgiftsbehandling ska vara laglig krävs en rättslig grund

Som framgått av avsnitt 4 får behandling av personuppgifter som faller under dataskyddsförordningens tillämpningsområde bara ske om det finns en tillämplig rättslig grund. Dessa är enligt artikel 6.1 att

–den registrerade har lämnat sitt samtycke till att dennes person- uppgifter behandlas för ett eller flera specifika ändamål (samtycke, artikel 6.1 a),

–behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (avtal, artikel 6.1 b),

–behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (rättslig förpliktelse, artikel 6.1 c),

–behandlingen är nödvändig för att skydda intressen som är av grund- läggande betydelse för den registrerade eller för en annan fysisk person (skydda intressen, artikel 6.1 d),

–behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndig- hetsutövning (uppgift av allmänt intresse och myndighetsutövning, artikel 6.1 e), eller

–behandlingen är nödvändig för ändamål som rör den personupp- giftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (intresseavvägning, artikel 6.1.f).

Om inget av dessa villkor är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling.

Som framgått av avsnitt 4 förtydligas i skäl 43 till dataskydds- förordningen att utrymmet för att myndigheter ska kunna basera en

behandling av personuppgifter på den rättsliga grunden samtycke är

40

begränsat. Vidare är skillnaderna mot gällande rätt att det inte är tillåtet Prop. 2017/18:218 för myndigheter att behandla personuppgifter med stöd av den rättsliga

grunden intresseavvägning, och att de rättsliga grunderna rättslig förpliktelse, uppgift av allmänt intresse och myndighetsutövning ska fast- ställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Enligt skäl 41 i dataskyddsförordningen bör den rättsliga grunden vara tydlig och precis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den.

Nedan ges en närmare redogörelse för de rättsliga grunderna samtycke, uppgift av allmänt intresse, myndighetsutövning, rättslig förpliktelse och intresseavvägning.

6.1Samtycke som rättslig grund

Om en behandling grundar sig på samtycke ska den personuppgiftsan- svarige kunna visa att den registrerade har samtyckt till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (artikel 6.1 a och 7.1).

Med samtycke avses varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar be- handling av personuppgifter som rör honom eller henne (artikel 4.11).

Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den regi- strerade godtar den avsedda behandlingen av sina personuppgifter (skäl 32).

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke (skäl 42).

Samtycke bör inte utgöra giltig rättslig grund för behandling av person- uppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den person- uppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43).

Artikel 29-gruppen, som är EU:s oberoende rådgivande instans för dataskydd och skydd för privatlivet bestående av en företrädare för varje nationell tillsynsmyndighet i EU-medlemsstaterna, en företrädare för EU-kommissionen och den europeiske datatillsynsmannen, har yttrat att samtycke i undantagsfall kan vara en giltig grund för stater när de be-

41

Prop. 2017/18:218 handlar personuppgifter. Det bör göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig för- pliktelse eller utförandet av en uppgift av allmänt intresse snarare än samtycke (yttrande 15/2011 om definitionen av begreppet samtycke artikel 29-gruppen s. 13–14 och 16–17).

Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offentlig- rättsligt reglerade. I propositionen Ny dataskyddslag gör regeringen bedömningen att när det är tveksamt om den verksamhet som en privat- rättslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten (s. 58).

6.2Uppgift av allmänt intresse som rättslig grund

Enligt artikel 6.1.e får en personuppgift behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Grunden för be- handlingen ska enligt artikel 6.3 fastställas i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Av artikel 6.3 sista meningen framgår att unionsrätten eller medlems- staternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Vilka uppgifter är av allmänt intresse?

Begreppet allmänt intresse är ett unionsrättsligt begrepp som inte har definierats vare sig i dataskyddsdirektivet eller i dataskyddsförordningen och innebörden har heller inte ännu utvecklats av EU-domstolen.

Rent språkligt kan begreppet uppgift av allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse. Av skäl 45 till dataskyddsförordningen följer att allmänintresset inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster. Det kan konstateras att begreppet förekommer i mot- svarande bestämmelser i dataskyddsdirektivet (artikel 7 e) och per- sonuppgiftslagen (10 § d) och att ledning kan hämtas från hur begreppet tolkats enligt dessa bestämmelser.

Som anförts i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 56) gör regeringen bedömningen att alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är av allmänt in- tresse. Om uppgifterna inte vore av allmänt intresse skulle myndig- heterna inte ha ålagts att utföra dem. På motsvarande sätt är de obliga- toriska uppgifter som ålagts kommuner och landsting att utföra av all- mänt intresse. Detta måste enligt regeringens mening gälla även i data- skyddsförordningens mening, eftersom det är upp till varje medlemsstat

att fastställa de uppgifter som är av allmänt intresse.

42

Prop. 2017/18:218 behandlingen ska vara fastställd i unionsrätt eller nationell rätt finns inte i dataskyddsdirektivet. Det har därför t.ex. ansetts möjligt att med stöd av

underlåtas. Det unionsrättsliga begreppet har dock inte denna strikta Prop. 2017/18:218 innebörd. Nödvändighetsrekvisitet i artikel 7 i dataskyddsdirektivet har

t.ex. inte ansetts utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Detta synsätt kommer till uttryck i EU-domstolens dom i målet Huber mot Tyskland, som rörde tolkningen av nödvändighetsrekvisitet i artikel 7 e i direktivet (C-524/06, EU:C:2008:724). EU-domstolen uttalade att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser. Domen bör kunna utgöra stöd även vid tolkningen av dataskyddsförordningen. På motsvarande sätt bör det i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag.

Att det ska vara nödvändigt att behandla en uppgift ska enligt rege- ringens bedömning således inte tolkas som att uppgiften av allmänt intresse måste vara avgränsad så att den bara kan utföras på ett sätt. Den metod som den personuppgiftsansvarige väljer för att utföra sin uppgift måste dock – som all offentlig förvaltning – vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Ju mer detaljerat en viss uppgift har reglerats, desto mindre utrymme torde det finnas för den personuppgiftsansvarige att välja olika tillvägagångssätt. Detta medför i sin tur en större förutse- barhet i fråga om vilken personuppgiftsbehandling som kan aktualiseras. Om ett uppdrag i stället har reglerats på en mer övergripande och resul- tatinriktad nivå kan det sannolikt utföras på många olika sätt, vilka i förhållande till varandra kan vara mer eller mindre nödvändiga i data- skyddsförordningens mening. Kravet på att ändamålet ska vara nödvän- digt för att utföra en uppgift av allmänt intresse innebär alltså i sig en spärr mot helt onödig behandling av personuppgifter eller sådan behand- ling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses (prop. 2017/18:105 s. 60).

6.3Myndighetsutövning som rättslig grund

Enligt dataskyddsförordningen får personuppgifter även behandlas om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. För att grunden ska kunna tillämpas krävs att rätten att utöva myndighet är fastställd i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Den person- uppgiftsansvarige behöver inte vara skyldig att utföra uppgiften för att den rättsliga grunden ska vara tillämplig, men behandlingen måste vara nödvändig (artikel 6.1 e andra ledet och 6.3). Vad som avses med att en rättslig grund ska vara fastställd i nationell rätt och att en behandling ska vara nödvändig har behandlats i avsnitt 6.1.2.

Begreppet myndighetsutövning har en EU-gemensam innebörd. I propositionen Ny dataskyddslag (prop. 2017/18:105) anges att utgångs- punkten i svensk rätt är att det som i Sverige brukar anses som myndig-

47

Prop. 2017/18:218 hetsutövning faller under begreppet och att detta bör gälla även fortsätt- ningsvis (s. 62). Myndighetsutövning karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befogenheten till myndighetsutövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de högsta statsorganen. Utanför begreppet myndighetsutövning faller råd, upplysningar och faktiskt handlande som inte innebär tvång mot den enskilde.

Av naturliga skäl är det i första hand statliga och kommunala myndigheter som ägnar sig åt myndighetsutövning. Även juridiska och fysiska personer kan dock med stöd av lag anförtros förvaltningsupp- gifter som innefattar myndighetsutövning (12 kap. 4 § RF). I proposi- tionen Ny dataskyddslag noteras att den rättsliga grunden myndighets- utövning kan tillämpas av alla personuppgiftsansvariga som har tilldelats myndighetsutövande befogenheter (prop. 2017/18:105, s. 63).

Liksom i fråga om den rättsliga grunden uppgift av allmänt intresse, får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling för att efterleva den rättliga grunden myndighetsutövning. Detta får ske genom att närmare fastställa specifika krav för person- uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling (artikel 6.2 i dataskyddsförordningen).

I propositionen Ny dataskyddslag föreslås att det i dataskyddslagen tydliggörs hur den rättsliga grunden myndighetsutövning kan vara ut- tryckt. Enligt förslaget i 2 kap. 2 § 2 dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om be- handlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.

6.4Rättslig förpliktelse som rättslig grund

Dataskyddsförordningen tillåter även behandling av personuppgifter om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. För att grunden ska kunna tillämpas krävs att den rättsliga förpliktelsen är fastställd i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.1 c och 6.3 första stycket).

Till skillnad från de rättsliga grunderna uppgift av allmänt intresse och myndighetsutövning, ska syftet med behandlingen fastställas i den rättsliga grunden (artikel 6.3 andra stycket). I propositionen Ny data- skyddslag anges att kravet torde innebära att en förpliktelse inte kan läggas till grund för behandling av personuppgifter om syftet med behandlingen inte framgår av den reglering som förpliktelsen grundas på eller det beslut där förpliktelsen anges. Det ska alltså vara möjligt för såväl den personuppgiftsansvarige som den registrerade att förstå varför behandlingen av personuppgifter ska ske (prop. 2017/18:105 s. 54).

I fråga om den rättsliga grunden rättslig förpliktelse gör dataskydds- förordningen inte skillnad på offentliga eller privata organ.

48

Liksom i fråga om de rättsliga grunderna uppgift av allmänt intresse Prop. 2017/18:218 och myndighetsutövning, får medlemsstaterna behålla eller införa mer

specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling för att efterleva den rättliga grunden rättslig förpliktelse. Detta får ske genom att närmare fastställa specifika krav för personuppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling (artikel 6.2 i dataskydds- förordningen).

I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås att det anges i 2 kap. 1 § dataskyddslagen att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen om behandlingen är nöd- vändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som gäller enligt lag eller annan författning, följer av kollek- tivavtal, eller följer av beslut som har meddelats med stöd av lag eller annan författning.

6.5Intresseavvägning som rättslig grund

Behandling av personuppgifter är enligt dataskyddsförordningen även laglig om den är nödvändig för ändamål som rör den personuppgifts- ansvariges eller en tredje parts berättigade intressen, om inte den registre- rades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (artikel 6.1 f första stycket)

Som nämnts tidigare gäller denna grund inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter (artikel 6.1 f andra stycket).

I propositionen Ny dataskyddslag gör regeringen bedömningen att när det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unions- rättslig mening är det i stället ofta möjligt att grunda nödvändig behand- ling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen. Detsamma gäller om verksamhe- ten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten (prop. 2017/18:105 s. 59).

7Principer som måste följas vid behandling av personuppgifter

7.1 Allmänna principer för personuppgifts- behandling

Prop. 2017/18:218 gifter som helst eller på valfritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen.

Dataskyddsförordningen innehåller ett antal principer som gäller och ska tillämpas vid all behandling av personuppgifter. Dessa principer är i stort sett desamma enligt dataskyddsförordningen som enligt dataskydds- direktivet. Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna efterlevs. Principerna framgår av artikel 5 i dataskyddsförordningen.

För det första ska uppgifterna behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet, artikel 5.1 a).

Uppgifterna ska vidare samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska emellertid inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegräns- ning, artikel 5.1 b).

Uppgifterna ska också vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering, artikel 5.1 c).

Uppgifterna ska dessutom vara korrekta och om nödvändigt uppdatera- de. Alla rimliga åtgärder måste vidtas för att säkerställa att person- uppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet, artikel 5.1.d).

Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forsk- ningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering, artikel 5.1.e).

Slutligen ska uppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisa- toriska åtgärder (integritet och konfidentialitet, artikel 5.1 f).

7.2Det finns en särskild reglering för s.k. känsliga personuppgifter

Dataskyddsförordningen innehåller, i likhet med dataskyddsförordning- en, ett principiellt förbud mot behandling av särskilda kategorier av uppgifter samt flera undantag från detta förbud (artikel 9 i dataskydds- förordningen respektive 8 i dataskyddsdirektivet). I PUL används benäm- ningen känsliga uppgifter för de personuppgifter som omfattas av denna

särskilda reglering. Dessa är enligt dataskyddsdirektivet och PUL upp-

50

gifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös Prop. 2017/18:218 eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter

som rör hälsa och sexualliv. I dataskyddsförordningen utvidgas den sär- skilda kategorierna av uppgifter till att också omfatta behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Förbudet ska enligt artikel 9.2 inte tillämpas i någon av de situationer som beskrivs i artikel 9.2 a–j. Förbudet gäller t.ex. inte om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionslagstiftningen eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g).

Ska uppgifterna benämnas särskilda kategorier av personuppgifter eller känsliga personuppgifter?

I såväl det nuvarande dataskyddsdirektivet som i dataskyddsförordningen benämns de personuppgifter som omfattas av förbudet som särskilda kategorier av personuppgifter i artikeltexten. I dataskyddsförordningens beaktandeskäl omnämns de på ett par ställen som känsliga respektive särskilt känsliga uppgifter (skäl 10 och 51). I PUL har särskilda katego- rier av personuppgifter kallats känsliga personuppgifter utan att detta närmare har kommenterats i förarbetena. I propositionen Ny dataskydds- lag (prop. 2017/18:105) föreslår regeringen att begreppet känsliga personuppgifter fortsatt bör användas som samlingsbenämning i data- skyddslagen för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som anges i artikel 9 i dataskyddsförordningen. Bak- grunden till detta förslag är att begreppet får anses väl inarbetat, även på EU-nivå, och är språkligt enklare att använda och förstå, inte minst i författningstext.

7.3 Den finns även en särskild reglering om personuppgifter om lagöverträdelser

Prop. 2017/18:218 ningen jämfört med direktivet är att hänvisningen till personuppgifter om avgöranden i tvistemål och administrativa sanktioner har tagits bort.

Prop. 2017/18:218 det allmänna också ska svara för att högre utbildning finns (1 kap. 2 § andra stycket och 2 kap. 18 § första stycket RF). I Europeiska konventio- nen till skydd för de mänskliga rättigheterna anges att ingen får förvägras rätten till undervisning (artikel 2 i protokollet till konventionen). Kon- ventionen gäller enligt lagen (1994:1219) om den europeiska konven- tionen angående skydd för de mänskliga rättigheterna och de grundläg- gande friheterna, som svensk lag

Regeringen anser att det redan i EU-rätten finns stöd för att utbildning utgör såväl en uppgift av allmänt intresse som ett viktigt allmänintresse. Det faktum att rätten till utbildning också lyfts fram i svensk grundlag och i Europakonventionen om mänskliga rättigheter bekräftar detta. Även förekomsten av den europeiska referensramen för kvalifikationer för livslångt lärande och de till den referensramen anslutande nationella referensramarna bekräftar detta.

Nedan kommer regeringen i avsnitt 9 att redogöra för andra mer specifika författningar inom de olika delarna av utbildningsområdet som bidrar till att anordnande och bedrivande av utbildning inom respektive del av utbildningsområdet anses vara en fastställd uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. I an- slutning till detta redogörs även för vilka andra rättsliga grunder i artikel 6.1 som skulle kunna vara aktuella att tillämpa inom olika delar av utbildningsområdet.

Frågan vilken kompletterande reglering som behövs i svensk rätt för att känsliga personuppgifter och uppgifter om lagöverträdelser ska kunna behandlas på utbildningsområdet i den utsträckning som är nödvändigt återkommer regeringen till i avsnitt 13 och 14.

9Rättsliga grunder för personuppgifts- behandling inom utbildningsområdet

9.1Skollagsreglerad verksamhet

9.1.1Vilka personuppgifter behandlas inom skollagsreglerad verksamhet?

Nedan ges en översiktlig beskrivning av de huvudsakliga behandlingar av personuppgifter som sker på det skollagsreglerade området. En närmare redogörelse för behandlingar av känsliga personuppgifter och uppgifter om lagöverträdelser ges i avsnitt 13.3.1 och 14.3.1.

Behandling vid mottagande och erbjudande av plats

Inom kommunernas organisation för bl.a. mottagande och erbjudande av plats i de olika skolformerna behandlas bl.a. elevens namn, personnum- mer, adress, vårdnadshavare och kontaktuppgifter till dessa. Sådan be- handling förekommer även när andra huvudmän prövar frågor om mot- tagande, såsom Specialpedagogiska skolmyndigheten som prövar frågor

om mottagande i specialskolan, och Sameskolstyrelsen som prövar frågor

54

Prop. 2017/18:218 Även i skolbiblioteken behandlas elevernas personuppgifter för att personalen ska kunna ha kontroll över vilka böcker som är utlånade till vem.

Skolorna behandlar även elevernas personuppgifter vid resultatupp- följningar som görs för huvudmannens systematiska kvalitetsarbete och för nationell uppföljning och utvärdering (4 kap. 3 § och 26 kap. 25 § skollagen, förordningen [1992:1083] om viss uppgiftsskyldighet för huvudmännen inom skolväsendet m.m. och Skolverkets föreskrifter [SKOLFS 2011:142] om uppgiftsinsamling från huvudmännen inom skolväsendet m.m., ändrad genom [SKOLFS 2017:18]).

Särskilt om behandling i förskolan, fritidshemmet och pedagogisk omsorg

I förskolorna, fritidshemmen och pedagogisk omsorg behandlas barnens och elevernas personuppgifter i form av i vart fall namn för att kunna planera och genomföra respektive uppdrag att stimulera barnens och elevernas utveckling och lärande. Personalen i respektive verksamhet behöver även kunna notera när ett barn eller en elev kommit respektive gått för dagen. Personuppgiftsbehandling förekommer också i form av att barnen fotograferas av personalen i syfte att dokumentera verksamheten och barnens lärande och inför samtal med vårdnadshavare. Även inom dessa verksamheter kan det finnas behov av att kunna behandla känsliga personuppgifter, t.ex. uppgifter om allergier.

Särskilt om fristående förskolors och skolors behandling

Huvudmän för fristående förskolor och skolor har behov av att behandla samma uppgifter som offentliga huvudmän. Därutöver behandlar en- skilda huvudmän även barnens och elevernas personuppgifter i samband med att de informerar kommunen om att de tagit emot ett barn eller en elev för att huvudmannen ska få bidrag från hemkommunen. I de fall en elev har ett omfattande behov av särskilt stöd eller ska erbjudas moders- målsundervisning ska hemkommunen betala ett tilläggsbelopp. I ansökan om tilläggsbelopp förekommer känsliga personuppgifter om eleven, t.ex. uppgift om funktionsnedsättning och behov av tekniska hjälpmedel (9 kap. 19 och 21 §§ och 10 kap. 37 och 39 §§ skollagen). Sådana uppgifter kan även förekomma om en ansökan om tilläggsbelopp över- klagas med stöd av 28 kap. 5 § skollagen.

Särskilt om behandling av känsliga personuppgifter

Känsliga personuppgifter kan förekomma vid vissa personuppgifts- behandlingar, t.ex. i uppgiftssamlingar om allergier inom elevhälsan och i samband med skolmåltider, uppgifter om funktionsnedsättning och olika diagnoser inom elevhälsan, elevhälsoteam och åtgärdsprogram. I elevernas individuella utvecklingsplaner kan integritetskänsliga omdö- men och bedömningar av elevernas möjligheter att nå kunskapskraven förekomma.

När en skola utreder och beslutar om särskilt stöd respektive åtgärds- program behandlas också personuppgifter som kan vara känsliga (3 kap. skollagen). Sådan behandling av personuppgifter kan även förekomma

56

inom elevhälsans psykosociala och specialpedagogiska verksamhet som Prop. 2017/18:218 inte omfattas av patientdatalagen.

Känsliga personuppgifter om hälsa kan även behöva behandlas i samband med att skolbibliotek förfogar över upphovsrättsligt skyddade verk som elever med funktionsnedsättning behöver för att kunna ta del av verken, t.ex. genom att överföra dem till den funktionsnedsatte enligt lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.

Om disciplinära åtgärder vidtas ska dessa dokumenteras skriftligt varvid personuppgiftsbehandling sker (3 kap. 5 a, 8 och 9 §§ och 5 kap. 24 § skollagen).

Som har nämnts ovan behandlas vidare känsliga personuppgifter om hälsa vid prövning av mottagande i grundsärskolan, specialskolan, gymnasiesärskolan, och särskild utbildning för vuxna enligt 7, 18 och 21 kap. skollagen. Även en uppgift om att en elev går i en sådan skola är en känslig uppgift. Motsvarande gäller känsliga personuppgifter om etnicitet vid mottagande och fullgörande av skolplikt i sameskolan.

Behovet av behandling av känsliga personuppgifter på det skollags- reglerade området redogörs för närmare i avsnitt 13.3.

9.1.2Den rättsliga grunden uppgift av allmänt intresse kan användas inom skollagsreglerad verksamhet

Regeringens bedömning: Genom bestämmelser i skollagen med anslutande föreskrifter och beslut fattade med stöd av dessa är till- handahållande, anordnande och bedrivande av utbildning och annan pedagogisk verksamhet en i svensk rätt fastställd uppgift av allmänt intresse. Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i EU:s dataskyddsförordning.

Prop. 2017/18:218 vilken behandling som är nödvändig utifrån skolornas verksamhet och en redovisning som visar att skollagen och därtill hörande bestämmelser ger stöd för den behandlingen och att dessa är tydliga, precisa och dess tillämpning förutsägbar för personer som omfattas av den. Inspektionen anser vidare att det inte möjligt att presumera att de åtgärder som myndigheterna vidtar i syfte att utföra sina uppdrag och åligganden och som antagits i enlighet med grundlagens bestämmelser om normgiv- ningskompetens och kommunalt självstyre i sig har en legal grund som offentliggjorts genom tydliga, precisa och förutsägbara regler. Enligt Datainspektionen har utredningen inte visat att det kommer att finnas rättsligt stöd för all behandling av personuppgifter som är av betydelse för skolverksamheterna. Vilhelmina kommun delar bedömningen att det saknas tillräcklig analys.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning

Som framgått av föregående avsnitt finns det behov av att behandla en rad personuppgifter på det skollagsreglerade området. Som anges i avsnitt 6 förutsätter personuppgiftsbehandlingen en i EU-rätten eller nationell rätt fastställd rättslig grund (artikel 6 i dataskyddsförordningen).

Tillhandahållande, anordnande och bedrivande av utbildning är en uppgift av allmänt intresse

Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i data- skyddsförordningen har beskrivits i avsnitt 6.2.

Som framgår av avsnitt 8 anser regeringen att det av såväl EU-rätten som regeringsformen framgår att anordnande och bedrivande av utbild- ning är en uppgift av allmänt intresse. Skolväsendet, som beskrivs i av- snitt 5.1, regleras i skollagen med anslutande föreskrifter. I förarbetena till den nuvarande skollagen anförs att utbildningen är av betydelse både för den enskilda individens utveckling och för samhällsutvecklingen (prop. 2009/10:165 s. 634). Regeringen har i två propositioner från i mars 2017 ansett att undervisning inom skolväsendet får anses vara en uppgift av allmänt intresse i den mening som avses i 10 § PUL (prop. 2016/17:156 s. 43 och prop. 2016/17:161 s. 21).

Skollagen innehåller förutom bestämmelser om skolväsendet och sär- skilda utbildningsformer även bestämmelser om bl.a. annan pedagogisk verksamhet i form av pedagogisk omsorg som erbjuds i stället för förskola eller fritidshem, öppen förskola, öppen fritidsverksamhet och omsorg under tid då förskola eller fritidshem inte erbjuds (25 kap.). Även om annan pedagogisk verksamhet i strikt mening inte skulle inrymmas i begreppet utbildning så erbjuds sådan verksamhet huvudsakligen i stället för eller som komplement till förskola eller fritidshem. Enligt rege- ringens bedömning bör därför även annan pedagogisk verksamhet vara en uppgift av allmänt intresse i dataskyddsförordningens mening. Det- samma gäller för öppen fritidsverksamhet som erbjuds av en huvudman.

58

Prop. 2017/18:218 utbildningen som kan finnas i andra författningar. Detta gäller såväl

stigande ålder och mognad. En lärare kan dock bestämma t.ex. vilka Prop. 2017/18:218 läromedel eleverna ska använda, vilka uppgifter som de ska lösa och

vilka hjälpmedel som eventuellt ska användas, t.ex. dator eller mini- räknare. Detta innebär emellertid inte att själva undervisningen inte är fastställd i svensk rätt. Den undervisning som bedrivs av lärarna i skolorna har sitt stöd i skollagen med anslutande föreskrifter eftersom dessa sätter ramarna för undervisningen. Även själva undervisningen är enligt regeringens bedömning fastställd genom skollagen och anslutande föreskrifter och därigenom tydlig, precis och förutsägbar (jfr skäl 41 till dataskyddsförordningen).

Som exempel på personuppgiftsbehandling som kan anses nödvändig på grund av huvudmännens uppgifter enligt skollagen kan t.ex. nämnas elevregister för administration av elevernas närvaro (7 kap. 17 § skol- lagen), dokumentation av elevernas kunskaper inför ett utvecklings- samtal, uppgifter i en skriftlig individuell utvecklingsplan (t.ex. 10 kap. 12 och 13 §§ skollagen) och betygssättning (3 kap. 13 § skollagen). Det finns vidare tydliga dokumentationskrav i skollagen. Som exempel kan

nämnas att överenskommelser vid utvecklingssamtal i de obligatoriska

skolformerna ska dokumenteras i elevens skriftliga individuella utveck- lingsplan (10 kap. 13 §, 11 kap. 16 §, 12 kap. 13 § och 13 kap. 13 § skollagen). Om en elev är i behov av särskilt stöd ska det upprättas ett åtgärdsprogram. Av programmet ska framgå hur behovet av särskilt stöd ska tillgodoses, när åtgärderna ska följas upp och utvärderas och vem som är ansvarig för uppföljningen respektive utvärderingen. (3 kap. 9 § skollagen). De disciplinära åtgärder och andra särskilda åtgärder som vidtas för att tillförsäkra trygghet och studiero i skolan ska dokumenteras skriftligen (5 kap. 24 § skollagen). Även planen mot kränkande behand- ling (6 kap. 8 § skollagen) och det systematiska kvalitetsarbetet (4 kap. 6 § skollagen) ska dokumenteras.

Även de övriga skyldigheter som enligt skollagen åligger hemkommu- nen är enligt regeringens bedömning sådana uppgifter av allmänt intresse som är fastställda genom bestämmelserna i skollagen som reglerar just den aktuella uppgiften. Det gäller t.ex. att ansvara för att utbildning i grundskolan kommer till stånd (10 kap. 24 skollagen) och att lämna bidrag till enskilda huvudmän för fristående förskolor och fristående skolor (8 kap. 21 § och 10 kap. 37 § skollagen).

Mot denna bakgrund har enligt regeringens bedömning de åtgärder som huvudmännen och hemkommunerna vidtar i syfte att utföra upp- dragen eller uppfylla åligganden enligt skollagen och anslutande före- skrifter en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler som står i proportion till de mål som eftersträvas. Uppgiften av allmänt intresse, dvs. att tillhandahålla, anordna och bedriva utbildning, är således fastställd genom skollagen med anslutande föreskrifter.

I det följande utvecklas också närmare hur den rättsliga grunden för nödvändig personuppgiftsbehandling är fastställd i fråga om utbildning i särskilda utbildningsformer och annan pedagogisk verksamhet.

61

tionen finns som ska anordna denna. Undervisningen ska så långt möjligt Prop. 2017/18:218 motsvara den undervisning som eleven inte kan delta i. Regeringen

bedömer att kommunen kan grunda den behandling av personuppgifter som är nödvändig för att utföra uppgiften särskild undervisning på den rättsliga grunden uppgift av allmänt intresse. Uppgiften av allmänt in- tresse är fastställd genom bestämmelserna i 24 kap. 17–19 §§ skollagen tillsammans med bestämmelserna om den aktuella skolformen, t.ex. grundskola.

… och särskild undervisning i hemmet eller annan lämplig plats

En kommun kan enligt regeringens bedömning även på motsvarande vis grunda nödvändig personuppgiftsbehandling för att utföra särskild undervisning i hemmet eller annan lämplig plats på den rättsliga grunden uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom bestämmelserna i 24 kap. 20–22 §§ skollagen tillsammans med bestämmelserna om den aktuella skolformen, t.ex. grundskola.

Rättslig grund för utbildning för intagna på kriminalvårdsanstalt regleras i brottsdatalagen

Kriminalvården ansvarar för utbildning som motsvarar kommunal vuxenutbildning och särskild utbildning för vuxna för intagna på kriminalvårdsanstalt (24 kap. 10 § skollagen). Kriminalvården får enligt 3 kap. 1 och 2 §§ fängelselagen (2010:610) bestämma att en intagen ska ha studier som sysselsättning. Någon åldersgräns gäller inte för sådan verksamhet. När studier är anvisad sysselsättning ingår de som ett led i verkställigheten av utdömda fängelsestraff. Enligt Utredningen om 2016 års dataskyddsdirektiv bör därför den föreslagna brottsdatalagen till- ämpas på behandlingen av personuppgifterna med anledning av studierna (SOU 2017:29, s 217). I lagrådsremissen Brottsdatalag delar regeringen de bedömningar som utredningen gjort när det gäller tillvägagångssätt i gränsdragningsfrågor. I den lagrådsremissen anges också att ytterligare vägledning kring enskilda verksamheter inom myndigheterna kan fås genom de bedömningar som utredningen redovisar i delbetänkandet (s. 111–112). Bestämmelser om rättslig grund för behandling av person- uppgifter som behövs för att en behörig myndighet ska kunna verkställa en straffrättslig påföljd föreslås i 2 kap. 1 § brottsdatalagen.

Det finns fastställda uppgifter av allmänt intresse för annan pedagogisk verksamhet…

I 25 kap. skollagen finns bestämmelser om s.k. annan pedagogisk verk- samhet som bedrivs i stället för utbildning inom skolväsendet. Bestäm- melserna gäller pedagogisk omsorg som erbjuds i stället för förskola eller fritidshem, öppen förskola, öppen fritidsverksamhet och omsorg under tid då förskola eller fritidshem inte erbjuds. Nedan redogörs för rege- ringens bedömning av hur den rättsliga grunden för personuppgifts- behandling är fastställd i fråga om dessa verksamheter.

65

Prop. 2017/18:218 det mål som eftersträvas. Behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på skollagen och anslutande föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.

När det gäller frågan om vilken behandling som är nödvändig, t.ex. vid användningen av sådana digitala läromedel som uppmärksammats av

Stockholms kommun och Luleå kommun, kan konstateras att den personuppgiftsansvarige ansvarar för att bedöma om syftet med behand- lingen är nödvändigt för att utföra en uppgift av allmänt intresse (artikel 5.2 och 6.3 i dataskyddsförordningen), se vidare avsnitt 6.2.

sättning finns i bl.a. 3 kap. 13 § skollagen, de olika skolformskapitlen i Prop. 2017/18:218 skollagen och i förordningarna för de olika skolformerna såsom t.ex. gymnasieförordningen (2010:2039).

Enligt regeringens bedömning är grunden för behandlingen redan i dag fastställd i skollagen och anslutande föreskrifter. Det behövs därför inte någon ytterligare reglering för att skolorna ska kunna utföra nödvändig behandling av personuppgifter som ingår i myndighetsutövningen med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i data- skyddsförordningen.

När det gäller frågan om vilken behandling som är nödvändig kan konstateras att det ankommer på den personuppgiftsansvarige att bedöma om syftet med behandlingen är nödvändigt för att utföra en uppgift av allmänt intresse (artikel 5.2 och 6.3 i dataskyddsförordningen), se vidare avsnitt 6.2.

Regeringen anser vidare att även artikel 6.1 e i dataskyddsförord- ningen, dvs. uppgift av allmänt intresse, är tillämplig som rättslig grund för ovan nämnda moment, eftersom dessa ingår i uppgiften att anordna utbildning.

Prop. 2017/18:218 i motsvarande bestämmelse i PUL (Datainspektionens rapport 2005:3 Övervakning i arbetslivet. Kontroll av de anställdas Internet och e- postanvändning m.m., s. 15.)

En skillnad mellan PUL och dataskyddsförordningen är dock att data- skyddsförordningen kräver att den rättsliga förpliktelsen ska vara fast- ställd i svensk rätt och att syftet med behandlingen ska vara fastställt i den rättsliga grunden.

Skollagen innehåller många rättsliga förpliktelser för de huvudmän som bedriver skolverksamhet enligt lagen. Exempel på sådana är att eleven och elevens vårdnadshavare fortlöpande ska informeras om ele- vens utveckling (3 kap. 4 §), ett åtgärdsprogram ska utarbetas för en elev som ska ges särskilt stöd (3 kap. 9 §), att elevens kunskaper ska betygsättas i vissa skolformer (3 kap. 13 §), att grundskolan och gymnasieskolan och motsvarande skolformer ska erbjuda modersmåls- undervisning under vissa förutsättningar (10 kap. 7 §, 11 kap. 10 §, 12 kap. 7 §, 13 kap. 7 §, 15 kap. 19 § och 18 kap. 19 §), och att rektorn ska se till att vårdnadshavaren till en elev i vissa skolformer, t.ex. grundskolan, samma dag informeras om eleven utan giltigt skäl uteblir från den obligatoriska verksamheten (7 kap. 17 §). Det behövs därför inte någon ytterligare reglering för att skolorna ska kunna tillämpa den rättsliga grunden i artikel 6.1 c för sin nödvändiga personuppgiftsbehand- ling.

Regeringen bedömer att även artikel 6.1 e i dataskyddsförordningen, dvs. uppgift av allmänt intresse, är tillämplig som rättslig grund för ovan nämnda moment, eftersom dessa ingår i uppgiften att anordna utbildning.

9.1.5Intresseavvägning kan användas men blir sällan aktuell

Regeringens bedömning: Enskilda huvudmän inom området som regleras av skollagen kan behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskydds- förordningen. Den förutsätter att

–behandlingen är nödvändig för ändamål som rör den person- uppgiftsansvariges eller en tredje parts berättigade intressen, och

–att inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Eftersom även den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 f i dataskyddsförordningen är tillämplig, behöver dock intresseavvägning sällan eller aldrig användas.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts Prop. 2017/18:218 tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning

överensstämmer med regeringens bedömning i detta avsnitt. De till- styrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Den rättsliga grunden intresse- avvägning i artikel 6.1 f i dataskyddsförordningen har beskrivits i avsnitt 6.5. Grunden gäller inte för behandling av personuppgifter som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom skolor med staten, en kommun eller ett landsting som huvudman är myndigheter som fullgör sina uppgifter när de tillhandahåller utbildning enligt skol- lagen, är det endast skolor med enskild huvudman som kan tillämpa grunden intresseavvägning till stöd för sin personuppgiftsbehandling.

Som framgått ovan i avsnitt 8, är bedömer regeringen att artikel 6.1 e i dataskyddsförordningen, dvs. uppgift av allmänt intresse, är tillämplig som rättslig grund för anordnande av utbildning enligt skollagen och anslutande föreskrifter, oavsett om huvudmannen är offentlig eller enskild. Enligt regeringens uppfattning bör enskilda skolhuvudmän i skollagsreglerad verksamhet därför sällan eller aldrig behöva använda den rättsliga grunden intresseavvägning i artikel 6.1 f. Den enskilda huvudman som avser att tillämpa den rättsliga grunden intresseavvägning har dock vid intresseavvägningen särskilt att beakta barns rätt till inte- gritetsskydd (artikel 6.1 f i dataskyddsförordningen).

Prop. 2017/18:218 verksamheten, såsom svårigheter att bedöma om en viss personuppgifts- behandling, som är nödvändig för elevers deltagande i en viss aktivitet på skolan, även är nödvändig enligt artikel 6.1 c eller e i dataskyddsförord- ningen. Likaså innebär det svårigheter för den personuppgiftsansvariga att i ett sådant skede bedöma om ett samtycke kan användas på ett lag- enligt sätt. Införandet av en uppförandekod är därför enligt förvaltnings- rätten av stor betydelse för efterlevnaden av regleringen. Uppsala universitet framför också att det är oklart i vilken utsträckning barn, utan vårdnadshavares inblandning, kan samtycka till personuppgiftsbehand- ling och anser att det bör utredas ytterligare. Möjligen bör det även övervägas om inte regleringen av de rättsliga grunderna, däribland sam- tycke inom utbildningsverksamhet, och eventuellt principerna för tillåten personuppgiftsbehandling bör tas in i det nya kapitel som föreslås i skol- lagen.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyr- ker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen har beskrivits i avsnitt 6.1. När det gäller uppgifter om barn och specialfallet skolor har artikel 29-gruppen uttalat sig i ett yttrande. I yttrandet anges beträffande behandling av barns personuppgifter i skolan bl.a. att samtycke till behandling av alla uppgifter som kan ge upphov till diskriminering måste vara otvetydigt och att överföring till tredje part i marknadsföringssyfte är beroende av om vårdnadshavarna på förhand har underrättats och gett sitt samtycke. (Yttrande 2/2009 om skydd för uppgifter om barn [Allmänna riktlinjer och specialfallet skolor] s. 12 f.) Artikel 29-gruppen synes således anse att samtycke kan användas som rättslig grund för personuppgiftsbehand- ling inom skolor, i vart fall i vissa fall.

Enligt regeringens bedömning är det möjligt att för viss personupp- giftsbehandling använda sig av samtycke även i förhållandet mellan ett barns vårdnadshavare och en förskola samt mellan en elevs vårdnads- havare, eller eleven själv beroende på ålder, och en skola. Ett exempel på när samtycke skulle kunna vara lämplig grund för behandling av personuppgifter är inför fotografering av eleverna i syfte att skapa elek- troniska skolkataloger eller för att dokumentera verksamheten i förskola och skola, inte minst i syfte att kunna redogöra för den för barnens vård- nadshavare. I sammanhanget kan även nämnas att artikel 29-gruppen anser att samtycke från vårdnadshavarna ska inhämtas om en skola har för avsikt att t.ex. lägga ut individuella foton av eleverna med uppgift om deras identitet på internet (Yttrande 2/2009 om skydd för uppgifter om barn [Allmänna riktlinjer och specialfallet skolor] s. 18). Genom att sam- tycke hämtas in har berörda parter möjlighet att säga nej till att eleverna tas med på fotona.

Såsom Friskolornas riksförbund, Sveriges Kommuner och Landsting och Stockholms kommun framfört skulle det kunna även uppstå andra lik- artade situationer där samtycke skulle kunna användas som rättslig grund. Denna möjlighet är dock något som får bedömas från fall till fall av huvudmannen.

72

När det gäller gränsdragningen mellan olika rättsliga grunder, som Prop. 2017/18:218 Förvaltningsrätten i Linköping uppmärksammar, menar regeringen att

det varken finns anledning eller är möjligt att hämta in samtycke om be- handlingen av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse eller för myndighetsutövning eller om behandlingen är en rättslig förpliktelse, eftersom samtycke enligt skäl 43 inte bör utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Det gäller särskilt om den personuppgifts- ansvarige är en offentlig myndighet och det därför är osannolikt att sam- tycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Detta får anses gälla även fristående skolor när behandlingen är nödvändig för att utföra en uppgift av allmänt in- tresse eller myndighetsutövning eller behandlingen är en rättslig förplik- telse, se vidare avsnitt 6.1.

Att personuppgifter som rör barn anses särskilt skyddsvärda framgår av flera av dataskyddsförordningens bestämmelser och betonas i skälen. En närmare redogörelse för detta finns i dataskyddsutredningens betänkande SOU 2017:39 s. 140 f. Som nämnts i avsnitt 4.6 föreslås vidare i proposi- tionen Ny dataskyddslag (prop. 2017/18:105) att det ska införas en bestämmelse i 2 kap. 4 § dataskyddslagen som innebär att vid erbjudande av informationssamhällets tjänster direkt till ett barn som bor i Sverige ska behandling av personuppgifter vara tillåten med stöd av barnets samtycke om barnet är minst 13 år. Som regeringen återkommer till i avsnitt 11 avser också regeringen att ge en lämplig myndighet i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en upp- förandekod för skolväsendet. Regeringen bedömer att några ytterligare åtgärder som rör barns samtycke specifikt i utbildningssammanhang inte är påkallade för närvarande.

När det gäller Uppsala universitets synpunkt att det möjligen bör över- vägas om regleringen av de rättsliga grunderna, däribland samtycke inom utbildningsverksamhet, bör tas in i skollagen kan det konstateras att frågan i vilken utsträckning de rättsliga grunderna i dataskyddsförord- ningen bör återges i svensk rätt redan har behandlats i avsnitt 8 i pro- positionen Ny dataskyddslag (prop. 2017/18:105). Det saknas därför anledning att här ytterligare överväga frågan.

9.2Universitets- och högskolesektorn

9.2.1Vilka personuppgifter behandlas inom högskolesektorn?

Nedan ges en översiktlig beskrivning av de huvudsakliga behandlingar av personuppgifter som sker inom högskolesektorn. En beskrivning av behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål m.m. på området lämnas i avsnitt 13.4.1 och 14.4.1.

73

Prop. 2017/18:218 även behöva behandlas i samband med att biblioteket förfogar över upphovsrättsligt skyddade verk som personer med funktionsnedsättning behöver för att kunna ta del av verken, t.ex. genom att överföra dem till den funktionsnedsatte enligt lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.

Behandling som avser alumner

Hos lärosätena finns databaser där tidigare studenter, s.k. alumner, kan registrera sig. Genom registreringen kan alumner t.ex. komma i kontakt med andra alumner eller högskolan. Genom alumnverksamheten kan även kontakterna med näringslivet öka och förbättras. Vid registreringen förs personuppgifter i form av namn, personnummer och utbildning över från Ladok. Därutöver kan alumnen lägga till uppgifter om sitt nuvarande arbete m.m. Alumnen kan själv välja i vilken omfattning vissa uppgifter ska synas. Att registrera sig i en alumndatabas vid ett lärosäte är helt frivilligt och vid registreringen godkänner alumnen att dennes person- uppgifter behandlas.

Studentkårernas behandling

Vissa bestämmelser som rör studentkårer finns i högskolelagen (1992:1434). Ett statligt universitet eller en statlig högskola ska besluta att en sammanslutning av studenter vid högskolan får ställning som studentkår för en viss tid, om sammanslutningen uppfyller vissa i lagen angivna krav. En studentkår ska ha som huvudsakligt syfte att bevaka och medverka i utvecklingen av utbildningen och förutsättningarna för studier vid högskolan. Verksamhetsområdet för en studentkår får inte täcka mer än en högskola och ska sammanfalla med minst en organisatorisk eller geografiskt avgränsad del av högskolan. En student- kår ska vara demokratiskt uppbyggd och kunna representera studenterna inom kårens verksamhetsområde. Alla studenter inom en studentkårs verksamhetsområde ska ha rätt att vara medlemmar i kåren, om de uppfyller de krav som ställs för medlemskap i kåren. Den student som är medlem i studentkåren ska ha rösträtt vid val till studentkårens högsta beslutande organ (4 kap. 8–12 §§ högskolelagen).

En studentkår vid ett statligt universitet eller en statlig högskola får utse sådana ledamöter i högskolans styrelse som studenterna enligt 2 kap. 4 § högskolelagen (1992:1434) har rätt att utse. En studentkår vid en högskola får också utse och entlediga sådana representanter som har rätt att vara representerade när beslut fattas eller beredning sker som har betydelse för utbildningen eller studenternas situation vid högskolan. Statliga universitet och högskolor får meddela föreskrifter om hur en studentkår vid högskolan ska redovisa sin verksamhet och sitt medlems- antal (6 och 7 §§ studentkårsförordning [2009:769]).

Av ovannämnda följer att studentkårerna har visst behov av att hantera uppgifter om studenter som är medlemmar i kåren, t.ex. i form av ett medlemsregister. Såvitt regeringen kan bedöma har studentkårerna inte något omedelbart behov av att behandla känsliga personuppgifter.

76

Regeringens bedömning: Genom bestämmelser i högskolelagen med anslutande föreskrifter, lagen om tillstånd att utfärda vissa examina och beslut fattade med stöd av dessa är anordnande och bedrivande av utbildning och annan pedagogisk verksamhet en i svensk rätt fastställd uppgift av allmänt intresse. Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda före- skrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.

Utredningens bedömning: Överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Karlstads universitet, Göteborgs universitet, Högskolan i Skövde, Stiftelsen Hög- skolan i Jönköping och Överklagandenämnden för högskolan, har inte några synpunkter på eller har inget att erinra mot bedömningen. Luleå tekniska universitet delar utredningens bedömning.

Stiftelsen Högskolan i Jönköping efterfrågar dock ett förtydligande av om även enskilda utbildningsanordnare kan utföra personuppgifts- behandling motsvarande den som statliga lärosäten är rättsligt förpliktade att göra enligt förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor, men med tillämpning av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförord- ningen.

Datainspektionen saknar en analys som visar vilken behandling som är nödvändig utifrån universitet och högskolors verksamhet, särskilt i själva utbildningsverksamheteten. Datainspektionen noterar att den digitala tekniken är en självklar del av utbildningen, men att det inte fördjupas vad detta kan innehålla. Enligt Datainspektionen har utredningen inte visat att det finns en i nationell rätt fastställd grund som uppfyller kraven i dataskyddsförordningen. Karlstads universitet anser att det hade varit värdefullt med en grundlig genomgång av studenters behandling av personuppgifter.

Skälen för regeringens bedömning

Som framgår av avsnitt 9.2.1 finns det behov av att behandla en rad personuppgifter på högskoleområdet. Regeringen anser, till skillnad mot Datainspektionen, att den redogörelse som lämnats av utredningen och som motsvaras av avsnitt 9.2.1 utgör en i detta sammanhang tillräcklig analys av universitets och högskolors behov av att behandla person- uppgifter.

Som anges i avsnitt 6 förutsätter personuppgiftsbehandlingen en i EU- rätten eller nationell rätt fastställd rättslig grund (artikel 6 i dataskydds- förordningen). Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.2.

77

Prop. 2017/18:218 gifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen bl.a. om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer beslut som meddelats med stöd av lag eller annan författning. Uppgifter och åligganden kan således även framgå av t.ex. regleringsbrev till de statliga högskolorna. Som nämnts ovan ska det för en kurs och ett utbildningsprogram vidare finnas en kursplan respektive en utbildningsplan. Beslut om fastställande av sådana planer ska fattas av personer med vetenskaplig eller konstnärlig kompetens (2 kap. 5 § högskolelagen och prop. 2009/10:149 s. 35 f.).

I avsnitt 6.2 finns det en redogörelse för regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105) i fråga om kraven på den rättsliga grundens tydlighet, precision och förutsägbarhet i skäl 41 och proportionalitetsbedömningen i artikel 6.3 i dataskyddsförordningen. Med stöd av analysen ovan konstaterar regeringen att det genom hög- skolelagen, högskoleförordningen och förordningarna för Sveriges lant- bruksuniversitet och Försvarshögskolan, men även genom andra författningar och beslut, finns tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva högskoleutbildning innebär för statliga högskolor och som är proportionerliga mot de mål som eftersträvas.

Till skillnad mot Datainspektionen bedömer därför regeringen att det för statliga högskolor finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva högskoleutbildning, och att nödvändig personuppgiftsbehandling därmed kan ske med stöd av artikel 6.1 e i dataskyddsförordningen.

Även enskilda utbildningsanordnares anordnande och bedrivande av högskoleutbildning är en uppgift av allmänt intresse som är fastställd i svensk rätt

Som framgår av avsnitt 8 anser regeringen att det såväl av EU-rätten som svensk rätt framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intresse. I förarbetena till högskolelagen uttalar rege- ringen också att statligt huvudmannaskap i myndighetsform bara är en av många möjliga verksamhetsformer för universitet och högskolor. Det behövs också alternativ till den statliga verksamheten om mångfald och konstruktiv konkurrens ska befordras (prop. 1992/93:1 s. 24).

Även enskilda utbildningsanordnare kan få tillstånd att utfärda sådana examina som regeringen, enligt vad som anges i högskolelagen, meddelat föreskrifter om. Tillstånd lämnas av regeringen, men endast om utbild- ningen vilar på vetenskaplig eller konstnärlig grund och på beprövad er- farenhet samt bedrivs så att den i övrigt uppfyller de krav som ställs på utbildning i 1 kap. högskolelagen. Detta innebär bl.a. att en förutsättning för tillstånd att utfärda examina är att det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas. För varje examen som tillståndet avser ska utbildningen också svara mot de särskilda krav som enligt förordningsbestämmelser gäller för denna examen vid de universitet och högskolor som omfattas av högskolelagen (1, 2 och 6 §§ lagen [1993:792] om tillstånd att utfärda vissa examina). Regeringen bedömer således att även högskoleutbildning som anordnas och bedrivs

av enskilda utbildningsanordnare med tillstånd att utfärda examen enligt

80

Prop. 2017/18:218 ändamålet således inte framgå av den författning eller det beslut där själva uppgiften har fastställts. Av artikel 5.2 i dataskyddsförordningen följer också att det är den personuppgiftsansvarige som ska kunna visa att uppgifter behandlas för nödvändiga ändamål.

9.2.3Den rättsliga grunden myndighetsutövning kan användas i vissa fall av högskolorna

Regeringens bedömning: Statliga högskolor kan vidta vissa åtgärder med stöd av högskolelagen som innefattar myndighetsutövning gentemot en student, t.ex. vid beslut om antagning, tillgodoräknande av utbildning eller yrkesverksamhet, examination och disciplinära åtgärder. Den be- handling av personuppgifter som är nödvändig för myndighetsutöv- ningen kan i dessa fall göras med stöd av den rättsliga grunden myn- dighetsutövning i artikel 6.1 e i EU:s dataskyddsförordning.

Även enskilda utbildningsanordnare kan vidta åtgärder som innefattar myndighetsutövning, nämligen utfärdande vissa examina enligt lagen om tillstånd att utfärda sådan. Den behandling av personuppgifter som ingår i myndighetsutövningen kan i dessa fall göras med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen

Utredningens bedömning: Överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Remissinstanserna har inte några synpunkter på eller har inget att erinra mot bedömningen.

Skälen för regeringens bedömning

Den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsför- ordningen har beskrivits i avsnitt 6.3.

Statliga högskolor kan i vissa fall använda den rättsliga grunden myndighetsutövning

Statliga högskolor ska sätta betyg på en student som genomgått en kurs, om inte högskolan föreskriver något annat. Betyget ska beslutas av en av högskolan särskilt utsedd lärare, en så kallad examinator (6 kap. 18 § högskoleförordningen). En student som har fått en kurs godkänd ska på begäran få kursbevis av högskolan. En student som uppfyller fordring- arna för en examen ska på begäran få examensbevis av högskolan (6 kap. 9 och 20 §§ högskoleförordningen). En högskolas beslut att avslå en students begäran att få examensbevis eller kursbevis är överklagbart (12 kap. 2 § 6 högskoleförordningen). Betygsättning och examination är således exempel på statliga högskolors myndighetsutövning som fast- ställts i svensk rätt.

Även beslut om antagning, tillgodoräknande av utbildning eller yrkes- verksamhet och disciplinpåföljd enligt 6, 7 och 10 kap. högskoleförord- ningen är för statliga högskolors del myndighetsutövning. Beslut om att en sökande inte uppfyller kraven på behörighet för att bli antagen, om tillgodoräknande av utbildning eller yrkesverksamhet och om disciplin- påföljderna avstängning och varning får också överklagas (12 kap. 2 § 2

82

och 3 samt 3 § högskoleförordningen). Även på dessa områden sker Prop. 2017/18:218 alltså myndighetsutövning som är fastställd i svensk rätt.

Statliga högskolor kan därmed i dessa fall använda sig av den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen för nödvändig personuppgiftsbehandling.

Enskilda utbildningsanordnares möjlighet att använda rättsliga grunden myndighetsutövning är mycket begränsad

Förvaltningsuppgifter kan överlämnas åt juridiska personer och enskilda individer. Om uppgiften innefattar myndighetsutövning får ett överläm- nande dock endast göras med stöd av lag (12 kap. 4 § andra stycket rege- ringsformen).

När det gäller överlämnande av förvaltningsuppgifter som utgör myn- dighetsutövning till enskilda utbildningsanordnare, framgår det av 1 och 6 §§ lagen (1993:792) om tillstånd att utfärda vissa examina att en en- skild utbildningsanordnare endast efter tillstånd av regeringen får utfärda sådana examina som regeringen med stöd av högskolelagen meddelat föreskrifter om. Detta omfattar även så kallade gemensamma examina enligt 2 a och 2 b §§ i samma lag. En enskild utbildningsanordnare som har fått tillstånd att utfärda examina får, under vissa förutsättningar, ut- färda en sådan gemensam examen i vilken en examen som tillståndet avser ingår, tillsammans med vissa andra kategorier av lärosäten (2 a och 2 b §§ lagen om tillstånd att utfärda vissa examina). I högskolelagen anges också att en gemensam examen får utfärdas av en högskola som anges i bilagan till högskolelagen tillsammans med bl.a. en enskild ut- bildningsanordnare. En högskola som får utfärda en sådan examen får också besluta att i viss utsträckning överlåta förvaltningsuppgifter i fråga om antagning till och tillgodoräknande av utbildning till bl.a. en enskild utbildningsanordnare (1 kap. 17 och 18 §§ högskolelagen).