Korre

EU:s dataskyddsförordning och utbildningsområdet

Betänkande av Utbildningsdatautredningen

Stockholm 2017

SOU 2017:49

SOU och Ds kan köpas från Wolters Kluwers kundservice. Beställningsadress: Wolters Kluwers kundservice, 106 47 Stockholm Ordertelefon: 08-598 191 90

E-post: kundservice@wolterskluwer.se

Webbplats: wolterskluwer.se/offentligapublikationer

För remissutsändningar av SOU och Ds svarar Wolters Kluwer Sverige AB på uppdrag av Regeringskansliets förvaltningsavdelning.

Svara på remiss – hur och varför

Statsrådsberedningen, SB PM 2003:2 (reviderad 2009-05-02).

En kort handledning för dem som ska svara på remiss.

Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser

Layout: Kommittéservice, Regeringskansliet

Omslag: Elanders Sverige AB

Tryck: Elanders Sverige AB, Stockholm 2017

ISBN 978-91-38-24622-1

ISSN 0375-250X

Till statsrådet och chefen

för Utbildningsdepartementet

Regeringen beslutade den 30 juni 2016 att tillkalla en särskild utre- dare med uppdrag att föreslå kompletterande regleringar för behand- ling av personuppgifter inom utbildningsområdet, med undantag för forskningsverksamhet (dir. 2016:63).

Till särskild utredare förordnades samma dag chefsjuristen vid Pensionsmyndigheten Mikael Westberg.

Som sakkunnig i utredningen förordnades den 26 september 2016 kanslirådet vid Utbildningsdepartementet Tyri Öhman.

Som experter att biträda utredningen förordnades den 26 septem- ber 2016 ämnesrådet vid Utbildningsdepartementet Anna Barklund, juristen vid Myndigheten för yrkeshögskolan Anna Berg, enhets- chefen vid Luleå tekniska universitet Jenny Blom, departements- sekreteraren vid Utbildningsdepartementet Andreas Bokerud, för- bundsjuristen vid Friskolornas riksförbund Mariette Dennholt, chefsjuristen vid Specialpedagogiska skolmyndigheten Ulrika Ehlin, departementssekreteraren vid Utbildningsdepartementet Hedvig Feltelius, juristen vid Statens skolverk Anna Grebäck, juristen vid Datainspektionen Ulrika Harnesk, chefsjuristen vid Universitets- och högskolerådet Drazenko Jozic, verksjuristen vid Centrala studie- stödsnämnden Johan Lindeberg, förbundsjuristen vid Sveriges Kom- muner och Landsting Kristina Söderberg och handläggaren vid Folk- bildningsrådet Tomas Östlund.

Andreas Bokerud entledigades från sitt uppdrag den 24 januari 2017 och departementssekreteraren vid Utbildningsdepartementet Per Anders Nilsson Strandberg utsågs samma dag i hans ställe.

Som sekreterare anställdes den 1 juli 2016 juristen vid Pensions- myndigheten Anne-Therése Byström, numera Zetterström, och den 24 augusti 2016 kammarrättsassessorn Tommy Fraenkel.

Utredningen, som har tagit sig namnet Utbildningsdatautred- ningen, överlämnar härmed betänkandet EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49).

Till betänkandet har fogats ett särskilt yttrande av experten Ulrika Harnesk.

Uppdraget är härmed slutfört.

Stockholm i juni 2017

Mikael Westberg

/ Anne-Therése Zetterström

Tommy Fraenkel

Innehåll

Förkortningar.....................................................................

13

Sammanfattning ................................................................

17

1

Författningsförslag.....................................................

33

1.1Förslag till lag om ändring i lagen (1993:792) om

tillstånd att utfärda vissa examina ..........................................

33

1.2Förslag till lag om ändring i lagen (2009:128) om

yrkeshögskolan .......................................................................

35

1.3Förslag till lag om ändring i studiestödsdatalagen

(2009:287)................................................................................

37

1.4 Förslag till lag om ändring i skollagen (2010:800)................

42

1.5Förslag till förordning om sökbegränsningar vid personuppgiftsbehandling i vissa utbildningsformer och

i hemkommunen .....................................................................

46

1.6Förslag till förordning om ändring i förordningen

(1993:1153) om redovisning av studier m.m. vid

 

universitet och högskolor.......................................................

47

1.7Förslag till förordning om ändring i förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för

ungdomar.................................................................................

50

1.8 Förslag till förordning om ändring i

 

studiestödsdataförordningen (2009:321) ..............................

52

5

Innehåll

SOU 2017:49

1.9Förslag till förordning om ändring i förordningen

(2011:268) om lärar- och förskollärarregister ......................

53

1.10 Förslag till förordning om ändring i förordningen

 

(2012:811) med instruktion för Universitets- och

 

högskolerådet..........................................................................

56

1.11Förslag till förordning om ändring i förordningen (2013:871) om stöd för konst- och kulturutbildningar

 

och vissa andra utbildningar...................................................

57

2

Utredningens uppdrag och arbete................................

61

2.1

Uppdraget ...............................................................................

61

2.2

Avgränsning ............................................................................

61

2.3

Utredningsarbetet ..................................................................

63

3

Bakgrund ..................................................................

65

3.1

Dataskydd i allmänhet............................................................

65

3.2

Dataskydd i svensk rätt ..........................................................

66

 

3.2.1

Regeringsformen .....................................................

66

 

3.2.2

Dataskyddsdirektivets genomförande ...................

66

3.3

EU:s dataskyddsförordning...................................................

67

3.4

Utgångspunkten är Dataskyddsutredningens förslag ..........

68

 

3.4.1

Dataskyddsutredningens förslag i korthet ............

68

4

Skollagsreglerad utbildningsverksamhet .......................

77

4.1

Allmänt

....................................................................................

77

 

4.1.1 .............................

Skolväsendet för barn och unga

79

4.1.2Särskilda utbildningsformer för barn och

ungdomar enligt 24 kap. skollagen.........................

86

4.1.3Annan pedagogisk verksamhet enligt 25 kap.

 

skollagen ..................................................................

89

4.1.4

Skolväsendet för vuxna ...........................................

90

4.1.5Särskilda utbildningsformer för vuxna enligt

 

24 kap. skollagen .....................................................

92

4.1.6

Entreprenad .............................................................

93

6

SOU 2017:49

Innehåll

4.2Utredningen om offentlighet och sekretess i skolans

syn på skolans personuppgiftsbehandling .............................

95

4.3Skydd för uppgifter om barn – yttrande av artikel 29-

 

gruppen

....................................................................................

98

4.4

It-användning ........................................inom skolväsendet

101

4.5

Personuppgiftsbehandling ....................inom skolväsendet

103

4.6

Rättslig .....................grund för personuppgiftsbehandling

107

 

4.6.1 .......................

Utredningens uppdrag i denna del

107

 

4.6.2 ...................................

Uppgift av allmänt intresse

111

 

4.6.3 .............................................

Myndighetsutövning

130

 

4.6.4 ...............................................

Rättslig förpliktelse

132

 

4.6.5 ..................................................

Intresseavvägning

134

 

4.6.6 ................................................................

Samtycke

135

 

4.6.7 .....................................................

Sammanfattning

138

4.7

Känsliga ......................................................personuppgifter

139

 

4.7.1 .......................

Utredningens uppdrag i denna del

139

4.7.2Behov av att behandla känsliga

 

 

personuppgifter .....................................................

139

 

4.7.3

Gällande bestämmelser ..........................................

143

 

4.7.4

Dataskyddsförordningen och dataskyddslagen ...

143

 

4.7.5

Behov av särskild reglering ....................................

145

4.8

Personuppgifter som rör lagöverträdelser...........................

170

 

4.8.1

Utredningens uppdrag i denna del .......................

170

 

4.8.2

Gällande bestämmelser ..........................................

170

 

4.8.3

Dataskyddsförordningen och dataskyddslagen ...

171

 

4.8.4

Behov av särskild reglering ....................................

172

4.9

Behov av ytterligare reglering...............................................

176

4.10

Uppförandekod för skolväsendet ........................................

187

5

Universitets- och högskolesektorn .............................

189

5.1

Allmänt

..................................................................................

189

5.2

Högskolornas ...........................personuppgiftsbehandling

191

5.3

Rättslig .....................grund för personuppgiftsbehandling

196

7

Innehåll

SOU 2017:49

5.3.1

Utredningens uppdrag i denna del .......................

196

5.3.2

Uppgift av allmänt intresse...................................

199

5.3.3

Myndighetsutövning.............................................

212

5.3.4

Rättslig förpliktelse...............................................

215

5.3.5

Intresseavvägning ..................................................

218

5.3.6

Samtycke................................................................

219

5.3.7

Sammanfattning ....................................................

221

5.4Känsliga personuppgifter och uppgifter som rör

lagöverträdelser.....................................................................

222

5.4.1

Utredningens uppdrag i denna del .......................

222

5.4.2Behov av att behandla känsliga personuppgifter och uppgifter som rör

 

fällande domar i brottmål .....................................

222

5.4.3

Gällande bestämmelser .........................................

230

5.4.4

Dataskyddsförordningen och dataskyddslagen ..

232

5.4.5

Behov av särskild reglering ...................................

235

5.5 Behov av ytterligare reglering ..............................................

249

5.6Förordningen om redovisning av studier m.m. vid

universitet och högskolor ....................................................

253

5.6.1

Utredningens uppdrag i denna del .......................

253

5.6.2

Rättslig grund för personuppgiftsbehandling .....

254

5.6.3Behov av ändringar med anledning av

dataskyddsförordningen .......................................

259

5.6.4Behov av översyn utifrån andra skäl än

 

 

dataskyddsförordningen .......................................

282

6

Yrkeshögskolan och andra eftergymnasiala

 

 

utbildningar ............................................................

285

6.1

Allmänt

..................................................................................

285

6.2

Utbildningsanordnarnas ....behandling av personuppgifter

287

 

6.2.1 .....................................................

Yrkeshögskolan

288

6.2.2Konst- och kulturutbildningar och vissa andra

 

utbildningar ...........................................................

290

6.3 Rättslig grund för personuppgiftsbehandling.....................

291

6.3.1

Utredningens uppdrag i denna del .......................

291

6.3.2

Uppgift av allmänt intresse...................................

293

8

SOU 2017:49

 

Innehåll

6.3.3

Myndighetsutövning .............................................

305

6.3.4

Rättslig förpliktelse ...............................................

308

6.3.5

Intresseavvägning ..................................................

310

6.3.6

Samtycke ................................................................

311

6.3.7

Sammanfattning.....................................................

313

6.4Känsliga personuppgifter och uppgifter som rör

lagöverträdelser .....................................................................

314

6.4.1

Utredningens uppdrag i denna del .......................

314

6.4.2Behov av att behandla känsliga

 

 

personuppgifter och uppgifter som rör

 

 

 

fällande domar i brottmål......................................

315

 

6.4.3

Gällande bestämmelser..........................................

320

 

6.4.4

Dataskyddsförordningen och dataskyddslagen ...

321

 

6.4.5

Behov av särskild reglering....................................

324

6.5

Behov av ytterligare reglering...............................................

338

6.6

MYH:s register......................................................................

341

 

6.6.1

Utredningens uppdrag i denna del .......................

341

6.6.2MYH:s register över studerande i

yrkeshögskolan ......................................................

342

6.6.3MYH:s register över studerande i konst- och kulturutbildningar och vissa andra

 

 

utbildningar

............................................................ 345

7

Folkbildning............................................................

349

7.1

Folkhögskolorna ...................................................................

349

 

7.1.1

Allmänt...................................................................

349

7.1.2Behandling av personuppgifter inom

 

folkhögskolorna.....................................................

350

7.1.3

Utredningens uppdrag i denna del .......................

351

7.1.4

Rättslig grund för personuppgiftsbehandling......

352

7.1.5

Känsliga personuppgifter ......................................

357

7.1.6

Behov av reglering i övrigt ....................................

359

7.2 Studieförbunden....................................................................

360

7.2.1

Allmänt...................................................................

360

7.2.2Behandling av personuppgifter inom

studieförbunden.....................................................

362

9

Innehåll

SOU 2017:49

 

7.2.3

Utredningens uppdrag i denna del .......................

362

 

7.2.4

Rättslig grund för personuppgiftsbehandling .....

364

 

7.2.5

Känsliga personuppgifter ......................................

366

 

7.2.6

Behov av reglering i övrigt ....................................

368

7.3

Register över deltagare i studieförbundens verksamhet ....

368

 

7.3.1

Allmänt ..................................................................

368

 

7.3.2

Utredningens uppdrag i denna del .......................

371

 

7.3.3

Behov av reglering .................................................

372

8

CSN:s studiestödsverksamhet ...................................

381

8.1

Utredningens uppdrag i denna del ......................................

381

8.2

Rättslig grund för personuppgiftsbehandling.....................

381

8.3

Behov av ändringar i studiestödsdatalagen .........................

385

8.4

Behov av ändringar i studiestödsdataförordningen ............

403

9

Betygsdatabasen BEDA ............................................

411

9.1

Allmänt

..................................................................................

411

9.2

Utredningens ......................................uppdrag i denna del

412

9.3

Behov av ...................................................särskild reglering

413

 

9.3.1 ...........

Behandlingar av personuppgifter i BEDA

413

 

9.3.2 .....

Skolhuvudmännens utlämnande av uppgifter

413

9.3.3Registrering i BEDA, utlämnande till SCB och

lagring ....................................................................

416

9.3.4Överföring av uppgifter till

 

antagningssystemet NyA .....................................

418

9.3.5

Utlämnande av uppgifter till kommuner.............

420

9.4 Behov av ytterligare reglering ..............................................

421

10

SOU 2017:49

Innehåll

10

Lärar- och förskollärarregistret ..................................

425

10.1

Allmänt ..................................................................................

425

10.2

Utredningens uppdrag i denna del.......................................

426

10.3

Rättslig grund för personuppgiftsbehandling .....................

426

10.4

Behov av ändringar................................................................

430

11

Kommunernas register över ungdomar som de har

 

 

aktivitetsansvar för ..................................................

447

11.1

Allmänt ..................................................................................

447

11.2

Utredningens uppdrag i denna del.......................................

448

11.3

Rättslig grund för personuppgiftsbehandling .....................

448

11.4

Behov av ändringar................................................................

452

12

Övriga myndigheter med anknytning till

 

 

utbildningsområdet..................................................

465

12.1

Utredningens uppdrag..........................................................

465

12.2

Utredningens bedömning.....................................................

466

13

Konsekvenser..........................................................

471

13.1

Utredningens uppdrag..........................................................

471

13.2

Problembeskrivning..............................................................

472

13.3

Utredningens förslag till nya eller ändrade regler...............

473

13.4

Ekonomiska konsekvenser ...................................................

475

 

13.4.1 Konsekvenser för staten, kommuner och

 

 

landsting .................................................................

475

 

13.4.2 Konsekvenser för enskilda huvudmän som

 

 

anordnar utbildningsverksamhet ..........................

476

13.5

Konsekvenser för den personliga integriteten ....................

479

13.6

Konsekvenser i övrigt ...........................................................

479

11

Innehåll

SOU 2017:49

14

Ikraftträdande och övergångsbestämmelser ................

481

14.1

Ikraftträdande .......................................................................

481

14.2

Övergångsbestämmelser ......................................................

482

15

Författningskommentar ............................................

485

15.1

Förslaget till lag om ändring i lagen (1993:792) om

 

 

tillstånd att utfärda vissa examina........................................

485

15.2

Förslaget till lag om ändring i lagen om yrkeshögskolan

 

 

(2009:128) .............................................................................

489

15.3

Förslaget till lag om ändring i studiestödsdatalagen

 

 

(2009:287) .............................................................................

493

15.4

Förslaget till lag om ändring i skollagen (2010:800) ..........

496

Särskilt yttrande...............................................................

507

Bilaga

 

Kommittédirektiv 2016:63 .............................................................

513

12

Förkortningar

Artikel 29-gruppen

Artikel 29-arbetsgruppen för skydd

 

av personuppgifter

BEDA

nationell databas för betygsuppgifter

 

från gymnasieskolan och kommunal

 

vuxenutbildning på gymnasial nivå

CSN

Centrala studiestödsnämnden

dataskyddsdirektivet

Europaparlamentets och rådets

 

direktiv 95/46/EG av den 24 oktober

 

1995 om skydd för enskilda personer

 

med avseende på behandling av

 

personuppgifter och om det fria

 

flödet av sådana uppgifter

dataskyddsförordningen

Europaparlamentets och rådets

 

förordning (EU) 2016/679 av den

 

27 april 2016 om skydd för fysiska

 

personer med avseende på

 

behandling av personuppgifter och

 

om det fria flödet av sådana

 

uppgifter och om upphävande av

 

direktiv 95/46/EG (allmän

 

dataskyddsförordning)

dataskyddslagen

Dataskyddsutredningens förslag till

 

lag (2018:xx) med kompletterande

 

bestämmelser till EU:s dataskydds-

 

förordning

 

13

Förkortningar

SOU 2017:49

DIFS

Datainspektionens författningssamling

dir.

direktiv

EES

Europeiska ekonomiska samarbets-

 

området

EU

Europeiska unionen

EU-domstolen

Europeiska unionens domstol/

 

Europeiska gemenskapernas domstol

f.

följande sida/sidor

FBR

Folkbildningsrådet

kommissionen

Europeiska kommissionen

MYH

Myndigheten för yrkeshögskolan

MYHFS

Myndigheten för yrkeshögskolans

 

författningssamling

OSL

offentlighets- och sekretesslagen

 

(2009:400)

prop.

regeringens proposition

PUF

personuppgiftsförordningen

 

(1998:1191)

PUL

personuppgiftslagen (1998:204)

SCB

Statistiska centralbyrån

SiS

Statens institutionsstyrelse

SKOLFS

Skolverkets författningssamling

14

SOU 2017:49 Förkortningar

Skolinspektionen

Statens skolinspektion

Skolverket

Statens skolverk

SOU

Statens offentliga utredningar

UHR

Universitets- och högskolerådet

UHRFS

Universitets- och högskolerådets

 

författningssamling

UKÄ

Universitetskanslersämbetet

VHS

Verket för högskoleservice

15

Sammanfattning

Utredningens uppdrag

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning). Utredningen har i detta betänkande valt att benämna den nya rättsakten dataskyddsförordningen. Dataskyddsförord- ningen är direkt tillämplig i medlemsstaterna och ska börja tillämpas den 25 maj 2018. Genom dataskyddsförordningen upphävs Europa- parlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av per- sonuppgifter och om det fria flödet av sådana uppgifter (dataskydds- direktivet), vilket innebär att personuppgiftslagen (1998:204, PUL) måste upphävas.

En särskild utredare fick den 25 februari 2016 regeringens uppdrag att lämna förslag till upphävande av den nuvarande generella per- sonuppgiftsregleringen (dir. 2016:15). Utredningen, som tog sig namnet Dataskyddsutredningen (Ju 2016:04), fick även i uppdrag att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter. I Dataskyddsutredningens uppdrag ingick också bl.a. att överväga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter som bör finnas i den generella regleringen. I Dataskyddsutredningens uppdrag ingick dock inte att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som finns i bl.a. särskilda registerförfattningar.

Utredningen har fått i uppdrag att föreslå kompletterande regler- ingar för behandling av personuppgifter inom utbildningsområdet,

17

Sammanfattning

SOU 2017:49

med undantag för forskningsverksamhet. Syftet är att regleringen ska möjliggöra en ändamålsenlig behandling av personuppgifter inom utbildningsområdet samtidigt som den ska skydda den enskildes fri- och rättigheter.

I utredningens uppdrag ingår att undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom utbildningsområ- det som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå.

Uppdraget omfattar även att analysera om det utöver dataskydds- förordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå finns ett behov av kompletterande regleringar för behandling av känsliga personuppgifter inom utbildningsområdet.

I utredningens uppdrag ingår vidare att se över vilka anpassningar av studiestödsdatalagen (2009:287), studiestödsdataförordningen (2009:321), förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor, förordningen (2011:268) om lärar- och förskollärarregister och förordningen (2006:39) om regis- ter och dokumentation vid fullgörandet av kommunernas aktivitets- ansvar för ungdomar som behövs med anledning av dataskyddsför- ordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag som utredningen kan kom- ma att lämna.

Slutligen ingår det även i utredningens uppdrag att analysera om det behövs något författningsstöd – utöver dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredningen kan komma att lämna – för att personuppgifter även fortsättningsvis ska kunna behandlas i betygsdatabasen BEDA, i de register som Myndigheten för yrkes- högskolan (MYH) svarar för samt i registret över deltagare i studie- cirklar och annan folkbildningsverksamhet hos studieförbunden.

Skollagsreglerad utbildningsverksamhet

Utredningen bedömer att det för huvudmän inom skolväsendet och aktörer enligt 24 och 25 kap. skollagen (2010:800) finns en i svensk rätt fastställd uppgift av allmänt intresse att tillhandahålla, anordna och bedriva utbildning och annan pedagogisk verksamhet. Även en

18

SOU 2017:49

Sammanfattning

kommuns åligganden enligt skollagen är en i svensk rätt fastställd uppgift av allmänt intresse. För sådan personuppgiftsbehandling som är nödvändig för utförandet av dessa uppgifter är den rättsliga grun- den i första ledet i artikel 6.1 e i dataskyddsförordningen tillämplig. Därutöver kan dessa organ i viss utsträckning samtidigt använda sig av de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och andra ledet i 6.1 e (myndighetsutövning). Dessa kan även i viss utsträckning använda sig av samtycke som rättslig grund (arti- kel 6.1 a). Vidare kan enskilda huvudmän även tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning).

Beträffande behandling av känsliga personuppgifter bedömer ut- redningen att kommuner, landsting och staten, även som huvudmän inom skolväsendet, kan finna stöd för viss sådan behandling i Data- skyddsutredningens förslag till bestämmelser i 3 kap. 3 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskydds- förordning (dataskyddslagen). Enligt utredningens bedömning har enskilda huvudmän – när de anordnar utbildning enligt skollagen – samma behov av att kunna behandla känsliga personuppgifter som offentliga huvudmän. De enskilda huvudmännen kan dock inte grun- da sådan behandling i dataskyddslagen annat än i den mån offent- lighetsprincipen och sekretesslagstiftningen enligt författning gäller i ett organs verksamhet. I dessa fall möjliggör 3 kap. 3 § 2 dataskydds- lagen sådan behandling av känsliga personuppgifter som är oundviklig i organets verksamhet som en direkt följd av bland annat tryckfrihets- förordningens och offentlighets- och sekretesslagens (2009:400) bestämmelser om allmänna handlingar och diarieföring.

Vissa skolformer och anordnare av vissa utbildningar har dess- utom ett behov av att kunna behandla känsliga personuppgifter mer systematiskt, bl.a. grundsärskolan och sameskolan, som det inte finns stöd för i dataskyddslagen. Detsamma gäller för kommunerna när de ska utföra vissa uppgifter som de är ålagda enligt skollagen.

Utredningen bedömer därför att det finns behov av att möjlig- göra sådan behandling. För tydlighets skull föreslår utredningen att det i ett nytt 28 a kapitel i skollagen ska införas bl.a. motsvarande bestämmelser som Dataskyddsutredningen föreslår i 3 kap. 3 och 4 §§ dataskyddslagen. Kapitlet ska tillämpas vid den personuppgifts- behandling som både offentliga och enskilda huvudmän, hemkom- munen och aktörer enligt 24 och 25 kap. skollagen utför.

19

Sammanfattning

SOU 2017:49

Vidare föreslås att huvudmän för vissa skolformer, bl.a. grund- särskolan och specialskolan, och för vissa utbildningar, bl.a. Rh-an- passad utbildning och fristående grundskola som begränsats till att avse elever som är i behov av särskilt stöd, under vissa förutsättningar får behandla uppgifter om hälsa. Sameskolan föreslås få behandla uppgifter om etniskt ursprung under vissa förutsättningar.

Hemkommunen föreslås få behandla uppgifter om hälsa i vissa fall och uppgift om hälsa och etniskt ursprung när det är nödvändigt för att fullgöra skyldighet enligt 7 kap. 21 § skollagen.

För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläg- gande rättigheter och intressen föreslår utredningen att det ska införas bestämmelser om förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. Huvudmän för de skolformer och utbildningar som föreslås få behandla uppgifter om hälsa respektive etniskt ursprung under vissa förutsättningar undantas dock från för- budet för just sökbegrepp som avslöjar hälsa respektive etniskt ur- sprung. Detsamma gäller för hemkommunen i de fall den getts sär- skild möjlighet att behandla vissa känsliga personuppgifter. Reger- ingen föreslås få meddela föreskrifter om begränsningar av möjlig- heten att använda de sökbegrepp som tillåts.

Vidare föreslås regeringen få meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt skollagen eller föreskrifter som har meddelats med stöd av skollagen.

Förslaget till dataskyddslag innehåller en upplysningsbestämmel- se som tydliggör att förbudet i artikel 10 mot behandling av person- uppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel inte gäller för myndigheter. Utredningen bedömer att i förskolor, skolor och vuxenutbildningsenheter vars huvudmän är staten, en kommun eller ett landsting kommer personuppgifter som rör fällande domar i brottmål och liknande i de enskilda fall sådan behandling bedöms nödvändig kunna behandlas med stöd av dataskyddsförordningen.

Utredningen bedömer att det för fristående skolor finns skäl att möjliggöra behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffproces- suella tvångsmedel i elevhälsan i löpande text om det är absolut nöd-

20

SOU 2017:49

Sammanfattning

vändigt för ändamålet med behandlingen och i skriftlig dokumenta- tion som ska föras enligt 5 kap. 24 § skollagen om det är absolut nödvändigt för ändamålet med behandlingen.

Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för huvudmän inom skolväsendet, hemkommunen och aktörer enligt 24 och 25 kap. skollagen kan ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser att det enligt bestämmelserna i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2 regeringsformen inte krävs en särskild lag för den person- uppgiftsbehandling som utförs av huvudmännen inom skolväsendet. Utredningen anser att det inte heller finns något annat skäl för ytter- ligare reglering än den som utredningen föreslår.

Utredningen anser att goda skäl talar för att det ska tas fram en uppförandekod för skolväsendets personuppgiftsbehandling. Utred- ningen föreslår därför att regeringen ger lämplig myndighet i upp- drag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet.

Universitets- och högskolesektorn

Behov av reglering

Utredningen bedömer att det för statliga högskolor och enskilda utbildningsanordnare med examenstillstånd enligt lagen (1993:792) om tillstånd att utfärda vissa examina finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva högskoleutbild- ning. För sådan personuppgiftsbehandling som är nödvändig för utförandet av denna uppgift är den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen tillämplig. Därutöver kan läro- sätena i viss utsträckning samtidigt använda sig av de rättsliga grun- derna i artikel 6.1 c (rättslig förpliktelse) och andra ledet i 6.1 e (myndighetsutövning). Lärosätena kan i viss utsträckning även an- vända sig av samtycke som rättslig grund (artikel 6.1 a). Enskilda utbildningsanordnare kan dessutom tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning).

Beträffande behandling av känsliga personuppgifter bedömer utredningen att statliga högskolor kan finna stöd för sådan behand-

21

Sammanfattning

SOU 2017:49

ling i Dataskyddsutredningens förslag till bestämmelser i 3 kap. 3 § dataskyddslagen. Dataskyddsutredningens förslag, med undantag för behandling av känsliga personuppgifter med anledning av offentlig- hetsprincipen, gäller endast för myndigheter. Eftersom utredningen bedömer att enskilda utbildningsanordnare har samma behov som statliga högskolor att behandla känsliga personuppgifter föreslår utredningen att det i lagen om tillstånd att utfärda vissa examina ska införas bestämmelser med motsvarande innebörd som de som Data- skyddsutredningen föreslår.

Vidare bedömer utredningen att enskilda utbildningsanordnare, i ärenden om avskiljande av studenter från utbildning, har samma be- hov som statliga högskolor att behandla personuppgifter som rör fällande domar i brottmål. Utredningen föreslår därför en bestäm- melse som möjliggör sådan behandling, eftersom dataskyddsförord- ningen och dataskyddslagen endast medger att statliga högskolor behandlar sådana uppgifter.

För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grund- läggande rättigheter och intressen föreslår utredningen att det ska införas en bestämmelse om förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.

Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för lärosätenas del kan ske med stöd av bestämmel- serna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser inte att det enligt bestämmelserna i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2 regeringsformen krävs en särskild lag för statliga högsko- lors personuppgiftsbehandling. Utredningen anser att det inte heller finns något annat skäl för ytterligare reglering än den som utred- ningen föreslår.

Förordningen om redovisning av studier m.m. vid universitet och högskolor

Utredningen bedömer att bestämmelserna i förordningen om redo- visning av studier m.m. vid universitet och högskolor utgör i enlighet med artikel 6.1 c i dataskyddsförordningen fastställda rättsliga för-

22

SOU 2017:49

Sammanfattning

pliktelser för statliga högskolor att föra ett studieregister och för Statistiska centralbyrån att föra ett universitets- och högskoleregister samt ett register för sammanställning av statistik över högskolornas personal. Förandet av nämnda register är dessutom fastställda upp- gifter av allmänt intresse i enlighet med första ledet i artikel 6.1 e. För Universitets- och högskolerådets (UHR) del finns det genom bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor en fastställd uppgift av allmänt intresse att föra ett antagningsregister.

Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behand- ling för att efterleva artikel 6.1 c och e. Förordningen om redovis- ning av studier m.m. vid universitet och högskolor är därmed i sig förenlig med dataskyddsförordningen.

För att anpassa förordningens bestämmelser till dataskyddsför- ordningen föreslår utredningen att hänvisningen till personuppgifts- lagen i 1 kap. 1 § andra stycket ska utgå och ersättas med nya bestämmelser i en ny paragraf. I den nya paragrafen, 1 a §, ska det upplysas om att förordningen kompletterar dataskyddsförordning- en. Därtill ska förhållandet till dataskyddslagen regleras. Utred- ningen föreslår vidare att bestämmelserna om information, rättelse och skadestånd samt intern kontroll över studieregistret som finns i 1 kap. 4 och 5 §§ samt 2 kap. 1 § tredje stycket ska upphävas, efter- som det finns direkt tillämpliga bestämmelser i dataskyddsförord- ningen med motsvarande innehåll. Bestämmelsen om överklagande i 1 kap. 6 § föreslår utredningen också ska upphävas, eftersom det finns bestämmelser om överklagande i dataskyddslagen. Avslut- ningsvis föreslår utredningen att hänvisningarna till 13 § PUL, som finns i 2 kap. 5 a § och 4 kap. 3 §, ska ändras på så sätt att de hänvisar till artikel 9.1 i dataskyddsförordningen i stället. I artikel 9.1 finns motsvarande förbud mot behandling av känsliga personuppgifter som finns i 13 § PUL.

Utredningen lyfter även fram att den tekniska utvecklingen och den praktiska hanteringen av personuppgifter när det gäller redo- visning m.m. vid universitet och högskolor har gjort att det finns ett behov av en omfattande översyn av förordningen. En sådan översyn som utredningen bedömer är påkallad krävs dock inte för att anpassa

23

Sammanfattning

SOU 2017:49

förordningen till dataskyddsförordningen och den reglering som Dataskyddsutredningen har föreslagit. Utredningen lämnar därför inga förslag i dessa delar.

Yrkeshögskolan och andra eftergymnasiala utbildningar

Behov av reglering

Utredningen bedömer att det för anordnare av utbildningar inom yrkeshögskolan och sådana utbildningar som avses i förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva sådana utbildningar. För sådan personuppgiftsbehandling som är nödvändig för utförandet av denna uppgift är den rättsliga grunden i första ledet i artikel 6.1 e i data- skyddsförordningen tillämplig. Därutöver kan utbildningsanord- narna i viss utsträckning samtidigt använda sig av de rättsliga grun- derna i artikel 6.1 c (rättslig förpliktelse) och, beträffande utbild- ningsanordnarna inom yrkeshögskolan, andra ledet i artikel 6.1 e (myndighetsutövning). Utbildningsanordnarna kan i viss utsträck- ning även använda sig av samtycke som rättslig grund (artikel 6.1 a). Enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan dessutom tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning).

Beträffande behandling av känsliga personuppgifter inom yrkes- högskolan bedömer utredningen att offentliga utbildningsanordnare kan finna stöd för sådan behandling i Dataskyddsutredningens för- slag till bestämmelser i 3 kap. 3 § dataskyddslagen. För tydlighets skull föreslår utredningen dock att det i lagen (2009:128) om yrkes- högskolan, som gäller för både offentliga och enskilda utbildnings- anordnare, ska införas motsvarande bestämmelser som Dataskydds- utredningen föreslår och att dessa ska gälla för både offentliga och enskilda utbildningsanordnare, eftersom dessa har samma behov av att behandla känsliga personuppgifter. Ett undantag finns dock, en- skilda utbildningsanordnare inom yrkeshögskolan omfattas inte av offentlighetsprincipen. Utredningens förslag i denna del omfattar så- ledes endast offentliga utbildningsanordnare.

24

SOU 2017:49

Sammanfattning

Utredningen föreslår att motsvarande bestämmelser om behand- ling av känsliga personuppgifter också ska föras in i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. De som anordnar sådana utbildningar har samma behov som anord- nare av utbildningar inom yrkeshögskolan att behandla känsliga per- sonuppgifter. Eftersom de som anordnar utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar inte omfattas av offentlighetsprincipen ska det dock inte föras in någon bestämmelse som möjliggör behandling av känsliga personuppgifter som krävs enligt lag.

Vidare bedömer utredningen att det för enskilda utbildnings- anordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns skäl att möjliggöra behandling av per- sonuppgifter som rör fällande domar i brottmål i ärenden om av- skiljande av studerande från utbildning. Utredningen föreslår därför sådana bestämmelser, eftersom dataskyddsförordningen och data- skyddslagen endast medger att offentliga utbildningsanordnare inom yrkeshögskolan behandlar sådana uppgifter.

För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grund- läggande rättigheter och intressen föreslår utredningen att det i lagen om yrkeshögskolan och förordningen om stöd för konst- och kultur- utbildningar och vissa andra utbildningar ska införas bestämmelser om förbud mot att använda sökbegrepp som avslöjar känsliga per- sonuppgifter. Motsvarande sökförbud ska även gälla för personupp- gifter som rör fällande domar i brottmål i fråga om enskilda utbild- ningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kul- turutbildningar och vissa andra utbildningar.

Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för utbildningsanordnarnas del kan ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser inte att det enligt bestämmelserna i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2 regeringsformen krävs en särskild lag för den per- sonuppgiftsbehandling som utförs av de offentliga utbildningsanord- narna inom yrkeshögskolan. Utredningen anser att det inte heller

25

Sammanfattning

SOU 2017:49

finns något annat skäl för ytterligare reglering än den som utred- ningen föreslår.

MYH:s register

Utredningen bedömer att det för MYH finns en i svensk rätt fast- ställd rättslig förpliktelse och uppgift av allmänt intresse att svara för ett register över uppgifter om de studerande i utbildningarna inom yrkeshögskolan och i de utbildningar inom yrkeshögskolan som bedrivs som uppdragsutbildningar. Utredningen bedömer att mot- svarande gäller för det register över uppgifter om de studerande i utbildningarna enligt förordningen om stöd för konst- och kultur- utbildningar och vissa andra utbildningar som MYH också ska svara för. MYH kan därmed tillämpa de rättsliga grunderna i artikel 6.1 c och första ledet i artikel 6.1 e i dataskyddsförordningen för sådan personuppgiftsbehandling som är nödvändig vid förandet av regist- ren. Utredningen bedömer att det inte finns något ytterligare regle- ringsbehov.

Vidare bedömer utredningen att utbildningsanordnarna inom yrkeshögskolan kan tillämpa samma rättsliga grunder när de lämnar uppgifter om de studerande till MYH. Något ytterligare reglerings- behov finns därmed inte heller för deras del.

För att säkerställa att anordnarna av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har en rättslig grund att tillämpa när de ska lämna uppgifter till MYH, föreslår utredningen att MYH ska bemyndigas att meddela föreskrifter om uppgiftslämningen på motsvarande sätt som i 2 kap. 17 § förordningen (2009:130) om yrkeshögskolan.

Folkbildning

Folkhögskolorna

Utredningen bedömer att folkhögskolorna, som stöd för sin person- uppgiftsbehandling när dataskyddsförordningen ska börja tillämpas, kan använda främst samtycke, dvs. artikel 6.1 a i dataskyddsförord- ningen, som rättslig grund för sin behandling av personuppgifter. Folkhögskolor som anordnar utbildning motsvarande kommunal

26

SOU 2017:49

Sammanfattning

vuxenutbildning i svenska för invandrare kan behandla personuppgif- ter om studerande i den verksamheten även med stöd av första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse. Känsliga personupp- gifter kan behandlas med stöd av samtycke enligt artikel 9.2 a.

Utredningen bedömer att nämnda rättsliga grunder är tillräckliga för att nödvändig behandling av personuppgifter inom folkhögsko- lorna ska kunna ske på ett ändamålsenligt sätt samtidigt som enskil- das fri- och rättigheter skyddas. Något behov av ytterligare reglering finns inte.

Studieförbunden

Utredningen bedömer att studieförbunden, som stöd för sin person- uppgiftsbehandling när dataskyddsförordningen ska börja tillämpas, kan använda främst samtycke, dvs. artikel 6.1 a i dataskyddsförord- ningen, som rättslig grund för sin behandling av personuppgifter. Känsliga personuppgifter kan behandlas med stöd av samtycke enligt artikel 9.2 a.

Utredningen bedömer att den rättsliga grunden samtycke är till- räcklig för att nödvändig behandling av personuppgifter inom studie- förbunden ska kunna ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas. Något behov av ytterligare reglering finns inte.

Register över deltagare i studieförbundens verksamhet

Utredningen bedömer att Folkbildningsrådet och studieförbunden kan använda samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för behandling av personuppgifter i Folkbildnings- rådets centrala uppgiftssamlingar över deltagare i studiecirkel och annan folkbildningsverksamhet när dataskyddsförordningen ska börja tillämpas. Utredningen anser att varken 2 kap. 6 § andra stycket regeringsformen eller något annat skäl fordrar att det införs någon särskild reglering.

27

Sammanfattning

SOU 2017:49

CSN:s studiestödsverksamhet

Utredningen bedömer att Centrala studiestödsnämnden (CSN) har en i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet. Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 e. Studiestödsdata- lagen med tillhörande förordning är därmed i sig förenliga med data- skyddsförordningen.

För att anpassa studiestödsdatalagens bestämmelser till data- skyddsförordningen föreslår utredningen att hänvisningen till per- sonuppgiftslagen i 2 § ska ersättas med en upplysningsbestämmelse om dataskyddsförordningen samt, i andra stycket, en reglering om förhållandet till dataskyddslagen. Det nuvarande andra stycket, som reglerar studiestödsdatalagens förhållande till lagen (2001:99) om den officiella statistiken, ska flyttas till ett nytt tredje stycke. Be- stämmelserna i 6 och 8 §§, vilka reglerar begränsningar i rätten att behandla personuppgifter respektive användningen av sökbegrepp, föreslår utredningen ska ändras på så sätt att de ska omfatta samtliga kategorier av personuppgifter som räknas upp i artikel 9.1 i data- skyddsförordningen. Bestämmelsen i 7 § tredje stycket om åter- kallande av samtycke och 15 §, vilken reglerar rättelse och skade- stånd, ska upphävas, eftersom det i dessa delar finns direkt tillämp- liga bestämmelser i dataskyddsförordningen. Avslutningsvis ska bestämmelserna i 16 § tredje stycket och 16 § studiestödsdataför- ordningen ändras på så sätt att formuleringen ”historiska, statistiska eller vetenskapliga ändamål” ändras till ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statis- tiska ändamål”.

Betygsdatabasen BEDA

Utredningen föreslår att UHR:s uppgift att ansvara för en nationell databas för betygsuppgifter från gymnasieskolan och den kom- munala vuxenutbildningen på gymnasial nivå, betygsdatabasen BEDA, ska fastställas genom att den förs in i en bestämmelse i för- ordningen (2012:811) med instruktion för Universitets- och hög-

28

SOU 2017:49

Sammanfattning

skolerådet. Såväl ändamålet med registret att användas vid antagning av studenter till studier vid universitet och högskolor som det sta- tistiska ändamål uppgifterna i registret används för ska fastställas i bestämmelsen.

Utredningen bedömer vidare att Statens skolverk (Skolverket) behöver komplettera sina föreskrifter (SKOLFS 2011:142) om upp- giftsinsamling från huvudmännen inom skolväsendet m.m. för att huvudmännen som bedriver kommunal vuxenutbildning på gym- nasial nivå ska ha en rättslig grund att tillämpa när de fullgör sin skyldighet att lämna uppgifter om gymnasieexamen genom att lämna uppgifterna till UHR.

Om utredningens förslag genomförs och om Skolverket kom- pletterar sina föreskrifter bedömer utredningen att ändamålsenliga behandlingar i BEDA, som samtidigt skyddar den enskildes fri- och rättigheter, kan göras även när dataskyddsförordningen ska börja tillämpas. Utredningen anser att det inte finns något ytterligare regleringsbehov med anledning av regeringsformens bestämmelser. Utredningen anser inte heller att det finns anledning att med stöd av artikel 89.2 i dataskyddsförordningen föreskriva om undantag från den registrerades rättigheter som avses i artiklarna 15, 16, 18 och 21, dvs. rätt till information om personuppgifter som behandlas, rätt att få felaktiga personuppgifter rättade, rätt att kräva begränsning av behandling och rätt att göra invändningar mot behandling.

Lärar- och förskollärarregistret

Utredningen bedömer att bestämmelserna i förordningen om lärar- och förskollärarregister utgör i enlighet med artikel 6.1 c i data- skyddsförordningen en fastställd rättslig förpliktelse för Skolverket att föra ett register över legitimerade och tidigare legitimerade lärare och förskollärare. Förandet av registret är dessutom en för Skolver- ket fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e.

Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket är tillåtet att behålla eller införa mer specifika bestäm- melser för att anpassa tillämpningen av bestämmelserna i dataskydds- förordningen med hänsyn till behandling för att efterleva artikel 6.1 c

29

Sammanfattning

SOU 2017:49

och e. Förordningen om lärar- och förskollärarregister är därmed i sig förenlig med dataskyddsförordningen.

För att anpassa förordningens bestämmelser till dataskyddsför- ordningen föreslår utredningen att hänvisningen till personuppgifts- lagen i 2 § ska utgå och ersättas med en upplysning om att förord- ningen kompletterar dataskyddsförordningen. Därtill ska förhål- landet till dataskyddslagen regleras. Utredningen föreslår vidare att det i ett nytt tredje stycke i 6 § ska finnas en hänvisning till arti- kel 5.1 b i dataskyddsförordningen. Hänvisningen ersätter den nuva- rande hänvisningen till finalitetsprincipen i 9 § PUL som finns i 6 § andra stycket. Bestämmelserna om information i 10 § föreslås ändras på så sätt att de endast reglerar den informationsskyldighet som gäl- ler utöver den informationsskyldighet som kommer att gälla enligt dataskyddsförordningen. Slutligen föreslår utredningen att bestäm- melserna om rättelse och skadestånd i 11 § ska upphävas, eftersom det finns motsvarande bestämmelser i dataskyddsförordningen som är direkt tillämpliga.

Kommunernas register över ungdomar som de har aktivitetsansvar för

Utredningen bedömer att det i svensk rätt finns en i enlighet med artikel 6.1 c i dataskyddsförordningen fastställd rättslig förpliktelse för kommunerna att föra ett register över de ungdomar som om- fattas av kommunens aktivitetsansvar enligt 29 kap. 9 § skollagen. Förandet av registren är dessutom en för kommunerna fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e.

Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket är tillåtet att behålla eller införa mer specifika bestäm- melser för att anpassa tillämpningen av bestämmelserna i data- skyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 c och e. Förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar är där- med i sig förenlig med dataskyddsförordningen.

För att anpassa förordningens bestämmelser till dataskyddsför- ordningen föreslår utredningen att hänvisningen till personupp- giftslagen i 2 § ska utgå och ersättas med en upplysning om att förordningen kompletterar dataskyddsförordningen. Därtill ska för- hållandet till dataskyddslagen regleras. Vidare föreslår utredningen

30

SOU 2017:49

Sammanfattning

att bestämmelsen i 5 § om förbud mot att behandla känsliga person- uppgifter ska hänvisa till artikel 9.1 i stället för 13 § PUL. Bestäm- melsen i 5 § om förbud mot att behandla uppgifter om lagöver- trädelser m.m. ska ändras så att den när dataskyddsförordningen och dataskyddslagen ska börja tillämpas kommer att ha samma materiella innebörd som i dagsläget. Slutligen föreslår utredningen att bestäm- melserna om rättelse och skadestånd i 6 § ska upphävas, eftersom det finns motsvarande bestämmelser i dataskyddsförordningen som är direkt tillämpliga.

Övriga myndigheter med anknytning till utbildningsområdet

Direktiven anger inte att det ska göras en analys av om det behöver införas kompletterande regleringar för personuppgiftsbehandlingen hos sådana myndigheter vars verksamhet anknyter till utbildnings- området t.ex. Statens skolinspektion, Skolverket och UHR. Enligt utredningens uppfattning omfattas därför inte den personuppgifts- behandling som sker vid dessa myndigheter av utredningens upp- drag, annat än i de fall det särskilt har angivits att utredningen ska analysera behovet av reglering av särskilda register som förs av en myndighet eller behovet av anpassningar av författningar som styr en myndighets personuppgiftsbehandling.

Då det finns ett intresse av vägledning har utredningen dock fun- nit anledning att göra en generell och övergripande analys av myn- digheternas möjligheter att behandla personuppgifter sett i ljuset av dataskyddsförordningen och den av Dataskyddsutredningen före- slagna dataskyddslagen.

Utredningen bedömer att statliga och kommunala myndigheters verksamhet inom utbildningsområdet i allt väsentligt är en uppgift av allmänt intresse. Denna verksamhet framgår normalt av uppdrag och åligganden i författningar, regeringsbeslut och kommunala regle- menten, antagna i enlighet med grundlagens bestämmelser. Uppgif- ten av allmänt intresse är fastställd genom dessa författningar, beslut och kommunala reglementen. Myndigheterna kan därigenom grunda nödvändig behandling av personuppgifter på första ledet i artikel 6.1 e i dataskyddsförordningen.

Utredningen konstaterar dock att det ankommer på myndighe- terna att själva gå igenom all personuppgiftsbehandling som sker

31

Sammanfattning

SOU 2017:49

inom myndigheten och säkerställa att den har stöd i och är förenlig med dataskyddsförordningens och dataskyddslagens bestämmelser.

Konsekvenser

Utredningen bedömer att utredningens förslag till regleringar inte kommer att innebära någon kostnadsökning för stat, kommuner, landsting och enskilda huvudmän som tillhandahåller och anordnar utbildningsverksamhet. Vidare bedömer utredningen att förslagen är neutrala rörande integritetsskyddet och att förslagen inte förväntas få några andra konsekvenser.

Ikraftträdande och övergångsbestämmelser

Utredningen föreslår att den nya förordningen – förordningen om sökbegränsningar vid personuppgiftsbehandling i vissa utbildnings- former och i hemkommunen – och ändringsförfattningarna ska träda i kraft den 25 maj 2018.

Vidare föreslår utredningen tre övergångsbestämmelser för studie- stödsdatalagen, förordningen om lärar- och förskollärarregister, för- ordningen om register och dokumentation vid fullgörandet av kom- munernas aktivitetsansvar för ungdomar samt förordningen om redovisning av studier m.m. vid universitet och högskolor. Enligt den första ska äldre föreskrifter fortfarande gälla för ärenden hos Datainspektionen eller aktuell myndighet som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet. Den andra övergångsbestämmelsen ska ange att äldre föreskrifter fortfarande gäller för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet. Enligt den sista övergångsbestämmelsen ska äldre föreskrifter om skadestånd fort- farande gälla för skada som har orsakats före ikraftträdandet.

32

1 Författningsförslag

1.1Förslag till

lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina

Härigenom föreskrivs att det i lagen (1993:792) om tillstånd att utfärda vissa examina ska införas fyra nya paragrafer, 10–13 §§, av följande lydelse.

10 § Bestämmelserna i 11–13 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad data- skyddsförordningen.

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid enskilda utbildningsanordnares behandling av personuppgifter, om inte annat följer av 11–13 §§ eller föreskrifter som har meddelats med stöd av lagen med komplette- rande bestämmelser till EU:s dataskyddsförordning.

11 § Känsliga personuppgifter får med stöd av artikel 9.2 g i data- skyddsförordningen behandlas av en enskild utbildningsanordnare

1.i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,

2.om uppgifterna har lämnats till den enskilde utbildnings- anordnaren och behandlingen krävs enligt lag, eller

3.i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

33

Författningsförslag

SOU 2017:49

12 § Personuppgifter som rör fällande domar i brottmål får behand- las av en enskild utbildningsanordnare i löpande text i ett ärende om avskiljande av student från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbör- ligt intrång i den registrerades personliga integritet som behandlingen kan innebära.

13 § Vid behandling enligt 11 och 12 §§ får en enskild utbildnings- anordnare inte använda sökbegrepp som avslöjar känsliga personupp- gifter eller uppgifter som rör fällande domar i brottmål.

Denna lag träder i kraft den 25 maj 2018.

34

SOU 2017:49

Författningsförslag

1.2Förslag till

lag om ändring i lagen (2009:128) om yrkeshögskolan

Härigenom föreskrivs att det i lagen (2009:128) om yrkeshögsko- lan ska införas sju nya paragrafer, 19 a–19 g §§, samt närmast före 19 a § en ny rubrik av följande lydelse.

Behandling av personuppgifter

19 a § Bestämmelserna i 19 b–19 g §§ kompletterar Europaparla- mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av per- sonuppgifter och om det fria flödet av sådana uppgifter och om upp- hävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid utbildningsanordnares behandling av personuppgifter, om inte annat följer av 19 b–19 f §§ eller före- skrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

19 b § Känsliga personuppgifter får med stöd av artikel 9.2 g i data- skyddsförordningen behandlas av en utbildningsanordnare i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.

19 c § Statliga universitet och högskolor samt andra statliga myn- digheter, kommuner och landsting som anordnar utbildning får med stöd av artikel 9.2 g i dataskyddsförordningen behandla känsliga per- sonuppgifter om uppgifterna har lämnats till universitetet, högskolan, myndigheten, kommunen eller landstinget och behandlingen krävs enligt lag.

19 d § Utöver vad som följer av 19 b och 19 c §§ får känsliga per- sonuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en utbildningsanordnare i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte

35

Författningsförslag

SOU 2017:49

innebär ett otillbörligt intrång i den registrerades personliga integ- ritet.

19 e § Utbildningsanordnare med en enskild fysisk eller juridisk person som huvudman får behandla personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande av stude- rande från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan inne- bära.

19 f § Vid behandling enligt 19 b–19 d §§ får en utbildningsanord- nare inte använda sökbegrepp som avslöjar känsliga personuppgifter.

Vid behandling enligt 19 e § får en enskild utbildningsanordnare inte använda sökbegrepp som avslöjar personuppgifter som rör fäl- lande domar i brottmål.

19 g § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt denna lag eller föreskrifter som har meddelats med stöd av denna lag.

Denna lag träder i kraft den 25 maj 2018.

36

SOU 2017:49

Författningsförslag

1.3Förslag till

lag om ändring i studiestödsdatalagen (2009:287)

Härigenom föreskrivs i fråga om studiestödsdatalagen (2009:287) dels att 15 § ska upphävas,

dels att rubriken närmast före 15 § ska utgå,

dels att 2, 6–8 och 16 §§ samt rubriken närmast före 2 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

 

 

Förhållandet till personupp-

Förhållandet till annan data-

giftslagen och lagen om den officiel-

skyddsreglering

 

 

la statistiken

 

 

 

 

2 §

 

 

 

I den mån personuppgiftslagen

Denna

lag

kompletterar

(1998:204) innehåller bestämmel-

Europaparlamentets och rådets för-

ser om behandling av personupp-

ordning (EU) 2016/679 av den

gifter som saknar motsvarighet i

27 april 2016 om skydd för fysiska

denna lag, ska personuppgiftslagen

personer med avseende på be-

tillämpas vid behandling av per-

handling av personuppgifter och om

sonuppgifter i Centrala studiestöds-

det fria flödet av sådana uppgifter

nämndens studiestödsverksamhet.

och om upphävande av direktiv

 

95/46/EG

(allmän

dataskydds-

 

förordning).

 

 

 

 

Lagen (2018:xx) med komplet-

 

terande bestämmelser till

EU:s

 

dataskyddsförordning

gäller

vid

 

behandling av personuppgifter en-

 

ligt denna lag, om inte annat följer

 

av denna lag eller föreskrifter som

 

har meddelats med stöd av lagen

 

eller lagen

med kompletterande

 

bestämmelser till EU:s data-

 

skyddsförordning.

 

 

Vid Centrala studiestödsnämndens behandling av personupp- gifter för att framställa statistik ska lagen (2001:99 ) om den offici-

37

Författningsförslag

SOU 2017:49

ella statistiken och anslutande författningar tillämpas i stället för denna lag.

 

 

 

6 §

 

 

 

 

 

Särskilda

begränsningar gäller

Särskilda begränsningar

gäller

för behandling av personuppgif-

för behandling av personuppgif-

ter som

 

 

 

ter som avslöjar ras eller etniskt

1. avslöjar

 

ras, etniskt

ur-

ursprung, politiska åsikter, reli-

sprung, politiska åsikter, religiös

giös

eller filosofisk

övertygelse

eller filosofisk

övertygelse

eller

eller medlemskap i

fackförening

medlemskap i fackförening,

 

samt för behandling av genetiska

2. avser

lagöverträdelser

som

uppgifter, biometriska uppgifter för

innefattar brott, domar i brottmål,

att entydigt identifiera en fysisk

straffprocessuella tvångsmedel

eller

person, uppgifter om hälsa eller

administrativa

frihetsberövanden,

uppgifter om en fysisk persons

eller

 

 

 

sexualliv eller sexuella läggning.

 

3. rör hälsa eller sexualliv.

 

 

 

 

 

 

 

 

 

 

 

Särskilda begränsningar gäller

 

 

 

 

även för behandling av person-

 

 

 

 

uppgifter som avser lagöverträ-

 

 

 

 

delser

som

innefattar

brott,

 

 

 

 

domar i brottmål, straffproces-

 

 

 

 

suella tvångsmedel eller admi-

 

 

 

 

nistrativa frihetsberövanden.

 

Uppgifter enligt första stycket

Uppgifter

enligt

första

och

får behandlas bara för ändamål

andra stycket får behandlas bara

som avses i 4 § första stycket 1,

för ändamål som avses i 4 § första

om uppgifterna har lämnats i ett

stycket 1, om uppgifterna har

ärende i studiestödsverksamheten

lämnats i ett ärende i studiestöds-

eller behövs

för handläggningen

verksamheten

eller

behövs

för

av ett sådant ärende, eller för

handläggningen av

ett

sådant

ändamål som avses i 4 § första

ärende, eller för ändamål som av-

stycket 6 och andra stycket.

 

ses i 4 § första stycket 6 och andra

 

 

 

 

stycket.

 

 

 

 

38

2. uppgifter som avser lagöver- trädelser som innefattar brott, domar i brottmål, straffpro- cessuella tvångsmedel eller admi- nistrativa frihetsberövanden,
3. uppgifter som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott, eller
4. uppgift om att det allmänna

SOU 2017:49

Författningsförslag

7 §

Trots 4 § första stycket får personuppgifter behandlas i Centrala studiestödsnämndens studiestödsverksamhet med den registrerades samtycke. Uppgifter som avses i 6 § får behandlas för andra ändamål än som anges i paragrafen bara med den registrerades uttryckliga samtycke.

Uppgifter som behandlas med samtycke enligt första stycket får också behandlas enligt 4 § andra stycket.

I de fall då behandling av per- sonuppgifter i Centrala studiestöds- nämndens studiestödsverksamhet bara är tillåten när den registrerade har lämnat sitt samtycke, har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Yt- terligare personuppgifter om den registrerade får därefter inte be- handlas.

8 § Som sökbegrepp får inte användas

1. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,

2. genetiska uppgifter, biomet- riska uppgifter för att entydigt identifiera en fysisk person, upp- gifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexu- ella läggning,

3. uppgifter som avser lagöver- trädelser som innefattar brott, domar i brottmål, straffpro- cessuella tvångsmedel eller admi- nistrativa frihetsberövanden,

4. uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott, eller

5. uppgift om att det allmänna

39

Författningsförslag SOU 2017:49

helt eller till en väsentlig del

helt eller till en väsentlig del

bekostat en persons uppehälle.

bekostat en persons uppehälle.

Vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sökbegrepp som anges i första stycket användas. Som sökbegrepp får också användas upp- gifter som rör

1.hälsa för att ge behörig personal elektronisk tillgång till på- gående ärenden där sjukdom har betydelse, och

2.inkomst och förmögenhet för att ge behörig personal elektro- nisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.

16 §

Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska person- uppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha bety- delse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras för- rän de inte längre kan ha sådan betydelse.

Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gall-

ras senast ett år efter det att uppgifterna registrerades.

 

Regeringen eller den myn-

Regeringen eller den myn-

dighet som regeringen bestäm-

dighet som regeringen bestäm-

mer får meddela föreskrifter om

mer får meddela föreskrifter om

att

personuppgifter får

bevaras

att personuppgifter

får bevaras

för

historiska, statistiska

eller

för arkivändamål av allmänt in-

vetenskapliga

ändamål eller

för

tresse, vetenskapliga eller historiska

redovisningsändamål,

även

om

forskningsändamål eller statistiska

föreskrifterna kommer att avvika

ändamål eller för redovisnings-

från

första

stycket.

Centrala

ändamål, även om föreskrifterna

studiestödsnämnden

får

också,

kommer att avvika från första

trots första stycket, i enstaka fall

stycket.

Centrala

studiestöds-

besluta att personuppgifterna i ett

nämnden

får också,

trots första

40

SOU 2017:49

Författningsförslag

ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.

stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på pap- per eller annat medium som inte är elektroniskt.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter gäller fortfarande för ärenden hos Data- inspektionen eller Centrala studiestödsnämnden som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.

3.Äldre föreskrifter gäller fortfarande för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.

4.Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.

41

Författningsförslag

SOU 2017:49

1.4Förslag till

lag om ändring i skollagen (2010:800)

Härigenom föreskrivs att det i skollagen (2010:800) ska införas ett nytt kapitel, 28 a kap., av följande lydelse.

28 a kap. Behandling av personuppgifter

1 § Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som utförs med stöd av denna lag eller föreskrifter som meddelats med stöd av lagen och de bestämmelser för utbildningen som kan finnas i andra författningar samt beslut som meddelats med stöd av dessa av

1.en huvudman inom skolväsendet enligt 2 kap.,

2.en hemkommun enligt denna lag, eller

3.en aktör enligt 24 och 25 kap.

Förhållandet till annan dataskyddsreglering

2 § Bestämmelserna i detta kapitel kompletterar Europaparlamen- tets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av per- sonuppgifter och om det fria flödet av sådana uppgifter och om upp- hävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter, om inte annat följer av bestämmelserna i detta kapitel eller föreskrifter som har meddelats med stöd av 9 § tredje stycket eller 10 § eller lagen med kompletterande bestämmelser till EU:s dataskyddsför- ordning.

Detta kapitel ska inte tillämpas på vårdgivares behandling av per- sonuppgifter inom hälso- och sjukvården eller Kriminalvårdens verk- samhet enligt 24 kap. 10 §.

42

SOU 2017:49

Författningsförslag

Känsliga personuppgifter

3 § Känsliga personuppgifter får med stöd av artikel 9.2 g i data- skyddsförordningen behandlas av ett sådant organ som avses i 1 §

1.i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, eller

2.om uppgifterna har lämnats till organet och behandlingen krävs enligt lag.

4 § I grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna får med stöd av artikel 9.2 g i dataskydds- förordningen uppgifter om hälsa behandlas om det är nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Vad som föreskrivs i första stycket gäller även

1.i gymnasieskolan med Rh-anpassad utbildning,

2.i utbildning i gymnasieskolan för elever som är döva, hörsel- skadade eller dövblinda eller har en språkstörning,

3.i fristående förskoleklass som begränsats till att avse elever som är i behov av särskilt stöd för sin utveckling enligt 9 kap. 17 §,

4.i fristående grundskola som begränsats till att avse elever som är i behov av särskilt stöd enligt 10 kap. 35 § 2, och

5.i fristående gymnasieskola som begränsats till att avse elever som är i behov av särskilt stöd enligt 15 kap. 33 § 1.

5 § I sameskolan får med stöd av artikel 9.2 g i dataskyddsför- ordningen uppgifter om etniskt ursprung behandlas om det är nöd- vändigt för ändamålet med behandlingen och behandlingen inte inne- bär ett otillbörligt intrång i den registrerades personliga integritet.

6 § En hemkommun får med stöd av artikel 9.2 g i dataskydds- förordningen behandla uppgifter om hälsa om det är nödvändigt för handläggningen av

1.ett ärende om mottagande i grundsärskolan enligt 7 kap. 5 § andra stycket,

2.ett ärende om en sökande tillhör målgruppen för gymnasie- särskolan enligt 18 kap. 5 §, eller

3.ett ärende om tilläggsbelopp för en elev som har ett omfat- tande behov av särskilt stöd.

43

Författningsförslag

SOU 2017:49

För att behandlingen enligt första stycket ska vara tillåten krävs dessutom att den inte innebär ett otillbörligt intrång i den regi- strerades personliga integritet.

7 § En hemkommun får med stöd av artikel 9.2 g i dataskydds- förordningen behandla uppgifter om etniskt ursprung och hälsa i form av elevens namn, personnummer, samordningsnummer, adress och vårdnadshavare om det är nödvändigt för att fullgöra skyldig- heter enligt 7 kap. 21 §.

8 § Utöver vad som följer av 3–7 §§ får ett organ som avses i 1 § behandla känsliga personuppgifter med stöd av artikel 9.2 g i data- skyddsförordningen i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

9 § Vid behandling enligt 3–8 §§ får sökbegrepp som avslöjar käns- liga personuppgifter inte användas.

Förbudet i första stycket gäller inte användning av sökbegrepp som avslöjar

1.hälsa i de utbildningsformer som anges i 4 §,

2.etniskt ursprung i sameskolan som anges i 5 §,

3.hälsa i hemkommunen i ärenden som anges i 6 §, och

4.hälsa eller etniskt ursprung i form av namn, personnummer, samordningsnummer och adress i hemkommunen som anges i 7 §.

Regeringen får meddela föreskrifter om begränsningar av möjlig- heten att använda de sökbegrepp som anges i andra stycket.

10 § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbild- ning enligt denna lag eller föreskrifter som har meddelats med stöd av denna lag.

44

SOU 2017:49

Författningsförslag

Personuppgifter som rör lagöverträdelser

11 § Fristående skolor får behandla personuppgifter som rör fäl- lande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel

1.i elevhälsan i löpande text om det är absolut nödvändigt för ändamålet med behandlingen, och

2.i skriftlig dokumentation som ska föras enligt 5 kap. 24 § om det är absolut nödvändigt för ändamålet med behandlingen.

Denna lag träder i kraft den 25 maj 2018.

45

Författningsförslag

SOU 2017:49

1.5Förslag till

förordning om sökbegränsningar vid personuppgiftsbehandling i vissa utbildningsformer och i hemkommunen

Härigenom föreskrivs följande.

1 § I denna förordning finns kompletterande bestämmelser till

28 a kap. 9 § skollagen (2010:800).

2 § Vid personuppgiftsbehandling i de utbildningsformer som anges i 28 a kap. 4 och 5 §§ skollagen (2010:800) får endast följande sökbegrepp användas

1.namn,

2.personnummer, samordningsnummer eller födelsedatum,

3.klassbeteckning,

4.skolenhet, och

5.hemkommun.

3 § Vid personuppgiftsbehandling som sker med stöd av 28 a kap. 6 § skollagen (2010:800) i hemkommunen får endast följande sök- begrepp användas

1.elevens namn,

2.personnummer, samordningsnummer eller födelsedatum,

3.adress,

4.skolenhet, och

5.diarienummer.

Denna förordning träder i kraft den 25 maj 2018.

46

SOU 2017:49

Författningsförslag

1.6Förslag till

förordning om ändring i förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor

Härigenom föreskrivs i fråga om förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor

dels att 1 kap. 4–6 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 1 kap. 1, 4, 5 och 6 §§ ska utgå, dels att 1 kap. 1 §, 2 kap. 1 och 5 a §§ samt 4 kap. 3 § ska ha föl-

jande lydelse,

dels att det i förordningen ska införas en ny paragraf, 1 kap. 1 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 kap.

1 §1

I denna förordning finns det bestämmelser om

1.registrering av uppgifter om studier inom utbildning på grund- nivå, avancerad nivå och forskarnivå vid statliga universitet och högskolor (2 kap.),

2.rapportering av uppgifter till Statistiska centralbyrån (SCB) om studenter för officiell statistik (3 kap.),

3.framställning av personalstatistik vid SCB (3 kap.), och

4.registrering av uppgifter om studie- och yrkesmeriter vid Uni- versitets- och högskolerådet (4 kap.).

Denna förordning gäller ut-

Denna

förordning gäller vid

över

personuppgiftslagen

helt eller

delvis automatiserad

(1998:204) vid helt eller delvis

behandling av personuppgifter.

automatiserad

behandling av

 

 

personuppgifter.

 

 

Ett universitet, en högskola, SCB och Universitets- och högskole- rådet är personuppgiftsansvariga för behandling av personuppgifter i sin verksamhet.

1 Senaste lydelse 2012:713.

47

Författningsförslag

SOU 2017:49

1 a §

Denna förordning kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning), nedan kallad data- skyddsförordningen.

Lagen (2018:xx) med komplet- terande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter en- ligt denna förordning, om inte annat följer av denna förordning eller föreskrifter som har meddelats med stöd av lagen med kom- pletterande bestämmelser till EU:s dataskyddsförordning.

2 kap.

1 §2

Varje högskola ska dokumentera uppgifter om studenter.

Varje högskola ska föra ett studieregister och där ange uppgifterna individuellt för varje student. Registret får föras med hjälp av auto- matiserad behandling.

En högskola ska upprätthålla en god intern kontroll över registret, och det ska finnas en beskrivning av hur registret förs.

Om en högskola avser att införa ett nytt system för att föra registret eller göra väsentliga förändringar i ett befintligt system, ska högskolan samråda dels med Ekonomistyrningsverket i syfte att säkerställa att de uppgifter i registret som ligger till grund för resurs-

2 Senaste lydelse 2012:713.

48

SOU 2017:49

Författningsförslag

tilldelningen blir tillförlitliga, dels med Universitetskanslersämbetet och Universitets- och högskolerådet i syfte att säkerställa att uppgif- terna i registret uppfyller krav på kvalitet och jämförbarhet mellan olika högskolor.

 

 

 

5 a §3

En

högskola

får behandla

En högskola får behandla

känsliga personuppgifter som av-

känsliga personuppgifter som av-

ses i

13 §

personuppgiftslagen

ses i artikel 9.1 i dataskydds-

(1998:204) i

antagningsärenden,

förordningen i antagningsärenden,

om den enskilde har lämnat sam-

om den enskilde har lämnat sam-

tycke till detta.

 

tycke till detta.

 

 

 

4 kap.

 

 

 

3 §4

Universitets- och högskole-

Universitets- och högskole-

rådet får behandla känsliga per-

rådet får behandla känsliga per-

sonuppgifter

som

avses i 13 §

sonuppgifter som avses i artikel

personuppgiftslagen

(1998:204) i

9.1 i dataskyddsförordningen i an-

antagningsärenden, om den en-

tagningsärenden, om den enskilde

skilde har lämnat samtycke till

har lämnat samtycke till det.

det.

 

 

 

 

1.Denna förordning träder i kraft den 25 maj 2018.

2.Äldre föreskrifter gäller fortfarande för ärenden hos Data- inspektionen, en högskola, SCB eller Universitets- och högskole- rådet som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.

3.Äldre föreskrifter gäller fortfarande för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.

4.Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.

3Senaste lydelse 2005:665.

4Senaste lydelse 2012:713.

49

Författningsförslag

SOU 2017:49

1.7Förslag till

förordning om ändring i förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar

Härigenom föreskrivs i fråga om förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas akti- vitetsansvar för ungdomar

dels att 6 § ska upphöra att gälla,

dels att rubriken närmast före 6 § ska utgå,

dels att 2 och 5 §§, samt rubriken närmast före 2 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

 

 

 

Förhållandet till personupp-

Förhållandet till annan data-

giftslagen

skyddsreglering

 

 

 

2 §5

 

 

 

 

Personuppgiftslagen (1998:204)

Denna förordning kompletterar

gäller vid den behandling av per-

Europaparlamentets

och

rådets

sonuppgifter som en kommun vid-

förordning (EU) 2016/679 av den

tar i sin verksamhet enligt 29 kap.

27 april 2016 om skydd för fysiska

9 § skollagen (2010:800) om inte

personer med avseende på behand-

annat följer av denna förordning.

ling av personuppgifter och om det

 

fria flödet av sådana uppgifter och

 

om upphävande

av

direktiv

 

95/46/EG

(allmän

dataskydds-

 

förordning), nedan kallad data-

 

skyddsförordningen.

 

 

 

 

Lagen (2018:xx) med komplet-

 

terande bestämmelser till

EU:s

 

dataskyddsförordning

gäller

vid

 

behandling

av personuppgifter

 

enligt denna förordning, om inte

 

annat följer av denna förordning

 

eller föreskrifter som har meddelats

5 Senaste lydelse 2011:530.

50

Personuppgifter som omfattas av artikel 9.1 i dataskyddsför- ordningen och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffpro- cessuella tvångsmedel eller admi- nistrativa frihetsberövanden får inte behandlas.

SOU 2017:49

Författningsförslag

med stöd av denna förordning eller med stöd av lagen med komplet- terande bestämmelser till EU:s dataskyddsförordning.

5 §

Personuppgifter som omfat- tas av 13 och 21 §§ personupp- giftslagen (1998:204) får inte behandlas.

1.Denna förordning träder i kraft den 25 maj 2018.

2.Äldre föreskrifter gäller fortfarande för ärenden hos Datain- spektionen eller en kommun som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraft- trädandet.

3.Äldre föreskrifter gäller fortfarande för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.

4.Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.

51

Riksarkivet får meddela före- skrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål samt för redo- visningsändamål, även om före- skrifterna kommer att avvika från bestämmelserna om gallring i 16 § första stycket studiestödsdata- lagen (2009:287). Riksarkivet ska inför beslut om att meddela före- skrifter samråda med Datainspek- tionen.

Författningsförslag

SOU 2017:49

1.8Förslag till

förordning om ändring

i studiestödsdataförordningen (2009:321)

Härigenom föreskrivs att 16 § studiestödsdataförordningen (2009:321) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

16 §

Riksarkivet får meddela före- skrifter om att personuppgifter får bevaras för historiska, statis- tiska och vetenskapliga ändamål samt för redovisningsändamål, även om föreskrifterna kommer att avvika från bestämmelserna om gallring i 16 § första stycket studiestödsdatalagen (2009:287). Riksarkivet ska inför beslut om att meddela föreskrifter samråda med Datainspektionen.

Denna förordning träder i kraft den 25 maj 2018.

52

Denna förordning kompletterar
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning), nedan kallad data- skyddsförordningen.
Lagen (2018:xx) med komplet- terande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter en- ligt denna förordning, om inte annat följer av denna förordning eller föreskrifter som har meddelats med stöd av lagen med komplet- terande bestämmelser till EU:s dataskyddsförordning.
53

SOU 2017:49

Författningsförslag

1.9Förslag till

förordning om ändring i förordningen (2011:268) om lärar- och förskollärarregister

Härigenom föreskrivs i fråga om förordningen (2011:268) om lärar- och förskollärarregister

dels att 11 § ska upphöra att gälla,

dels att rubriken närmast före 11 § ska utgå, dels att 2, 6 och 10 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 §

Personuppgiftslagen (1998:204) gäller vid behandlingen av person- uppgifter i registret om inte annat följer av denna förordning.

Författningsförslag

SOU 2017:49

6 §6

Personuppgifterna i registret får, utöver det som anges i 5 §, behandlas om det behövs för att

1.handlägga ärenden om legitimation enligt 2 kap. 16 § skol- lagen (2010:800), enligt föreskrifter som har meddelats med stöd av 2 kap. 16 b § andra stycket skollagen eller enligt 27 kap. 4 § skol- lagen,

2.lämna uppgifter till utländska myndigheter i enlighet med för- ordningen (2016:157) om erkännande av yrkeskvalifikationer,

3.utöva tillsyn av skolväsendet och dess personal, och

4.kontrollera identitet och behörighet i samband med tjänste- tillsättning av lärare och förskollärare.

Personuppgifterna i registret får också behandlas för att full- göra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Personuppgifterna i registret får också behandlas för att full- göra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Att personuppgifter som be- handlas för ändamål som anges i första och andra styckena och 5 § även får behandlas för andra ända- mål framgår av artikel 5.1 b i data- skyddsförordningen.

10 §

Statens skolverk ska på lämp-

Statens skolverk ska utöver

ligt sätt informera den registrerade

vad som följer av dataskyddsför-

om registret. Informationen ska ge

ordningen informera den registre-

upplysning om vem som är person-

rade om vilken typ av uppgifter

uppgiftsansvarig och redovisa

som registret får innehålla och ge

ändamålet med registret och vilken

upplysning om

typ av uppgifter som registret får

 

innehålla samt ge upplysning om

 

6 Senaste lydelse 2016:184.

54

2. rätten att få information enligt dataskyddsförordningen,
3. rätten till skadestånd vid behandling av personuppgifter i strid med denna förordning och dataskyddsförordningen,

SOU 2017:49

Författningsförslag

1. de sekretess- och säkerhetsbestämmelser som gäller för regist- ret,

2. rätten att få information och rättelse enligt personuppgiftslagen (1998:204),

3. rätten till skadestånd vid behandling av personuppgifter i strid med denna förordning och personuppgiftslagen,

4.vad som gäller i fråga om sökbegrepp, direktåtkomst och utläm- nande av uppgifter på medium för automatiserad behandling, och

5.om registreringen är frivillig eller inte.

1.Denna förordning träder i kraft den 25 maj 2018.

2.Äldre föreskrifter gäller fortfarande för ärenden hos Data- inspektionen eller Statens skolverk som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.

3.Äldre föreskrifter gäller fortfarande för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.

4.Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.

55

Författningsförslag

SOU 2017:49

1.10Förslag till

förordning om ändring i förordningen (2012:811) med instruktion för Universitets- och högskolerådet

Härigenom föreskrivs att det i förordningen (2012:811) med instruktion för Universitets- och högskolerådet ska införas en ny paragraf, 2 a §, av följande lydelse.

2 a § För de ändamål som anges i 2 § första stycket 1 ska myndig- heten med hjälp av automatiserad behandling föra ett register över uppgifter om elevers slutbetyg, examensbevis eller motsvarande från gymnasieskolan och den kommunala vuxenutbildningen på gymnasial nivå.

Uppgifterna i registret ska lämnas till statistikansvarig myndighet för skolväsendet eller till den myndighet eller det organ som den sta- tistikansvariga myndigheten bestämmer.

Denna förordning träder i kraft den 25 maj 2018.

56

SOU 2017:49

Författningsförslag

1.11Förslag till

förordning om ändring i förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar

Härigenom föreskrivs i fråga om förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar

dels att det ska införas fyra nya paragrafer, 39 a–39 d §§, samt när- mast före 39 a § en ny rubrik av följande lydelse,

dels att 40 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

 

 

 

Behandling av personuppgifter

 

39 a §

 

 

 

 

 

Bestämmelserna i 39 b–39 d §§

 

kompletterar

Europaparlamentets

 

och

rådets

förordning (EU)

 

2016/679 av den 27 april 2016 om

 

skydd för fysiska personer med av-

 

seende på behandling av person-

 

uppgifter och om det fria flödet av

 

sådana uppgifter och om upp-

 

hävande

av

direktiv

95/46/EG

 

(allmän

dataskyddsförordning),

 

nedan

kallad dataskyddsförord-

 

ningen.

 

 

 

 

 

Lagen (2018:xx) med komplet-

 

terande

bestämmelser

till

EU:s

 

dataskyddsförordning

gäller

vid

 

utbildningsanordnares

behandling

 

av personuppgifter, om inte annat

 

följer

av

39

b–39 d §§

eller

före-

 

skrifter som har meddelats med

 

stöd av lagen med kompletterande

bestämmelser till EU:s dataskydds- förordning.

57

Författningsförslag

SOU 2017:49

39 b §

Känsliga personuppgifter får med stöd av artikel 9.2 g i data- skyddsförordningen behandlas av en utbildningsanordnare

1. i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, eller

2. i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behand- lingen inte innebär ett otillbörligt intrång i den registrerades person- liga integritet.

39 c §

Personuppgifter som rör fällan- de domar i brottmål får behandlas av en utbildningsanordnare i löpande text i ett ärende om av- skiljande av studerande från ut- bildning, om det är absolut nöd- vändigt för ändamålet med be- handlingen och om intresset av att skydda andra personer och värde- full egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära.

39 d §

Vid behandling enligt 39 b och 39 c §§ får en utbildningsanord- nare inte använda sökbegrepp som avslöjar känsliga personupp- gifter eller uppgifter som rör fäl- lande domar i brottmål.

58

SOU 2017:49 Författningsförslag

40 §

Myndigheten för yrkeshögskolan får meddela föreskrifter om

1. utbildningsplaner och kursplaner,

 

 

 

 

2. betyg, intyg och

utbild-

2. betyg,

intyg

och

utbild-

ningsbevis, och

 

ningsbevis,

 

 

 

 

 

3. att den ansvariga

utbild-

 

 

ningsanordnaren ska lämna upp-

 

 

gifter till myndigheten om de stude-

 

 

rande

och

deras

studieresultat,

 

 

betyg,

intyg

och utbildningsbevis

 

 

samt på vilket sätt och när upp-

 

 

gifterna ska lämnas, och

 

3. verkställigheten av

denna

4. verkställigheten av

denna

förordning.

 

förordning.

 

 

 

Denna förordning träder i kraft den 25 maj 2018.

59

2Utredningens uppdrag och arbete

2.1Uppdraget

Utredningens uppdrag har varit att för utbildningsområdet, med undantag för forskningsverksamhet, föreslå regleringar för behand- ling av personuppgifter som ska komplettera dataskyddsförord- ningen och den generella reglering som Dataskyddsutredningen (Ju 2016:04, dir. 2016:15) haft i uppdrag att föreslå.

I kommittédirektiven anges även att utredningen ska analysera om det utöver dessa regleringar finns behov av kompletterande regler- ingar för behandling av känsliga personuppgifter inom utbildnings- området. Utredningen ska också analysera behovet av reglering för vissa särskilt angivna register och vilka ändringar som behöver göras i vissa särskilt angivna författningar.

Den reglering som föreslås ska möjliggöra en ändamålsenlig behandling av personuppgifter inom utbildningsområdet samtidigt som den skyddar den enskildes fri- och rättigheter.

Utredningens direktiv finns i bilaga 1.

2.2Avgränsning

Utredningens uppdrag har spänt över ett heterogent område – utbild- ningsområdet såsom det angetts i kommittédirektiven – samtidigt som den i direktiven givna tidsramen måste hållas. För att kunna hålla tidsramen har utredningen ansett det nödvändigt att tolka uppdraget tämligen strikt. Utredningen har därför inte, med något undantag, tagit sig an uppgifter som inte klart framgår av de direktiv som läm- nats.

61

Utredningens uppdrag och arbete

SOU 2017:49

Som angetts ovan har utredningens uppdrag varit att för utbild- ningsområdet utreda och föreslå de nödvändiga anpassningar av nationell rätt som dataskyddsförordningen och den generella regler- ing som Dataskyddsutredningen haft i uppdrag att föreslå ger anled- ning till. Syftet är att utbildningsanordnarna även fortsättningsvis ska kunna utföra nödvändiga behandlingar av personuppgifter om barnen i förskolan, eleverna i t.ex. grundskolan, gymnasieskolan och kom- munal vuxenutbildning, studenterna i högskola och universitet, studerande i t.ex. folkhögskola, yrkeshögskola, konst- och kultur- utbildningar samt deltagarna i studiecirklar och annan folkbildnings- verksamhet. Den personuppgiftsbehandling som behöver vidtas med anledning av att utbildningsanordnaren även är arbetsgivare omfattas inte av direktiven.

Enligt utredningens bedömning omfattas vidare inte heller den personuppgiftsbehandling som sker vid statliga myndigheter vars verksamhet anknyter till utbildningsområdet, t.ex. Statens skolinspek- tion, Statens skolverk och Universitets- och högskolerådet (UHR), av direktiven, annat än i de fall det särskilt har angivits att utredningen ska analysera behovet av reglering av särskilda register som förs av en myndighet eller behovet av anpassningar av författningar som styr en myndighets personuppgiftsbehandling. Beträffande dessa aktörers personuppgiftsbehandling har dock utredningen funnit anledning att övergripande analysera deras möjligheter att behandla personupp- gifter sett i ljuset av dataskyddsförordningen och den av Dataskydds- utredningen föreslagna lagen (2018:xx) med kompletterande bestäm- melser till EU:s dataskyddsförordning (se avsnitt 12).

Utredningen har strävat efter att sådan personuppgiftsbehandling som är tillåten i dagsläget i möjligaste mån ska kunna fortsätta. Ut- redningens arbete har således inte syftat till att vare sig utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring.

Utredningen har inte haft i uppdrag att analysera eller beskriva vilka förändringar som dataskyddsförordningen i sig innebär för utbildningsanordnarnas (personuppgiftsansvarigas) möjligheter att behandla och skyldigheter att skydda personuppgifter. Det har inte heller varit utredningens uppgift att bedöma konsekvenserna av data- skyddsförordningens bestämmelser eller av de förändringar som dessa innebär för utbildningsområdet.

62

SOU 2017:49

Utredningens uppdrag och arbete

2.3Utredningsarbetet

Arbetet påbörjades i juli 2016. Som framgår ovan av beskrivningen av utredningens uppdrag har utredningen varit beroende av Dataskydds- utredningens bedömningar och förslag. Något färdigt betänkande från Dataskyddsutredningen har dock inte förelegat i sådan tid under utredningens arbete att det kunnat beaktas. När det i betänkandet hänvisas till Dataskyddsutredningens bedömningar och förslag är det således till de preliminära texter som utredningen getts möjlighet att ta del av och lämna synpunkter på under hand. Utredningsarbetet har annars bedrivits på sedvanligt sätt med regelbundna expert- gruppssammanträden. Utredningen har haft fem sammanträden med sakkunnig och experter. Utredningsarbetet har även i övrigt bedrivits i nära samarbete med experterna.

Under hösten 2016 har 13 möten hållits med företrädare för myn- digheter och andra organisationer för att inhämta kunskap om den personuppgiftsbehandling som sker inom utbildningsområdet. Enskilda möten har hållits med respektive Datainspektionen, Statens skolinspektion, Folkbildningsrådet, Statens skolverk, Friskolornas riksförbund, Sveriges Kommuner och Landsting, Statistiska central- byrån (SCB), Myndigheten för yrkeshögskolan, Sameskolstyrelsen, Specialpedagogiska skolmyndigheten och Centrala studiestödsnämn- den. Ett gemensamt möte har hållits med företrädare för UHR och Ladokkonsortiet. Vidare har ytterligare ett gemensamt möte med företrädare för UHR, Ladokkonsortiet, Sveriges universitets- och högskoleförbund och Datainspektionen hållits.

Under våren 2017 har ett gemensamt möte med företrädare för UHR och Statens skolverk hållits. Vidare har texter med utredning- ens bedömningar och förslag beretts med Universitetskanslers- ämbetet, SCB och Sameskolstyrelsen.

Parallellt med utredningen har ett flertal andra utredningar också haft i uppdrag att anpassa svensk rätt till dataskyddsreformen. Utred- ningen tog tillsammans med Forskningsdatautredningen (U 2016:04) initiativ till att en informell samordningsgrupp bildades i september 2016. I den informella samordningsgruppen har även bl.a. Data- skyddsutredningen och Utredningen om 2016 års dataskyddsdirek- tiv (Ju 2016:06) ingått. Under utredningstiden har det hållits tio möten i denna samordningsgrupp.

63

Utredningens uppdrag och arbete

SOU 2017:49

Utredningen har även samrått med Integritetskommittén (Ju 2014:09).

64

3 Bakgrund

3.1Dataskydd i allmänhet

I dagens samhälle behandlas stora mängder personuppgifter elektro- niskt av både privata och offentliga aktörer. Det är nödvändigt för att företag ska kunna bedriva en konkurrenskraftig affärsverksamhet och för att offentliga organ ska kunna utföra sina uppdrag på ett effektivt och rättssäkert sätt. Denna hantering är dock förenad med påtagliga risker. Om de personuppgifter som samlats in utnyttjas för andra syften än avsett eller annars behandlas på ett otillbörligt sätt, eller om uppgifterna på grund av säkerhetsbrister hamnar i fel hän- der, kan det leda till allvarlig skada för enskildas personliga integritet. För att skydda enskildas integritet har det därför ansetts finnas ett behov av bestämmelser som begränsar hur, när och varför person- uppgifter får behandlas och som reglerar hur otillåten behandling ska förhindras och beivras.

Det finns flera internationella överenskommelser som innehåller reglering till skydd för den personliga integriteten. En kortfattad genomgång av den övergripande rättsliga regleringen till skydd för den personliga integriteten i den mån denna reglering är av relevans med avseende på behandling av personuppgifter finns i Dataskydds- utredningens betänkande Ny dataskyddslag – Kompletterande be- stämmelser till EU:s dataskyddsförordning, SOU 2017:39, avsnitt 3.2 Internationella överenskommelser.

65

Bakgrund

SOU 2017:49

3.2Dataskydd i svensk rätt

3.2.1Regeringsformen

Grundläggande bestämmelser till skydd för den personliga integrite- ten finns i regeringsformen. I 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt för bl.a. den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv.

Enligt 2 kap. 6 § andra stycket regeringsformen, som trädde i kraft den 1 januari 2011, är var och en gentemot det allmänna skyd- dad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

Skyddet mot integritetsintrång kan dock enligt 2 kap. 20 § första stycket 2 regeringsformen begränsas genom lag. Det krävs därmed särskilt författningsstöd för åtgärder från det allmännas sida som innefattar betydande intrång i den personliga integriteten, om in- trånget sker utan samtycke och innebär övervakning eller kartlägg- ning av den enskildes personliga förhållanden.

I förarbetena till 2 kap. 6 § andra stycket regeringsformen utta- las bl.a. följande (prop. 2009/10:80 s. 250).

Vid bedömning av vilka åtgärder som kan anses utgöra ett ”betydande intrång” ska både åtgärdens omfattning och arten av det intrång åtgär- den innebär beaktas. Även åtgärdens ändamål och andra omständigheter kan ha betydelse vid bedömningen. Bestämmelsen omfattar endast såda- na intrång som på grund av åtgärdens intensitet eller omfattning eller av hänsyn till uppgifternas integritetskänsliga natur eller andra omstän- digheter innebär ett betydande ingrepp i den enskildes privata sfär.

3.2.2Dataskyddsdirektivets genomförande

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avse- ende på behandling av personuppgifter och om det fria flödet av så- dana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garan- tera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av

66

SOU 2017:49

Bakgrund

personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204, PUL). Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgiftslagen kompletteras av bestämmelser i personuppgifts- förordningen (1998:1191). Dataskyddsutredningens betänkande SOU 2017:39 innehåller en utförligare beskrivning av personupp- giftslagen, se avsnitt 3.4.2.

3.3EU:s dataskyddsförordning

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning). I dagligt tal används ofta den vedertagna förkortningen, GDPR. Dataskyddsutredningen har dock valt att i sitt betänkande benämna den nya rättsakten dataskyddsförordningen. Utredningen har därför valt att göra detsamma.

Dataskyddsförordningen kommer från och med den 25 maj 2018 att ersätta det nuvarande dataskyddsdirektivet och utgöra grunden för generell personuppgiftsbehandling inom EU. Enligt artikel 288 andra stycket i Fördraget om Europeiska unionens funktionssätt ska en EU-förordning ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat. Till skillnad från EU-direk- tiv ska alltså förordningar inte implementeras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmel- ser. Detta innebär att dataskyddsförordningen är direkt tillämplig.

Även om dataskyddsförordningen är direkt tillämplig i medlems- staterna, till skillnad från dataskyddsdirektivet, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär. I skäl 8 till förordningen an- ges också att om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas natio-

67

Bakgrund

SOU 2017:49

nella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av den- na förordning i nationell rätt.

Dataskyddsutredningen beskriver i sitt betänkande SOU 2017:39 dataskyddsförordningens syfte, tillämpningsområde och sakliga för- ändringar med förordningen, se avsnitt 4.2.1–4.2.3.

3.4Utgångspunkten är Dataskyddsutredningens förslag

Utredningen har fått i uppdrag att undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom utbildningsområ- det, med undantag för forskningsverksamhet, som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå. Utredningen har således att utgå från den generella reglering som Dataskyddsutred- ningen kommer att föreslå och de bedömningar den utredningen gör. Något färdigt betänkande från Dataskyddsutredningen har dock inte förelegat i sådan tid under utredningens arbete att det kunnat beaktas. När det i det följande hänvisas till Dataskyddsutredningens bedömningar och förslag är det således till de preliminära texter som utredningen getts möjlighet att ta del av och lämna synpunkter på under hand.

Här nedan redovisas i korthet relevanta delar av Dataskydds- utredningens förslag till nytt svenskt regelverk för dataskydd.

3.4.1Dataskyddsutredningens förslag i korthet

Dataskyddsutredningen föreslår att en lag, lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (data- skyddslagen), med tillhörande förordning, som kompletterar data- skyddsförordningen på ett generellt plan, ska träda i kraft den 25 maj 2018 samtidigt som personuppgiftslagen och personuppgiftsförord- ningen ska upphävas. Sektorsspecifika författningsbestämmelser om behandling av personuppgifter ska ha företräde framför den nya lagen.

68

SOU 2017:49

Bakgrund

Rättslig grund för behandling av personuppgifter

I artikel 5 i dataskyddsförordningen anges ett antal principer för be- handling av personuppgifter, bl.a. att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (5.1 a). Vad som krävs för att en behandling ska vara laglig framgår av artikel 6. Enligt artikel 6.1 är behandling endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)Den registrerade har lämnat sitt samtycke till att dennes person- uppgifter behandlas för ett eller flera specifika ändamål.

b)Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)Behandlingen är nödvändig för att fullgöra en rättslig förpliktel- se som åvilar den personuppgiftsansvarige.

d)Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e)Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndig- hetsutövning.

f)Behandlingen är nödvändig för ändamål som rör den person- uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Artikel 6.1 i dataskyddsförordningen motsvarar i stora drag artikel 7 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 10 § PUL. Den största skillnaden är att det enligt förordningen inte är tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan den person- uppgiftsansvariges berättigade intressen och den registrerades rättig- heter och intressen (jfr 10 § f PUL). Den möjligheten kvarstår där- emot för privata aktörer som behandlar personuppgifter. I andra stycket av artikel 6.1 anges nämligen att led f i första stycket inte ska

69

Bakgrund

SOU 2017:49

gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

Som framgår ovan måste en behandling av personuppgifter vara nödvändig för att den ska vara tillåten enligt artikel 6.1 b–f. I EU- domstolens dom i målet Huber mot Tyskland (mål C-524/06), som rörde tolkningen av nödvändighetsrekvisitet i artikel 7 e i data- skyddsdirektivet, uttalade EU-domstolen att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämp- ningen av relevanta bestämmelser. Dataskyddsutredningen anser att domen bör kunna utgöra stöd även vid tolkningen av dataskyddsför- ordningen. Även om exempelvis en uppgift av allmänt intresse skulle kunna utföras utan behandling av personuppgifter, kan behandlingen alltså ur ett unionsrättsligt perspektiv anses vara nödvändig och där- med tillåten enligt artikel 6, om behandlingen leder till effektivitets- vinster (SOU 2017:39, avsnitt 8.2.2).

Uppräkningen i artikel 6.1 är uttömmande. Om inget av dessa villkor är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behand- ling. Den omständigheten att behandlingen är laglig enligt artikel 6.1, dvs. att den är rättsligt grundad, innebär inte att behandling kan ske av vilka uppgifter som helst eller på valfritt sätt. Den personupp- giftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen, t.ex. de allmänna principerna i artikel 5.

I utredningens direktiv anges att när dataskyddsförordningen ska börja tillämpas kommer möjliga grunder för behandling av person- uppgifter inom utbildningsområdet huvudsakligen att vara att den registrerade har lämnat sitt samtycke till att hans eller hennes per- sonuppgifter behandlas för ett eller flera specifika ändamål (6.1 a) eller att behandlingen är nödvändig för att fullgöra en rättslig för- pliktelse (6.1 c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (6.1 e).

Av artikel 6.3 framgår att den grund för behandlingen som avses i 6.1 c och e ska fastställas i enlighet med unionsrätten eller en med- lemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Dataskyddsutredningen bedömer att med grunden för behand- lingen i artikel 6.1 c och e avses den rättsliga förpliktelsen, uppgiften

70

SOU 2017:49

Bakgrund

av allmänt intresse respektive myndighetsutövningen (SOU 2017:39, avsnitt 8.3.1).

Dataskyddsutredningen anser att det i dataskyddslagen ska finnas en bestämmelse som tydliggör att personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som gäller enligt lag eller annan författning eller som följer av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.2).

Vidare föreslås en bestämmelse som tydliggör att personuppgifter får behandlas om behandlingen är nödvändig som ett led i myndig- hetsutövning som den personuppgiftsansvarige utövar enligt lag eller annan författning (SOU 2017:39, avsnitt 8.3.3).

Slutligen föreslås en bestämmelse som tydliggör att personupp- gifter får behandlas om behandlingen är nödvändig för att den per- sonuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.4).

Barns samtycke

I artikel 8 i dataskyddsförordningen finns villkor som gäller barns samtycke till personuppgiftsbehandling vid erbjudande av informa- tionssamhällets tjänster direkt till ett barn. Enligt Dataskyddsutred- ningen omfattar begreppet informationssamhällets tjänster bl.a. olika sociala medier, t.ex. bloggar, internetforum, webbplatser för video- klipp, chattprogram och sociala nätverk. Även onlinespel och olika applikationer (appar) med spel eller annat innehåll kan omfattas av definitionen (SOU 2017:39, avsnitt 9.4.3).

I artikel 8.1 anges att om barnet är under 16 år ska sådan behand- ling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet. Data- skyddsförordningen tillåter att en lägre åldersgräns föreskrivs i med- lemsstaternas nationella rätt, dock lägst 13 år. Dataskyddsutred- ningen föreslår att barn som har fyllt 13 år själva ska kunna samtycka till personuppgiftsbehandling i samband med att informationssam- hällets tjänster erbjuds direkt till barn. Om barnet är under 13 år ska

71

Bakgrund

SOU 2017:49

sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet (SOU 2017:39, avsnitt 9.5).

Känsliga personuppgifter

I artikel 9 i dataskyddsförordningen regleras behandling av särskilda kategorier av personuppgifter. Enligt artikel 9.1 ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening och behandling av genetiska uppgifter, biometriska upp- gifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden. Dataskyddsutredningen anser att begreppet känsliga personuppgifter är ett tydligare begrepp för de uppgifter som omfat- tas av artikel 9.1 och har, eftersom begreppet även anses inarbetat på EU-nivå, valt att använda det istället (SOU 2017:39, avsnitt 10.2).

I artikel 9.2 finns ett antal undantag från förbudet i artikel 9.1. Vissa av bestämmelserna innehåller hänvisningar till medlemsstater- nas nationella rätt och innehåller också krav på någon form av skyddsåtgärder. Enligt Dataskyddsutredningens bedömning innebär kravet på stöd i nationell rätt att vissa av undantagen i sig bör före- skrivas i nationell rätt antingen i generell eller i sektorsspecifik regler- ing (SOU 2017:39, avsnitt 10.3).

Dataskyddsutredningen föreslår en bestämmelse i dataskydds- lagen som möjliggör behandling av känsliga personuppgifter om det är nödvändigt för att den personuppgiftsansvarige eller den registre- rade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten. Uppgifter ska få lämnas ut till tredje part bara om det finns en skyldighet inom arbetsrätten för den per- sonuppgiftsansvarige att göra det eller om den registrerade uttryck- ligen har samtyckt till utlämnandet (SOU 2017:39, avsnitt 10.5.2).

Dataskyddsutredningen föreslår även bestämmelser med särskilda undantag från förbudet mot behandling av känsliga personuppgifter för myndigheter (SOU 2017:39, avsnitt 10.6.2). Myndigheter ska få behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Vidare ska myndigheter och andra organ som omfattas av

72

SOU 2017:49

Bakgrund

offentlighetsprincipen få behandla känsliga personuppgifter om des- sa har lämnats till myndigheten eller organet och behandlingen krävs enligt lag. Dessutom ska myndigheter få behandla känsliga person- uppgifter i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt in- trång i den registrerades personliga integritet.

Ett förbud för myndigheter att använda sökbegrepp som avslö- jar känsliga personuppgifter föreslås, då behandlingen sker enbart med stöd av de nämnda undantagen.

Regeringen föreslås få meddela föreskrifter om ytterligare undan- tag från förbudet mot behandling av känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse.

Dataskyddsutredningen föreslår även bestämmelser som innebär att känsliga personuppgifter ska få behandlas för sådana ändamål relaterade till hälso- och sjukvård samt social omsorg som avses i dataskyddsförordningen, under förutsättning att förordningens krav på tystnadsplikt är uppfyllt (SOU 2017:39, avsnitt 10.7.2).

Personuppgifter som rör lagöverträdelser

Dataskyddsutredningen föreslår att behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel som huvudregel ska få utföras endast av myndigheter. Vissa bestämmelser som tillåter andra än myndigheter att behandla motsvarande uppgifter ska föras in i den kompletterande förordningen. I den kompletterande förord- ningen ska även Datainspektionen bemyndigas att meddela ytterli- gare föreskrifter och besluta om sådana behandlingar (SOU 2017:39, avsnitt 11.4).

Personnummer och samordningsnummer

Uppgifter om personnummer eller samordningsnummer föreslås ska få behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identi- fiering eller något annat beaktansvärt skäl. Regeringen ska få med- dela ytterligare föreskrifter om i vilka fall behandling av personnum- mer och samordningsnummer är tillåten (SOU 2017:39, avsnitt 12.4).

73

Bakgrund

SOU 2017:49

Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

Dataskyddsutredningen föreslår med stöd av artikel 23 i dataskydds- förordningen att skyldigheten att ge den registrerade information om och tillgång till de personuppgifter som behandlas inte ska gälla uppgifter som på grund av sekretess eller tystnadsplikt inte får läm- nas ut till den registrerade (SOU 2017:39, avsnitt 13.4.1).

Den registrerades rätt att på begäran få information om pågående personuppgiftsbehandling ska inte omfatta uppgifter som behandlas i löpande text som utgör utkast eller minnesanteckning. Undantaget ska dock inte gälla om uppgifterna har lämnats ut till tredje part, om uppgifterna behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål eller, när det gäller utkast, om uppgifter- na har behandlats under mer än ett år (SOU 2017:39, avsnitt 13.4.2).

Regeringen ska få meddela föreskrifter om ytterligare undantag från vissa av förordningens skyldigheter och rättigheter (SOU 2017:39, avsnitt 13.4.4).

Dataskyddsutredningen gör bedömningen att rätten att göra invändningar inte bör inskränkas genom ett undantag i dataskydds- lagen. Sådana undantag bör i stället övervägas på sektorspecifik nivå, om villkoren för behandling av personuppgifter specificeras genom författning (SOU 2017:39, avsnitt 13.4.3).

Arkivändamål av allmänt intresse

Enligt Dataskyddsutredningens bedömning har myndigheter och andra organ som omfattas av arkivlagstiftningen redan enligt gällan- de rätt rättslig grund för behandling av personuppgifter för arkiv- ändamål av allmänt intresse. Vidarebehandling av personuppgifter för arkivändamål av allmänt intresse ska enligt dataskyddsförord- ningen inte anses vara oförenlig med de ursprungliga ändamålen. Nå- gon rättslig grund behöver inte fastställas för sådan vidarebehandling (SOU 2017:39, avsnitt 14.4.2).

Dataskyddsutredningen föreslår att känsliga personuppgifter och uppgifter om lagöverträdelser ska få behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv (SOU 2017:39, av- snitt 14.4.3).

74

SOU 2017:49

Bakgrund

Vidare föreslås att personuppgifter som behandlas enbart för arkivändamål av allmänt intresse inte ska få användas för att vidta åtgärder i fråga om den registrerade annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning ska inte hindra en myndighet från att använda person- uppgifter som finns i allmänna handlingar (SOU 2017:39, av- snitt 14.4.4).

Vidare föreslås undantag från vissa av den registrerades rättig- heter (SOU 2017:39, avsnitt 14.4.5).

Slutligen föreslås att bestämmelserna i dataskyddslagen om be- handling av personuppgifter för arkivändamål av allmänt intresse i tillämpliga delar också ska gälla andra organ än myndigheter, i den mån organets verksamhet omfattas av offentlighetsprincipen och sekretesslagstiftningen (SOU 2017:39, avsnitt 14.4.6).

Statistiska ändamål

Den officiella statistiken och annan reglerad statistik framställs av sär- skilt utpekade myndigheter, som genom författning har tilldelats en uppgift av allmänt intresse. Personuppgifter kan enligt Dataskydds- utredningens bedömning samlas in och i övrigt behandlas för detta ändamål, utan samtycke från de registrerade, med stöd av artikel 6.1 e i dataskyddsförordningen (SOU 2017:39, avsnitt 14.5.2).

Dataskyddsutredningen föreslår en bestämmelse i dataskydds- lagen som möjliggör behandling av känsliga personuppgifter för statistiska ändamål om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära (SOU 2017:39, avsnitt 14.5.3).

Vidare föreslås att personuppgifter som enbart behandlas för sta- tistiska ändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen (SOU 2017:39, avsnitt 14.5.4).

75

Bakgrund

SOU 2017:49

Processuella frågor

Dataskyddsutredningen föreslår att dataskyddslagen ska innehålla vissa processuella bestämmelser (SOU 2017:39, avsnitt 19.3.3). Om den personuppgiftsansvarige är en myndighet, ska myndighetens beslut avseende behandlingen av personuppgifter i vissa fall få över- klagas av den registrerade till allmän förvaltningsdomstol.

Vidare ska det förtydligas i dataskyddslagen att rätten till ersätt- ning enligt dataskyddsförordningen även gäller vid överträdelser av bestämmelser som kompletterar dataskyddsförordningen.

Dataskyddsutredningen bedömer att den registrerades rätt till ett effektivt rättsmedel mot den personuppgiftsansvarige eller biträdet tillgodoses genom möjligheten att föra talan om skadestånd i allmän domstol.

Ikraftträdande- och övergångsbestämmelser

Dataskyddsutredningen föreslår att dataskyddslagen ska träda i kraft den 25 maj 2018 och att personuppgiftslagen samtidigt ska upphöra att gälla. Enligt Dataskyddsutredningens förslag ska personuppgifts- lagen dock fortfarande gälla i den utsträckning som det i en annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den. Vidare föreslår Dataskyddsutredningen att äldre föreskrifter, dvs. personuppgiftslagen, personuppgiftsförordningen och föreskrif- ter som har meddelats med stöd av dessa, fortfarande ska gälla för ärenden som har inletts hos Datainspektionen men inte avgjorts före ikraftträdandet. Äldre föreskrifter ska också gälla för överklagande av beslut som har meddelats med stöd av dessa föreskrifter liksom för överträdelser som har skett före ikraftträdandet. Slutligen föreslår Dataskyddsutredningen att bestämmelserna om skadestånd i 48 § PUL ska gälla för skada som har orsakats före ikraftträdandet (SOU 2017:39, avsnitt 20.3).

76

4Skollagsreglerad utbildningsverksamhet

4.1Allmänt

Skolväsendet består enligt 1 kap. 1 § skollagen (2010:800) av skolfor- merna

förskola,

förskoleklass,

grundskola,

grundsärskola,

specialskola,

sameskola,

gymnasieskola,

gymnasiesärskola,

kommunal vuxenutbildning, och

särskild utbildning för vuxna.

I skolväsendet ingår också fritidshem som kompletterar utbildning- en i förskoleklassen, grundskolan, grundsärskolan, specialskolan, sameskolan och vissa särskilda utbildningsformer.

Skollagen reglerar förutom skolväsendet vissa särskilda utbild- ningsformer och annan pedagogisk verksamhet som bedrivs i stället för utbildning inom skolväsendet (24 och 25 kap. skollagen). Dessa utbildningsformer är

internationella skolor,

77

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

utbildning vid särskilda ungdomshem,

utbildning för intagna i kriminalvårdsanstalt,

utbildning vid folkhögskola som motsvarar utbildning i svenska för invandrare,

utbildning för barn och elever som vårdas på sjukhus eller annan motsvarande institution,

utbildning i hemmet eller på annan lämplig plats,

pedagogisk omsorg som erbjuds i stället för förskola eller fritids- hem,

öppen förskola,

öppen fritidsverksamhet, och

omsorg under tid då förskola eller fritidshem inte erbjuds (t.ex. s.k. nattis).

Dessa uppräknade utbildningsformer ingår således inte i skolväsen- det.

Kommunerna ansvarar som huvudregel för att utbildning kom- mer till stånd eller erbjuds de barn, ungdomar eller vuxna som har rätt till utbildning inom skolväsendet.

Utbildning inom skolväsendet anordnas av såväl det allmänna som av enskilda. Kommunerna kan vara huvudmän för förskola, för- skoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesär- skola, kommunal vuxenutbildning, särskild utbildning för vuxna och fritidshem. Staten är huvudman för specialskolan och sameskolan samt förskoleklass och fritidshem vid en skolenhet med specialskola och sameskola.

Landsting får vara huvudman för gymnasieskola, gymnasiesär- skola, kommunal vuxenutbildning och särskild utbildning för vuxna i den utsträckning som anges i skollagen. Enskilda får efter ansökan, som beroende av vilken skolform det är frågan om prövas av Statens skolinspektion (Skolinspektionen) respektive av kommunen där ut- bildningen ska bedrivas, godkännas som huvudmän för förskola, för- skoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesär- skola och fritidshem (2 kap. 5 och 7 §§ skollagen).

78

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

Till det kommunala ansvaret att tillhandahålla utbildning inom skolväsendet tillkommer uppgifter som har nära koppling till skol- väsendet. Kommunerna har t.ex. ansvar för att bevaka att alla skol- pliktiga barn hemmahörande i kommunen får föreskriven utbildning (7 kap. 21 § skollagen). Kommunerna har dessutom skyldighet att erbjuda eleverna som bor i kommunen skolskjuts under vissa förut- sättningar inom grundskolan, grundsärskolan och gymnasiesärskolan (t.ex. 10 kap. 32 § och 11 kap. 31 § skollagen). Kommunerna har också ansvar för att lämna bidrag till enskilda huvudmän som tar emot elever hemmahörande i kommunen (t.ex. 8 kap. 21 §, 9 kap. 19 §, 10 kap. 37 §, 11 kap. 36 § och 14 kap. 15 § skollagen).

I 23 kap. skollagen finns bestämmelser som reglerar entrepre- nader. En kommun, ett landsting eller en enskild huvudman får med bibehållet huvudmannaskap avtala med någon annan att utföra upp- gifter inom utbildning eller annan verksamhet enligt skollagen (entre- prenad).

En grundprincip enligt skollagen är att alla, oberoende av geo- grafisk hemvist och sociala och ekonomiska förhållanden, ska ha lika tillgång till utbildning i skolväsendet. En annan princip är att utbild- ningen inom skolväsendet ska vara likvärdig inom varje skolform och inom fritidshemmet oavsett var i landet den anordnas.

Huvudmannen ansvarar för att utbildningen genomförs i enlighet med bestämmelserna i skollagen, föreskrifter som har meddelats med stöd av skollagen och de bestämmelser för utbildningen som kan finnas i andra författningar.

4.1.1Skolväsendet för barn och unga

Förskolan

Barn som är bosatta i Sverige och som inte har börjat i förskoleklass eller i någon utbildning för fullgörande av skolplikten ska av sin hemkommun erbjudas förskola. Barn ska från och med ett års ålder erbjudas förskola i den omfattning det behövs med hänsyn till för- äldrarnas förvärvsarbete eller studier eller om barnet har ett eget behov av familjens situation i övrigt. Från och med höstterminen det år barnet fyller tre år ska förskola erbjudas med ett minsta antal tim- mar om året.

79

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

Förskolan ska stimulera barns utveckling och lärande samt erbju- da barnen en trygg omsorg. Verksamheten ska utgå från en helhets- syn på barnet och barnets behov och utformas så att omsorg, ut- veckling och lärande bildar en helhet.

Kommunerna ansvarar för att utbildning i förskola kommer till stånd för alla barn i kommunen som ska erbjudas förskola och vars vårdnadshavare önskar det. Även enskilda kan vara huvudman för förskola.

Bestämmelserna om förskolan finns främst i 8 kap. skollagen och 1998 års läroplan för förskolan (Lpfö 98, SKOLFS 1998:16).

Förskoleklassen

Varje barn som är bosatt i Sverige ska av sin hemkommun erbjudas en plats i förskoleklass från och med höstterminen det år då de fyller sex år. Rättigheten gäller till dess att barnet ska fullgöra sin skolplikt, dvs. då han eller hon ska börja i grundskolan eller i motsvarande skolform.

Förskoleklassen ska stimulera elevers utveckling och lärande och förbereda dem för fortsatt utbildning. Utbildningen ska utgå från en helhetssyn på eleven och elevens behov.

Hemkommunen ansvarar för att utbildning i förskoleklass kom- mer till stånd för alla barn i kommunen som önskar sådan. Staten är dock huvudman för förskoleklasser vid specialskola eller sameskola. Enskilda kan vara huvudman för fristående förskoleklass. Huvud- regeln är att dessa ska vara öppna för alla elever som ska erbjudas ut- bildning i förskoleklassen. Utbildningen får dock begränsas till att avse elever som är i behov av särskilt stöd för sin utveckling. Dessa skolor benämns ibland fristående resursskolor.

Bestämmelser om förskoleklasserna finns huvudsakligen i 9 kap. skollagen och läroplanen för grundskolan, förskoleklassen och fri- tidshemmet (SKOLFS 2010:37).

Grundskolan

För barn gäller normalt skolplikt från och med höstterminen det kalenderår de fyller sju år till utgången av vårterminen det nionde året därefter. Skolplikten ska som huvudregel fullgöras i grundskolan

80

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

eller i någon av de i skollagen angivna motsvarande utbildningsfor- merna, t.ex. grundsärskola, specialskola eller sameskola.

Grundskolan, som ska vara avgiftsfri, har nio årskurser och ska ge eleverna kunskaper och värden samt utveckla elevernas förmåga att tillägna sig dessa. Utbildningen ska utformas så att den bidrar till per- sonlig utveckling samt förbereder eleverna för aktiva livsval och ligger till grund för fortsatt utbildning. Utbildningen ska även främja allsi- diga kontakter och social gemenskap och ge en god grund för ett aktivt deltagande i samhällslivet.

Kommunerna ansvarar för att utbildning i grundskolan kommer till stånd för alla som enligt skollagen har rätt att gå i grundskolan och som inte fullgör sin skolgång på annat sätt. Huvudregeln är att fristående grundskolor ska vara öppna för alla elever som har rätt till utbildning i grundskolan. Utbildningen får dock begränsas till att avse t.ex. elever som är i behov av särskilt stöd. Dessa skolor be- nämns ibland fristående resursskolor.

Bestämmelser om grundskolan finns huvudsakligen i 10 kap. skollagen, skolförordningen (2011:185) och läroplanen för grund- skolan, förskoleklassen och fritidshemmet.

Grundsärskolan

Grundsärskolan är ett alternativ till grundskolan för elever som inte bedöms kunna nå upp till grundskolans kunskapskrav därför att de har en utvecklingsstörning. Syftet är att ge alla elever med utveck- lingsstörning en för dem anpassad utbildning som ger kunskaper och värden och utvecklar elevernas förmåga att tillägna sig dessa. Utbild- ningen ska utformas så att den bidrar till personlig utveckling, för- bereder eleverna för aktiva livsval och ligger till grund för fortsatt utbildning. Utbildningen ska främja allsidiga kontakter och social gemenskap och ge en god grund för aktivt deltagande i samhällslivet. Frågan om mottagande i grundsärskolan prövas av hemkommunen.

Grundsärskolan, som är avgiftsfri, ska ha nio årskurser. Inom grundsärskolan finns en särskild inriktning som benämns tränings- skola, som är avsedd för elever som inte kan tillgodogöra sig hela eller delar av utbildningen i ämnen.

Hemkommunen ansvarar för att utbildning inom grundsärskolan kommer till stånd för alla som har rätt att gå i grundsärskolan och

81

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

inte fullgör sin skolgång på annat sätt. Fristående grundsärskolor ska vara öppna för alla elever som har rätt till utbildning i grundsär- skolan. Utbildningen får dock begränsas till att avse t.ex. elever som är i behov av särskilt stöd. Dessa skolor benämns ibland fristående resursskolor.

Bestämmelser om grundsärskolan finns huvudsakligen i 11 kap. skollagen, skolförordningen och läroplanen för grundsärskolan (SKOLFS 2010:255).

Specialskolan

Barn och ungdomar som på grund av sin funktionsnedsättning eller andra särskilda skäl inte kan gå i grundskolan eller grundsärskolan ska tas emot i specialskolan om de är dövblinda, har en synnedsätt- ning och ytterligare funktionsnedsättning, är döva, är hörselskadade eller har en grav språkstörning. Frågan om mottagande i specialskola prövas av Specialpedagogiska skolmyndigheten.

Specialskolan ska ge dessa barn och ungdomar en utbildning som är anpassad till varje elevs förutsättningar och som så långt det är möjligt motsvarar den utbildning som ges i grundskolan. Special- skolan, som är avgiftsfri, ska ha tio årskurser.

Utbildningen i specialskolan anordnas av Specialpedagogiska skol- myndigheten och bedrivs vid flera skolenheter. Det finns fem regio- nala specialskolor och tre riksskolor som finns vid fyra skolenheter.

Bestämmelser om specialskolan finns huvudsakligen i 12 kap. skollagen, skolförordningen och läroplanen för specialskolan samt för förskoleklassen och fritidshemmet i vissa fall (SKOLFS 2010:250). Grundsärskolans kursplaner får tillämpas för en elev i specialskolan om eleven har en utvecklingsstörning och elevens vårdnadshavare lämnar sitt samtycke (12 kap. 8 § skollagen).

Sameskolan

Sameskolan ska ge en utbildning med samisk inriktning som i övrigt motsvarar utbildningen i årskurserna 1–6 i grundskolan. Sameskolan, som är avgiftsfri, ska ha sex årskurser. Därefter går eleverna vidare till grundskolan. Barn till samer får gå i sameskolan. Även andra barn får gå i sameskolan om det finns särskilda skäl. Utbildning i sameskolan

82

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

anordnas av Sameskolstyrelsen och bedrivs vid fem skolor. Bestäm- melser om sameskolan finns huvudsakligen i 13 kap. skollagen, skol- förordningen och läroplanen för sameskolan samt för förskoleklassen och fritidshemmet i vissa fall (SKOLFS 2010:251).

Fritidshemmet

Fritidshemmet utgör en för eleverna frivillig verksamhet som kom- pletterar utbildningen i förskoleklassen, grundskolan och motsva- rande skolformer. Fritidshemmet ska erbjuda eleverna en menings- full fritid samt stimulera deras utveckling och lärande. Utbildningen ska utgå från en helhetssyn på eleven och elevens behov.

Hemkommunen ansvarar för att eleverna erbjuds fritidshem. Sta- ten ska dock erbjuda utbildning i fritidshem för elever i specialskola och sameskola. Enskilda får efter ansökan godkännas som huvudmän för fritidshem.

Fritidshem ska erbjudas till och med vårterminen det år då eleven fyller 13 år. Från och med höstterminen det år då eleven fyller 10 år får öppen fritidsverksamhet erbjudas i stället för fritidshem. Bestäm- melser om fritidshemmet finns huvudsakligen i 14 kap. skollagen och läroplanen för grundskolan, förskoleklassen och fritidshemmet (SKOLFS 2010:37).

Gymnasieskolan

För ungdomars vidareutbildning efter fullgjord skolplikt i grund- skola eller motsvarande finns den, som huvudregel, treåriga gymna- sieskolan. Huvudmän för gymnasieskolan, som ska vara avgiftsfri, är kommuner, landsting eller enskilda. Gymnasieskolan ska ge eleverna en grund för yrkesverksamhet och fortsatta studier på högskolenivå samt för personlig utveckling och ett aktivt deltagande i samhälls- livet. Utbildningen kan fullgöras dels vid nationella program, som är yrkesprogram eller högskoleförberedande, dels vid introduktions- program och vidareutbildning i form av ett fjärde tekniskt år. Det finns 18 nationella program, varav 12 är yrkesförberedande och 6 är högskoleförberedande, och 5 introduktionsprogram för elever som inte är behöriga till ett nationellt program.

83

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

För ungdomar med ett svårt rörelsehinder får de kommuner som regeringen beslutar anordna speciellt anpassad utbildning (gym- nasieskola med Rh-anpassad utbildning) i sin gymnasieskola. För dessa utbildningar gäller särskilda bestämmelser. Riksgymnasier med Rh-anpassad utbildning finns inom den kommunala gymnasieskolan i Göteborg, Kristianstad, Stockholm och Umeå.

Örebro kommun får i sin gymnasieskola anordna utbildning för döva och gravt hörselskadade från hela landet (Riksgymnasiet för döva och hörselskadade).

Huvudregeln är att huvudmannen för fristående gymnasieskola ska ta emot alla ungdomar som har rätt till den sökta utbildningen i gymnasieskolan. Mottagandet till en viss utbildning får dock begrän- sas till att avse t.ex. elever som är i behov av särskilt stöd. Dessa sko- lor benämns ibland fristående resursskolor.

Bestämmelser om gymnasieskolan finns huvudsakligen i 15– 17 a kap. skollagen, gymnasieförordningen (2010:2039) och läropla- nen för gymnasieskolan (SKOLFS 2011:144) samt examensmål för gymnasieskolans nationella program (SKOLFS 2010:14).

Gymnasiesärskolan

Gymnasiesärskolan riktar sig till ungdomar vars skolplikt har upp- hört och som inte bedöms ha förutsättningar att nå upp till gymna- sieskolans kunskapskrav därför att de har en utvecklingsstörning. Gymnasiesärskolan ska ge elever med utvecklingsstörning en för dem anpassad utbildning som ska ge en god grund för yrkesverk- samhet och fortsatta studier samt för personlig utveckling och ett aktivt deltagande i samhällslivet. Hemkommunen prövar frågan om en sökande tillhör målgruppen. Utbildningen i gymnasiesärskolan består av nationella och individuella program. Varje kommun ansva- rar för att alla ungdomar i kommunen som tillhör gymnasiesärsko- lans målgrupp erbjuds utbildning av god kvalitet i gymnasiesärsko- lan. Även landsting och enskilda kan vara huvudmän för gymna- siesärskolan. Bestämmelser om gymnasiesärskolan finns huvudsak- ligen i 18 och 19 kap. skollagen, gymnasieförordningen och läropla- nen för gymnasiesärskolan (SKOLFS 2013:148).

84

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

Elevhälsan

I skollagen anges att det för eleverna i förskoleklassen, grundskolan, grundsärskolan, sameskolan, specialskolan, gymnasieskolan och gym- nasiesärskolan ska finnas elevhälsa (2 kap. 25 § skollagen). Kravet gäller såväl offentliga som fristående skolor. Elevhälsan ska omfatta medicinska, psykologiska, psykosociala och specialpedagogiska insat- ser. Elevhälsan ska främst vara förebyggande och hälsofrämjande. Elevernas utveckling mot utbildningens mål ska stödjas.

För medicinska, psykologiska och psykosociala insatser ska det finnas tillgång till skolläkare, skolsköterska, psykolog och kurator. Vidare ska det finnas tillgång till personal med sådan kompetens att elevernas behov av specialpedagogiska insatser kan tillgodoses.

Varje elev i grundskolan, grundsärskolan och specialskolan ska erbjudas minst tre hälsobesök som innefattar allmänna hälsokontrol- ler. Varje elev i sameskolan ska erbjudas minst två hälsobesök som innefattar allmänna hälsokontroller. Eleven ska dessutom mellan hälsobesöken erbjudas undersökning av syn och hörsel och andra begränsade hälsokontroller. I gymnasieskolan och gymnasiesärsko- lan ska minst ett hälsobesök som innefattar en allmän hälsokontroll erbjudas. Elever får vid behov anlita elevhälsan för enkla sjukvårds- insatser.

Skolbiblioteken

Eleverna i grundskolan, grundsärskolan, specialskolan, sameskolan, gymnasieskolan och gymnasiesärskolan ska ha tillgång till skolbiblio- tek (2 kap. 36 § skollagen). Kravet på att elever ska ha tillgång till skolbibliotek gäller för såväl offentliga som fristående skolor. Skol- biblioteken är en pedagogisk resurs för undervisning och skolarbete.

Av 1 § bibliotekslagen (2013:801) framgår att skolbibliotek ingår i det allmänna biblioteksväsendet.

85

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

4.1.2Särskilda utbildningsformer för barn och ungdomar enligt 24 kap. skollagen

I 24 kap. skollagen finns bestämmelser om bl.a. internationella sko- lor, utbildning vid särskilda ungdomshem, utbildning för barn och elever som vårdas på sjukhus eller en institution som är knuten till ett sjukhus och utbildning i hemmet eller på annan lämplig plats.

Internationella skolor

Med en internationell skola avses enligt skollagen en skola där utbildningen inte följer en sådan läroplan som avses i 1 kap. 11 § skollagen, utan ett annat lands läroplan eller en internationell läro- plan och som i första hand riktar sig till elever som är bosatta i Sverige för en begränsad tid.

Skolinspektionen prövar ansökningar från enskilda om att få god- kännas som huvudman för en internationell skola på grundskolenivå. Vidare kan Skolinspektionen efter ansökan av en kommun besluta att kommunen får vara huvudman för en internationell skola på grundskolenivå. Hemkommunen för en elev i en internationell skola på grundskolenivå ska, om inte hemkommunen och huvudmannen är samma kommun, lämna bidrag till huvudmannen för skolan.

Ett barn får fullgöra sin skolplikt i en internationell skola på grundskolenivå om huvudmannen har godkänts eller fått medgi- vande av Skolinspektionen och barnet t.ex. är bosatt i Sverige under en begränsad tid eller har gått i skola utomlands under en längre tid och vill avsluta sin utbildning i Sverige.

Internationella skolor på gymnasienivå med enskild huvudman behöver enligt gällande rätt inte godkännas av Skolinspektionen, men för att få rätt till bidrag från elevernas hemkommuner krävs att huvudmannen ansökt om och av Skolinspektionen förklarats berät- tigad till bidrag. För att en förklaring om rätt till bidrag ska lämnas krävs bl.a. att det kan antas att det kommer att finnas ett tillräckligt elevunderlag för att driva en stabil verksamhet.

86

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

Utbildning vid särskilda ungdomshem

Utbildning kan i vissa fall ske vid särskilda ungdomshem. Under vistelse i ett sådant hem som avses i 12 § lagen (1990:52) med sär- skilda bestämmelser om vård av unga (avseende särskilt ungdoms- hem) ska skolpliktiga barn, som inte lämpligen kan fullgöra sin skol- plikt på annat sätt, fullgöra den genom att delta i utbildning vid hem- met. Statens institutionsstyrelse (SiS) är huvudman för all utbildning som sker vid särskilda ungdomshem.1 Utbildningen ska motsvara utbildningen i grundskolan eller i förekommande fall grundsärskolan eller specialskolan. För sådan utbildning ska relevanta bestämmelser i skollagen tillämpas med de nödvändiga avvikelser som följer av att barnet vistas i ett sådant hem.

Den som inte längre är skolpliktig och vistas i ett särskilt ung- domshem och som inte lämpligen kan fullgöra skolgång på annat sätt ska genom huvudmannens försorg ges möjlighet att delta i utbild- ning som motsvarar sådan utbildning som erbjuds i gymnasieskolan eller gymnasiesärskolan.

Utbildning på sjukhus

Om ett barn vårdas på sjukhus eller en institution som är knuten till ett sjukhus, ska huvudmannen för institutionen svara för att barnet får tillfälle att delta i utbildning som så långt det är möjligt motsvarar den som erbjuds i förskola, förskoleklass eller fritidshem (24 kap. 16 §). För elever i grundskolan, grundsärskolan, specialskolan, same- skolan, gymnasieskolan och gymnasiesärskolan, som på grund av sjukdom eller liknande skäl inte kan delta i vanligt skolarbete och som vårdas på sjukhus eller en institution som är knuten till ett sjuk- hus, ska särskild undervisning anordnas på sjukhuset eller institu- tionen om det inte är obehövligt för elevens inhämtande av kunska- per (24 kap. 17 §). Sådan undervisning ska så långt det är möjligt mot- svara den undervisning som eleven inte kan delta i. Särskild under- visning anordnas av den kommun där institutionen är belägen (24 kap. 19 §). Statens skolverk (Skolverket) har tagit fram allmänna råd (SKOLFS 2016:64) med kommentarer om utbildning på sjukhus.

1 SOU 2016:62 s. 94 och 125.

87

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

Särskild undervisning i hemmet

För elever i grundskolan, grundsärskolan, specialskolan, sameskolan, gymnasieskolan och gymnasiesärskolan, som på grund av sjukdom eller liknande skäl inte kan delta i vanligt skolarbete under längre tid men som inte vårdas på sjukhus eller en institution som är knuten till ett sjukhus, ska särskild undervisning anordnas i hemmet eller på annan lämplig plats. Sådan undervisning ska så långt det är möjligt motsvara den undervisning som eleven inte kan delta i (24 kap. 20 §). Särskild undervisning får ges i hemmet endast om eleven eller ele- vens vårdnadshavare samtycker. Sådan särskild undervisning anord- nas av den som är huvudman för den utbildning som eleven annars deltar i (24 kap. 22 §).

Annat sätt att fullgöra skolplikten

Ett skolpliktigt barn får medges rätt att fullgöra skolplikten på annat sätt än som anges i skollagen. Medgivande ska lämnas om verksam- heten framstår som ett fullgott alternativ till den utbildning som annars står barnet till buds enligt föreskrifter i skollagen, behovet av insyn i verksamheten kan tillgodoses och det finns synnerliga skäl (24 kap. 23 §).

I förarbetena till bestämmelsen (prop. 2009/10:165 s. 885) anges två exempel på situationer när synnerliga skäl kan förekomma. Den ena är en elev som nyss flyttat till Sverige från något av våra grann- länder som har mycket starka skäl för att gå kvar i det gamla landets skola under återstoden av terminen. Även situationer då en elev under längre tid önskar vara från skolan på grund av resor eller film- inspelning skulle kunna utgöra synnerliga skäl för att under en tid få medgivande att fullgöra skolplikten på annat sätt om det finns mycket starka skäl i det enskilda fallet. Det betonas att bestämmel- sen ska tillämpas med stor restriktivitet.

Medgivande får lämnas för upp till ett år i sänder. Frågor om med- givande prövas som huvudregel av barnets hemkommun.

88

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

4.1.3Annan pedagogisk verksamhet enligt 25 kap. skollagen

Pedagogisk omsorg som erbjuds i stället för förskola eller fritids- hem, öppen förskola, öppen fritidsverksamhet och omsorg under tid då förskola eller fritidshem inte erbjuds regleras i 25 kap. skol- lagen.

Verksamheten kan bedrivas i kommunal och enskild regi.

Pedagogisk omsorg som erbjuds i stället för förskola eller fritidshem

Kommunen ska sträva efter att i stället för förskola eller fritidshem erbjuda ett barn pedagogisk omsorg om barnets vårdnadshavare önskar det (25 kap. 2 §). Pedagogisk omsorg ska genom pedagogisk verksamhet stimulera barns utveckling och lärande. Med pedagogisk omsorg avses bl.a. familjedaghem, flerfamiljslösningar och andra verksamheter där det bedrivs pedagogisk verksamhet i annan form än förskola eller fritidshem (prop. 2009/10:165 s. 886). Förskolans läroplan är vägledande för pedagogisk omsorg. Skolverket har tagit fram allmänna råd (SKOLFS 2012:90) med kommentarer om peda- gogisk omsorg.

Öppen förskola

En kommun får anordna öppen förskola som komplement till för- skola och pedagogisk omsorg. Den öppna förskolan ska erbjuda barn en pedagogisk verksamhet i samarbete med de till barnen medföl- jande vuxna samtidigt som de vuxna ges möjlighet till social gemen- skap (25 kap. 3 §).

Öppen fritidsverksamhet

Från och med höstterminen det år då eleven fyller tio år får öppen fri- tidsverksamhet erbjudas i stället för fritidshem, om eleven inte på grund av fysiska, psykiska eller andra skäl är i behov av sådant särskilt stöd i sin utveckling som endast kan erbjudas i fritidshem (14 kap. 7 §). En huvudman kan erbjuda dessa elever öppen fritidsverksamhet i stället för fritidshem. Den öppna fritidsverksamheten ska genom

89

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

pedagogisk verksamhet komplettera utbildningen i grundskolan, grundsärskolan, specialskolan, sameskolan och andra särskilda utbild- ningsformer i vilka skolplikt kan fullgöras. Verksamheten ska erbjuda barnen möjlighet till utveckling och lärande samt en meningsfull fritid och rekreation.

Omsorg under tid då förskola eller fritidshem inte erbjuds

Kommunen ska sträva efter att erbjuda omsorg för barn under tid då förskola eller fritidshem inte erbjuds i den omfattning det behövs med hänsyn till föräldrars förvärvsarbete och familjens situation i övrigt. Som exempel på omständigheter som är hänförliga till famil- jens situation i övrigt anförs i förarbetena (prop. 2009/10:165 s. 888) att en förälder fullgör värnplikt eller är intagen på behandlingshem eller i kriminalvårdsanstalt.

4.1.4Skolväsendet för vuxna

Skolväsendet för vuxna utgörs enligt 1 kap. 1 § skollagen av skol- formerna kommunal vuxenutbildning och särskild utbildning för vuxna. Målet med dessa utbildningsformer är att vuxna ska stödjas och stimuleras i sitt lärande. Individerna ska ges möjlighet att ut- veckla sina kunskaper och sin kompetens i syfte att bl.a. stärka sin ställning i arbetslivet.

Kommunal vuxenutbildning

Kommunal vuxenutbildning ska tillhandahållas på grundläggande nivå, gymnasial nivå och som utbildning i svenska för invandrare. Utbildning på grundläggande nivå motsvarar i huvudsak grundskolan och syftar till att ge vuxna sådana kunskaper som de behöver för att delta i samhälls- och arbetslivet. Den syftar också till att möjliggöra fortsatta studier. Vuxna som saknar kunskaper motsvarande grund- skolan har rätt att fr.o.m. 20 års ålder delta i den grundläggande vuxenutbildningen.

Utbildning på gymnasial nivå syftar till att ge vuxna kunskaper på en nivå som motsvarar den som utbildningen i gymnasieskolan

90

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

ska ge. Den som fått minst utbildning ska prioriteras till kommunal vuxenutbildning på gymnasial nivå. Från och med den 1 januari 2017 gäller en utökad rätt att delta i kommunal vuxenutbildning på gymnasial nivå i syfte att antingen uppnå grundläggande och sär- skild behörighet till högskoleutbildning som påbörjas på grundnivå och som vänder sig till nybörjare, eller uppnå grundläggande behö- righet eller särskilda kunskaper för utbildning inom yrkeshögsko- lan (prop. 2016/17:5).

Utbildning i svenska för invandrare syftar till att ge vuxna invand- rare grundläggande kunskaper i svenska språket, men också till att ge vuxna invandrare som saknar grundläggande läs- och skrivfärdigheter möjlighet att förvärva sådana färdigheter.

Kommunerna ska tillhandahålla kommunal vuxenutbildning. Landsting får vara huvudmän för sådan utbildning på gymnasial nivå inom områdena naturbruk och omvårdnad och efter avtal med en kommun även inom andra områden. Utbildningen ska som huvud- regel vara avgiftsfri.

Bestämmelser om kommunal vuxenutbildning finns huvudsakli- gen i 20 kap. skollagen, förordningen (2011:1108) om vuxenutbild- ning och läroplanen för vuxenutbildningen (SKOLFS 2012:101).

Särskild utbildning för vuxna

För vuxna med utvecklingsstörning eller förvärvad hjärnskada finns särskild utbildning för vuxna i stället för kommunal vuxenutbild- ning. Målet med utbildningen är att vuxna med utvecklingsstörning ska stödjas och stimuleras i sitt lärande. De ska ges möjlighet att ut- veckla sina kunskaper och sin kompetens i syfte att stärka sin ställ- ning i arbets- och samhällslivet samt att främja sin personliga utveck- ling. Utbildningen på grundläggande nivå syftar till att ge vuxna kunskaper på en nivå som motsvarar den som utbildningen i grund- särskolan ska ge. På motsvarande sätt syftar utbildningen på gymna- sial nivå till att ge kunskaper motsvarande utbildningen på nationella program i gymnasiesärskolan.

Kommunerna är huvudmän för särskild utbildning för vuxna, men landstingen kan efter överenskommelse ansvara för viss utbildning. Utbildningen ska tillhandahållas på grundläggande nivå och gym- nasial nivå samt vara avgiftsfri. Bestämmelser om särskild utbildning

91

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

för vuxna finns huvudsakligen i 21 kap. skollagen, förordningen (2011:1108) om vuxenutbildning och läroplanen för vuxenutbild- ningen (SKOLFS 2012:101).

Elevhälsan

En huvudman för kommunal vuxenutbildning eller särskild utbild- ning för vuxna får för sina elever anordna elevhälsa motsvarande så- dan som ska anordnas för eleverna i bl.a. grundskolan och gymnasie- skolan (2 kap. 25 och 26 §§ skollagen).

4.1.5Särskilda utbildningsformer

för vuxna enligt 24 kap. skollagen

I 24 kap. skollagen finns bestämmelser om bl.a. utbildning för intag- na i kriminalvårdsanstalt och utbildning vid folkhögskola som mot- svarar kommunal utbildning i svenska för invandrare.

Utbildning för intagna i kriminalvårdsanstalt

För intagna på kriminalvårdsanstalt får det anordnas utbildning som motsvarar kommunal vuxenutbildning och särskild utbildning för vuxna. För sådan utbildning ansvarar Kriminalvården (24 kap. 10 §).

Utbildning vid folkhögskola som motsvarar kommunal vuxenutbildning i svenska för invandrare

Den som har rätt att delta i kommunal vuxenutbildning i svenska för invandrare har rätt att i stället delta i en folkhögskolas motsvarande utbildning. Detta om folkhögskolan enligt sådana föreskrifter som har meddelats med stöd av 29 kap. 24 § skollagen av Skolinspektio- nen har getts rätt att sätta betyg, anordna prövning samt utfärda betyg och intyg, och folkhögskolan har förklarat sig ha för avsikt att ta emot den sökande till utbildningen (24 kap. 11 §).

En folkhögskola som till sin utbildning i svenska för invandrare har antagit en elev som har förklarats behörig att delta i utbildning-

92

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

en, har rätt till ersättning för kostnaden för elevens utbildning från elevens hemkommun (24 kap. 15 §).

4.1.6Entreprenad

Enligt bestämmelserna i 23 kap. skollagen får en kommun, ett lands- ting eller en enskild huvudman sluta avtal om att någon annan än kommunen, landstinget eller den enskilde huvudmannen utför upp- gifter inom utbildning eller annan verksamhet enligt skollagen (entre- prenad).

Entreprenad innebär att kommunen, landstinget eller den enskil- de huvudmannen ansvarar i egenskap av huvudman för verksamhe- tens innehåll, men låter någon annan sköta själva utförandet. De bestämmelser som finns för en utbildning i skollagen och andra författningar på skolområdet, t.ex. läroplaner och kursplaner, gäller även vid entreprenad. Bibehållet huvudmannaskap innebär att även om en entreprenör ges i uppdrag av en kommun att utföra uppgifter inom utbildning som kommunen är huvudman för, så är det fortfa- rande fråga om en kommunal verksamhet i förhållande till barn, ele- ver och vårdnadshavare (prop. 2009/10:165 s. 508).

Inom förskolan, förskoleklassen, fritidshemmet, kommunal vuxenutbildning, särskild utbildning för vuxna och sådan pedagogisk verksamhet som avses i 25 kap. får uppgifter överlämnas på entrepre- nad till en enskild fysisk eller juridisk person.

När det gäller undervisning inom grundskolan, grundsärskolan, gymnasieskolan och gymnasiesärskolan får uppgifter som inte är hänförliga till undervisning läggas ut på entreprenad. Uppgifter som avser modersmålsundervisning eller studiehandledning på moders- målet får överlämnas på entreprenad till annan huvudman om huvud- mannen har gjort vad som rimligen kan krävas för att anordna utbild- ningen inom den egna organisationen. Undervisning i gymnasie- skolan i karaktärsämnen som har en yrkesinriktad eller estetisk profil får överlämnas på entreprenad till enskild fysisk eller juridisk person. Vidare får uppgifter som avser fjärrundervisning inom grundskolan, grundsärskolan, gymnasieskolan och gymnasiesärskolan överlämnas till staten på entreprenad. Inom dessa skolformer får uppgifter som avser fjärrundervisning även överlämnas till annan huvudman på entreprenad om uppgifterna är sådana som avser modersmålsunder-

93

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

visning eller studiehandledning på modersmålet om huvudmannen har gjort vad som rimligen kan krävas för att anordna utbildningen inom den egna organisationen

Kommuner kan således erbjuda t.ex. kommunal vuxenutbildning i egen regi eller genom upphandling av andra utbildningsanordnare såsom privata utbildningsföretag, studieförbund eller folkhögskolor (SOU 2016:62 s. 98).

Regeringen har i proposition 2016/17:156 föreslagit att det införs bestämmelser i skollagen om att huvudmän ska vara skyldiga att i vissa situationer erbjuda elever i grundskolan undervisning under skollov. Undervisning inom ramen för lovskolan får överlämnas på entreprenad. Lagändringarna föreslås träda i kraft den 1 augusti 2017. Propositionen behandlas för närvarande i riksdagen.

Regeringen har vidare i proposition 2016/17:161 föreslagit en ny lag om försöksverksamhet med branschskolor. Försöksverksam- heten innebär att en huvudman för utbildning på ett yrkesprogram inom gymnasieskolan eller för kommunal vuxenutbildning enligt skollagen med bibehållet huvudmannaskap får sluta avtal med en branschskola om att skolan utför vissa uppgifter inom sådan utbild- ning (entreprenad). Den nya lagen om försöksverksamhet med branschskolor föreslås träda i kraft den 1 augusti 2017 och tillämpas på utbildning efter den 1 juli 2018. Lagen ska upphöra att gälla vid utgången av juni månad 2023. Propositionen behandlas för närva- rande i riksdagen.

I syfte att öka möjligheterna för huvudmän för vissa skolformer att erbjuda den undervisning som elever har behov av och att ge alla elever en likvärdig tillgång till utbildning utreds frågan om vilka som får bedriva utbildning på entreprenad. En särskild utredare har bl.a. fått i uppdrag att föreslå under vilka förutsättningar skolhuvudmän, eller i vissa fall andra aktörer, bör få utföra undervisning åt andra skolhuvudmän (Utredningen Bättre möjligheter till fjärrundervis- ning och undervisning på entreprenad [U2015:09]). Utredaren ska även bedöma om bestämmelserna i 23 kap. om entreprenad och sam- verkan bör ändras och vid behov föreslå nya ändamålsenliga avtals- former för skolhuvudmän som avser att ingå avtal med varandra om att utföra uppgifter avseende undervisning (dir. 2015:112). Uppdra- get i denna del ska redovisas senast den 30 maj 2017. Utredaren har i tilläggsdirektiv fått i uppdrag att inom samma tid bl.a. bedöma hur

94

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

entreprenad inom skolväsendet förhåller sig till den kommande lagen om offentlig upphandling (dir. 2016:107).

4.2Utredningen om offentlighet och sekretess i skolans syn

på skolans personuppgiftsbehandling

Utredningen om offentlighet och sekretess i skolan har i sitt betän- kande Sekretess i elevernas intresse – Dokumentation, samverkan och integritetet i skolan (SOU 2003:103 s. 198 f.) prövat behovet av särskild reglering av skolmyndigheternas personuppgiftsbehandling. Utredningen konstaterade att ett stort antal elevuppgifter inom skol- verksamheten, såväl i undervisningen som i elevvården, behandlas på ett sådant sätt att de omfattas av bestämmelserna i personuppgifts- lagen (1998:204, PUL). Det kan röra sig om behandling genom regelrätt registerföring (t.ex. datalistor över skolans samtliga elever), behandling i löpande text med hjälp av ordbehandling (t.ex. upprät- tade beslut och protokoll samt personalanteckningar), e-post eller publicering av uppgifter på hemsidor på internet.

Utredningen ansåg att det var självklart att mycket av den behand- ling som förekommer också måste få förekomma eftersom skolverk- samheten på samma sätt som annan verksamhet borde kunna dra för- del av ny teknik. Utredningen analyserade därför om det fanns rätts- ligt stöd för den behandling som behövs i samband med dokumen- tation avseende enskilda elever, dvs. om den kunde ske i överens- stämmelse med personuppgiftslagens regler.

Enligt utredningens bedömning torde det inte föreligga någon tvekan om att skolmyndigheter enligt den då lydande skollagen och andra författningar har en rättslig skyldighet i personuppgiftslagens mening att fullgöra sina åligganden gentemot eleverna i fråga om såväl undervisning som elevvård. Likaså måste det anses vara av stort all- mänt intresse att skolorna kan fullgöra sina arbetsuppgifter. Skolorna bedöms kunna stödja behandling av personuppgifter på 10 § b och d PUL, med undantag för behandlingen av känsliga personuppgifter.

Beträffande skolornas behandling av känsliga personuppgifter konstaterade utredningen att 8 § personuppgiftsförordningen (1998:1191, PUF), enligt vilken känsliga personuppgifter får behand- las även utan samtycke av en myndighet i löpande text, t.ex. i pro-

95

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

memorior, protokoll och beslut, om uppgifterna har lämnats i ett ärende eller om de är nödvändiga för handläggningen av ärendet, inte är tillämplig på behandling som sker i den del av skolornas verksam- het som utgör faktiskt handlande, dvs. när det inte är fråga om ett pågående ärende.

Gemensamt för de flesta fall då känsliga personuppgifter behand- las automatiserat inom ramen för det faktiska handlandet i skol- verksamheten (undantaget skolhälsovården samt legitimerade psyko- loger och psykoterapeuter) är att det krävs samtycke från eleven eller, i förekommande fall, dennes vårdnadshavare. Utan ett sådant uttryckligt samtycke är det alltså normalt inte tillåtet att behandla uppgifterna automatiserat, även om det från skolans eller personalens synvinkel ter sig nödvändigt. Som exempel kan nämnas att det krävs samtycke för att skolpersonalen i en frånvarojournal ska få anteckna orsaken till en elevs frånvaro, i den mån en sådan anteckning innebär att hälsouppgifter registreras.

Utredningens bedömning var att skolmyndigheter, med stöd av personuppgiftslagens bestämmelser, har möjlighet att med datorstöd behandla det absoluta flertalet av uppgifterna som behövs i skolverk- samheten. Rättsliga problem som begränsar skolornas hantering av personuppgifter och som kan kräva särskild reglering kunde enligt utredningens bedömning egentligen uppstå endast när det gäller behandling av känsliga personuppgifter. Flera av de uppgiftskatego- rier som enligt personuppgiftslagen bedöms som känsliga berörde enligt utredningens uppfattning dock inte skolornas behov av registrering i särskilda dataregister.

De känsliga personuppgifter som skolmyndigheterna kan ha be- hov av att behandla i särskilda register rör framför allt uppgifter om elevernas hälsa, men också etniskt ursprung, som behövs för genom- förandet av modersmålsundervisning. Uppgifter om hälsa kan före- komma i elevadministrativ information, t.ex. att vissa elever är aller- giska och därför behöver särskild mat, men kanske främst informa- tion om elevers hälsotillstånd inom ramen för den elevvårdande verksamheten. Utredningen bortsåg dock i detta sammanhang från behovet av personuppgiftsbehandling inom skolhälsovården och annan verksamhet som utgör hälso- och sjukvård.

I fråga om annan behandling av känsliga personuppgifter än sådan som utförs i regelrätta register bedömdes det svårare att uttala sig bestämt om skolornas behov. Ingen användning av de ovan nämnda

96

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

kategorierna av känsliga personuppgifter kan uteslutas när det är fråga om behovet av att behandla information automatiserat i löpande text, t.ex. i beslut eller andra handlingar som har samband med handlägg- ningen av ärenden inom en skolmyndighet. Det finns ingen möjlighet att i förväg avgöra vilka uppgifter som är av betydelse för, och som kan motivera utgången i, ett elevvårdsärende eller ett administrativt ärende. Som exempel kan nämnas ett elevvårdsärende om mobbning av en elev på grund av hans eller hennes sexuella läggning. Med stöd av den generella bestämmelsen i 8 § PUF får alla myndigheter be- handla sådana känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller om de är nödvändiga för handläggning av ärendet. Det uppstår därför inte några rättsliga problem i det avseendet när det är fråga om hantering av känsliga personuppgifter vid handläggningen av ärenden inom en skolmyndighet.

En stor del av skolornas verksamhet utgörs av s.k. faktiskt hand- lande, såväl i fråga om undervisning som elevvård. Även som ett led i det faktiska handlandet kan det finnas ett visst behov av att med datorstöd behandla känsliga personuppgifter som rör elevernas hälsa m.m., t.ex. när kuratorer eller specialpedagoger för anteckningar vid elevsamtal. I princip är detta i dag inte tillåtet utan att uttryckligt samtycke inhämtas från elever eller, i förekommande fall, vårdnads- havare. (Det bör noteras att 5 a § PUL inte fanns när betänkandet skrevs, bestämmelsen trädde i kraft först den 1 januari 2007.) Det- samma gäller möjligheten att i vissa fall behandla t.ex. uppgifter om etniskt ursprung i elevadministrativ verksamhet. Datainspektionen var emellertid av den uppfattningen att registrering av känsliga uppgifter som behövs för modersmålsundervisning i grundskolan är tillåtet enligt personuppgiftslagen utan att samtycke inhämtas, eftersom det handlar om att fastställa eller göra gällande elevers rättsliga anspråk enligt grundskoleförordningen2. Utredningen hade ingen avvikande uppfattning i den frågan.

Särskild reglering som tillåter myndigheter att registrera känsliga personuppgifter utan samtycke borde enligt utredningens uppfatt- ning komma i fråga endast om det är nödvändigt för att verksam- heten ska kunna fungera på ett rationellt och av statsmakterna förut- satt sätt. Inte minst bör restriktivitet iakttas när det är fråga om barn. Av integritetsskäl bör därför sådana uppgifter i första hand behandlas

2 Datainspektionens rapport 2002:2, Behandling av elevers personuppgifter i grundskolan.

97

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

av skolmyndigheter endast om de registrerade personerna lämnar sitt samtycke till uppgiftsbehandlingen. Utredningen var även av den åsikten att det i de allra flesta fall är fullt praktiskt möjligt för skol- myndigheter, eller enskilda skolor, att inhämta sådant samtycke i de fall det behövs.

Sammantaget var utredningen av den uppfattningen att det i skol- verksamheten inte finns ett så stort behov av att behandla känsliga personuppgifter, att det inte på ett praktiskt sätt går att tillgodose behovet utan sådan särskild författningsreglering som tillåter behand- lingen av uppgifter även om samtycke saknas. På motsvarande sätt som samråd och samverkan med elever och vårdnadshavare är huvud- regeln för skolverksamheten i övrigt, bör samtycke utgöra grunden för all registrering av känsliga personuppgifter i särskilda register och även för all övrig behandling av känsliga personuppgifter i den faktis- ka verksamheten (dvs. när det inte är fråga om ärendehantering). Utredningen lämnade därför inga författningsförslag om behandling av personuppgifter i skolan.

4.3Skydd för uppgifter om barn

– yttrande av artikel 29-gruppen

Artikel 29-arbetsgruppen för uppgiftsskydd har inrättats genom arti- kel 29 i dataskyddsdirektivet. Arbetsgruppen, som brukar benämnas artikel 29-gruppen, är EU:s oberoende rådgivande instans för data- skydd och skydd för privatlivet. Arbetsgruppen antog i februari 2009 ett yttrande om skydd för uppgifter om barn som innehåller allmän- na riktlinjer och specialfallet skolor.3

Yttrandet riktar sig uttryckligen huvudsakligen till de som hante- rar uppgifter om barn och i skolsammanhang främst till lärare och skolmyndigheter. Yttrandet innehåller avsnitt om hur uppgifter i elevfiler bör hanteras såsom t.ex. information till den registrerade (vårdnadshavare), ändamålsbegränsningar och proportionalitet, icke- diskriminering, vem som ska få tillgång till uppgifterna och bevaran- de och utplånande av uppgifter. Vidare behandlas även frågor om uppgifter om elevers hälsotillstånd, webbplatser och foton av elever.

3 Artikel 29-gruppen för uppgiftsskydds yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor).

98

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

Beträffande elevfiler anges bl.a. att personuppgifter får tas med i elevfiler endast om de är nödvändiga för berättigade ändamål som skolorna strävar efter att uppnå. Uppgifterna får inte användas på ett sätt som är oförenligt med sådana ändamål. De uppgifter som begärs får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna samlas in (t.ex. är uppgifter om för- äldrarnas akademiska examen eller yrke inte alltid nödvändiga).

Behandling av vissa uppgifter i elevfiler kan ge upphov till diskri- minering, t.ex. uppgift om invandrarstatus eller funktionsnedsätt- ning. Det konstateras att sådana uppgifter i regel inhämtas i syfte att trygga att skolan är medveten om och ägnar erforderlig uppmärk- samhet t.ex. åt elever med kulturellt betingade problem såsom språk- problem. Principen om barnets bästa och principen om ändamåls- begränsning bör vara de relevanta kriterierna vid behandling av såda- na uppgifter.

Det intas en mycket strikt hållning när det gäller införande av uppgifter om elevers religion i elevfiler. När det av administrativa skäl införs en uppgift om att en elev har särskilda kostönskemål i fråga om skolmat bör det inte i onödan dras några slutsatser om elevens reli- gion.

Alla uppgifter som kan ge upphov till diskriminering måste skyd- das genom lämpliga säkerhetsåtgärder och genom andra lämpliga åtgärder. Samtycke till behandling av alla uppgifter som kan ge upp- hov till diskriminering måste vara otvetydigt.

Behandling av uppgifter av särskild karaktär – t.ex. uppgifter om disciplinförfaranden, läkarbehandling i skolan, skolans inriktning (t.ex. när det rör sig om en skola som vilar på religiös grund) eller särskild utbildning för funktionshindrade – måste vara underkastad särskilda säkerhetskrav. Elevens vårdnadshavare och eleven själv, om han eller hon uppnått tillräcklig mognadsgrad, bör ges tillgång till uppgifterna i elevfiler. För övrigt bör tillgången till uppgifterna vara strängt reglerad och begränsad till skolmyndigheter, skolinspektörer, hälso- och sjukvårdspersonal, socialarbetare och rättsvårdande organ.

Den allmänna principen om att personuppgifter inte ska bevaras under längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna insamlades är giltig även när det gäller elevfiler.

Vidare konstateras att uppgifter om elevers hälsotillstånd är käns- liga personuppgifter och att dessa bör behandlas endast av läkare och andra personer som direkt ”har hand om” eleverna, såsom lärare och

99

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

annan skolpersonal som är bunden av tystnadsplikt. För behandling av uppgifter om elevers hälsotillstånd krävs det antingen att vårdnads- havarna har gett sitt samtycke eller att behandlingen är nödvändig för att skydda grundläggande intressen som har att göra med skolan eller utbildningen.

Beträffande skolwebbplatser uttalas att spridning av personinfor- mation via webbplatser kräver ett striktare iakttagande av grundläg- gande principer för uppgiftsskydd, särskilt uppgiftsminimering och proportionalitet. I syfte att skydda sådan information rekommen- deras skolorna att använda mekanismer för begräsning av tillträdet till webbplatserna, t.ex. genom inloggning med hjälp av användar-id och personlig säkerhetskod.

I yttrandet anges att publicering av fotografier av eleverna på internet bör göras grundat på en bedömning av vilken typ av foto det rör sig om, av om det är lämpligt att lägga ut fotot på nätet och av syftet med utläggningen. Eleverna och vårdnadshavarna bör på för- hand underrättas om publiceringen, men samtycke behöver inte nöd- vändigtvis inhämtas av vårdnadshavarna om det gäller gruppfoto och det inte är enkelt att identifiera eleverna (och det är tillåtet enligt nationell lagstiftning). Om en skola har för avsikt att lägga ut indi- viduella foton av eleverna med uppgift om deras identitet, måste den först inhämta vårdnadshavarnas och – beroende på elevernas mog- nadsgrad – elevernas tillstånd för detta.

Artikel 29-gruppen drar slutsatsen att bestämmelserna i den gällande rättsliga ramen i de flesta fall på ett ändamålsenligt vis säker- ställer skyddet för uppgifter om barn. En förutsättning för ett ända- målsenligt skydd för barnets integritet är dock att bestämmelserna tillämpas med beaktande av principen om att barnets bästa ska kom- ma i främsta rummet och med beaktande av barnets och vårdnads- havarnas specifika situation.

100

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

4.4It-användning inom skolväsendet

Vid Datainspektionens granskning av skolor 2001 konstaterades att it-system användes i begränsad omfattning för att lagra personupp- gifter om elever.4 En kartläggning under 2008 visade att skolorna använder centrala it-system inte bara för elevadministration utan också för att hantera uppgifter om sjukdom, frånvaro, betyg och indi- viduella utvecklingsplaner. Datainspektionen fann dock att det fanns stora brister i hur personuppgifterna hanterades i skolorna. För att komma till rätta med de vanligaste bristerna tog Datainspektionen fram en särskild checklista för skolor som använder sig av it-stöd i elevadministrationen. Det är skolans huvudman som har det yttersta ansvaret för hur personuppgifter behandlas. Datainspektionens lista behandlar bl.a. hur fritextfält bör användas, frågor om närvarorap- portering och vilken slags säkerhetsnivå skolans it-system ska hålla om det innehåller s.k. integritetskänsliga personuppgifter och är tillgängligt via internet.5

Datainspektionen gjorde under 2009 en uppföljning av kartlägg- ningen från 2008 och kunde konstatera att det fortfarande fanns brister i hur skolorna hanterar personuppgifter om elever och för- äldrar i sina it-system, men de brister som uppmärksammades rörde dock främst bevarande och gallring av personuppgifter.6

I Skolverkets uppföljning 2015 av it-användningen och it-kompe- tensen i förskola, skola och vuxenutbildningen konstateras att it- utrustningen ökar i förskola, grundskola och gymnasieskola jäm- fört med senaste uppföljningen 2012.7

Vidare framgår att både elever och lärare använder it i skolan allt oftare. Sett till eleverna använde de 2015 jämfört med 2012 it oftare både till skoluppgifter och på lektionerna och lärarna använde it i allt större utsträckning för olika arbetsuppgifter. Uppemot hälften av eleverna i årskurs 7–9 använde dator, surfplatta eller smartphone på alla eller de flesta lektionerna i svenska och samhällsorienterade

4www.datainspektionen.se/press/nyheter/2008/stora-brister-i-hur-skolor-hanterar- personuppgifter/

5www.datainspektionen.se/press/nyheter/2008/stora-brister-i-hur-skolor-hanterar- personuppgifter/

6www.datainspektionen.se/press/nyheter/2009/fortsatta-brister-i-hur-skolor-hanterar- personuppgifter/

7Skolverkets rapport: IT-användning och IT-kompetens i skolan, Skolverkets IT-uppfölj- ning 2015, dnr 2015:00067.

101

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

ämnen 2015. I gymnasieskolan använde närmare sju av tio elever dator eller surfplatta på alla eller de flesta lektionerna i svenska och samhällskunskap.

Många skolor, sju av tio grundskolor och åtta av tio gymnasie- skolor, använde 2015 s.k. molntjänster som t.ex. Google apps, Office 365 och iCloud. En molntjänst innebär möjligheten att t.ex. hantera program och datalagring på en extern resurs.

Antalet skolor som använder sig av internetbaserade plattformar för samarbetet mellan elever och lärare har också ökat mellan 2012 och 2015. Sådana plattformar användes 2015 i 67 procent av de kom- munala grundskolorna, i 56 procent av de fristående grundskolorna, i 95 procent av de kommunala gymnasieskolorna och i 84 procent av de fristående gymnasieskolorna. Även andelen skolor som använde en internetbaserad plattform för kommunikationen mellan vård- nadshavare och skola har ökat.

Många skolor har en egen webbplats. Sådana webbplatser används oftare i gymnasieskolor än i grundskolor. Vanligt förekommande tjänster i skolorna är möjligheten att via skolans webbplats eller internetbaserade plattform få åtkomst till bl.a. schema, läxor och hemarbeten, skolresultat och funktioner för frånvaroanmälan.

Av Skolverkets redovisning i april 2016 av uppdraget om att före- slå nationella it-strategier för skolväsendet8 framgår att marknaden för digitala läromedel är ganska liten. Av de läromedel som såldes 2014 av förlag anknutna till Svenska Läromedel var 4,4 procent digitala. Vidare anges att det sedan några år utvecklas en typ av verk- tyg som registrerar elevernas arbete och resultat för att skapa bättre möjligheter att följa dessa och deras kunskapsutveckling. I verktygen kan uppgifter om t.ex. den tid en elev använt för en uppgift eller interaktion med andra elever registreras. Än så länge sker detta främst inom ramen för enstaka produkter men det utvecklas också verktyg som avser att samla data från olika källor och presentera samlat för läraren.

Det här området benämns learning analytics. Learning analytics handlar om att samla och analysera data på olika nivåer för att förbätt-

8 Skolverkets redovisning av uppdraget om att föreslå nationella IT-strategier för skolväsen- det, dnr 2015:01153, IT-strategi som vänder sig till förskolan, föreskoleklassen, fritidshem- met och den obligatoriska skolan, s. 32 ff. och IT-strategin som vänder sig till gymnasiesko- lan, gymnasiesärskolan och skolväsendet för vuxna, s. 42 ff.

102

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

ra förutsättningarna för elevers lärande. Det handlar också om att ge stöd för lärarens bedömning liksom beslutsstöd på huvudmannanivå.9 Förhoppningen är att den insamlade informationen kan bearbetas och presenteras överskådligt och därigenom underlätta för läraren att bl.a. individualisera undervisningen och ge eleven underlag för reflek-

tion kring det egna lärarandet.

Integritetskommittén konstaterar i sitt delbetänkande10 att digi- tala lärplattformar, dvs. internetbaserade system som möjliggör olika sorters interaktivitet och kommunikation mellan elever, lärare och vårdnadshavare, kan möjliggöra en detaljerad loggning av elevens aktiviteter med information om t.ex. när på dygnet eleven arbetar i systemet, hur eleven interagerar och kommunicerar med lärare och andra elever och hur aktivt eleven arbetar med sina olika ämnen i systemet. Denna information skulle genom learning analytics kunna användas för att få veta mer om elevens inlärningsprocess. Learning analytics är ännu i sin linda.

Skolverket bevakar området learning analytics för att kunna iden- tifiera behov av reglering respektive bidra till utvecklandet av stan- darder för utbyte av information inom skolväsendet.11

Utredningen om nationella prov har i betänkandet Likvärdigt, rättssäkert och effektivt – ett nytt system för kunskapsbedömning, SOU 2016:25, föreslagit bl.a. att en särskild lag om behandling av personuppgifter i en försöksverksamhet med digitaliserade nationella prov ska införas. Det ingår dock inte i utredningens uppdrag att se över den föreslagna lagen och den behandlas därför inte i detta betän- kande.

4.5Personuppgiftsbehandling inom skolväsendet

Av beskrivningen i föregående avsnitt framgår att det inom den skol- lagsreglerade verksamheten används olika it-system. Genom använd- ningen av dessa behandlas elevernas personuppgifter i olika samman- hang. Att här ange samtliga behandlingar som sker hos berörda

9www.skolverket.se/skolutveckling/resurser-for-larande/itiskolan/digitala- larresurser/learning-analytics-1.223404 (Senast granskad: 2015-03-25)

10Hur står det till med den personliga integriteten? SOU 2016:41, s. 181 f.

11Skolverkets redovisning av regeringsuppdraget om att föreslå nationella IT-strategier för skolväsendet förskolan etc. s. 33 och gymnasieskolan etc. s. 45.

103

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

huvudmän och aktörer låter sig inte göras. Utifrån utredningens uppdrag, att det när dataskyddsförordningen ska börja tillämpas ska finnas en reglering som möjliggör en ändamålsenlig behandling inom utbildningsområdet, ges nedan därför en översiktlig beskrivning endast av de huvudsakliga behandlingarna som sker inom området.

Personuppgifter om elever behandlas i skolväsendet för elevadmi- nistrativa ändamål för att kunna planera, genomföra och följa upp elevernas utbildning.

Inom kommunernas organisation för bl.a. mottagande och erbju- dande av plats i de olika skolformerna behandlas bl.a. elevens namn, personnummer, adress, vårdnadshavare och kontaktuppgifter till des- sa. Det kan också förekomma att känsliga personuppgifter behandlas, t.ex. uppgifter om elevens hälsotillstånd.

Inom skolornas elevadministration behandlas uppgifter om bl.a. elevens namn, personnummer, adress, vårdnadshavare och kontakt- uppgifter till dessa. Vid skapandet av klasslistor behandlas person- uppgifter i form av namn och adress. I skolorna behandlas också elevens personuppgifter i samband med att de registrerar elevers från- varo respektive närvaro (7 kap. 17 § skollagen), för dokumentation för att kunna skriva utvecklingsplaner och i utvecklingsplanen (t.ex. 10 kap. 12 och 13 §§ skollagen). Vid upprättandet av t.ex. en lista över elevers ämnesval, såsom språkval och modersmålsundervisning (t.ex. 10 kap. 7 § skollagen), behöver också personuppgiftsbehand- ling ske. Även vid dokumentation inför betygssättning och av själva betygssättningen (3 kap. 13 § skollagen), t.ex. i betygsregister, behandlas elevernas personuppgifter i form av namn, personnummer och betyg i ämnen, kurser och gymnasiearbete.

När en skola utreder och beslutar om stödåtgärder (t.ex. 3 kap. 5 a och 8 §§ skollagen) respektive åtgärdsprogram (3 kap. 9 § skol- lagen) behandlas också personuppgifter. Om disciplinära åtgärder vidtas ska dessa dokumenteras skriftligt (5 kap. 24 § skollagen) var- vid personuppgiftsbehandling sker.

Personuppgifter behandlas även inom elevhälsan, t.ex. i samband med allmänna hälsokontroller som ska erbjudas i vissa skolformer (2 kap. 26 § skollagen) eller vid specialpedagogiska insatser (2 kap. 25 § skollagen).

Även vid lämnande av information till eleven eller elevens vård- nadshavare (3 kap. 4 § skollagen) kan personuppgiftsbehandling bli

104

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

aktuell beroende på hur informationen lämnas t.ex. genom ett e-post- meddelande.

Beroende av val av it-lösning kan det administrativa systemet vara integrerat med funktioner för det dagliga pedagogiska och admi- nistrativa arbetet för lärarna med t.ex. närvarohantering, betygs- sättning, provscheman, planeringar, nyheter, elevinlämningar och kommunikation mellan lärare och elev respektive vårdnadshavare.

Elevernas personuppgifter kan även behandlas automatiskt i undervisningen genom att t.ex. en lärare anvisar eleverna till att lämna in en uppsats via en lärplattform eller via e-post. En annan situation där det sker personuppgiftsbehandling är om eleverna får ett konto på skolans server eller får en bärbar dator och eleverna använder dessa till att t.ex. skriva sina elevarbeten eller leta efter information på internet.

Känsliga personuppgifter kan förekomma vid vissa personupp- giftsbehandlingar, t.ex. i uppgiftssamlingar om allergier inom elev- hälsan och skolmatsalen, uppgifter om funktionsnedsättning och olika diagnoser i elevhälsan, elevvårdsteam och åtgärdsprogram. I utvecklingsplaner kan integritetskänsliga omdömen och bedömningar av elevernas möjligheter att nå kunskapskrav förekomma.

Personuppgiftsbehandling förekommer också i form av att barnen fotograferas av personalen i syfte att dokumentera verksamheten inom främst förskolan. Personuppgiftsbehandling i form av ljud- och filminspelningar kan även förekomma i undervisningssammanhang och elevarbeten.

Även i skolbiblioteken behandlas elevernas personuppgifter för att personalen ska kunna ha kontroll över vilka böcker som är utlå- nade till vem.

I förskolorna, fritidshemmen och pedagogisk omsorg behandlas barnens och elevernas personuppgifter i form av i vart fall namn för att kunna planera och genomföra respektive uppdrag att stimulera barnens och elevernas utveckling och lärande. Personalen i respek- tive verksamhet behöver även kunna notera när ett barn eller en elev kommit respektive gått för dagen. Även inom dessa verksamheter kan det finnas behov av att kunna behandla känsliga personuppgifter, t.ex. uppgifter om allergier.

Huvudmän för fristående förskolor och skolor behandlar även barnens respektive elevernas personuppgifter i samband med att de informerar kommunen om att de tagit emot ett barn eller en elev för

105

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

att huvudmannen ska få bidrag från hemkommunen (t.ex. 9 kap. 19 § och 10 kap. 37 § skollagen). I de fall en elev har ett omfattande behov av särskilt stöd eller ska erbjudas modersmålsundervisning ska hem- kommunen betala ett tilläggsbelopp (t.ex. 9 kap. 21 § och 10 kap. 39 § skollagen). I ansökan om tilläggsbelopp förekommer känsliga person- uppgifter om eleven, t.ex. uppgift om funktionsnedsättning och behov av tekniska hjälpmedel.

Skolorna behandlar även elevernas personuppgifter vid resultat- uppföljningar som görs för dels huvudmannens systematiska kvali- tetsarbete (4 kap. 3 § skollagen), dels nationell uppföljning och utvärdering (26 kap. 25 § skollagen, förordning [1992:1083] om viss uppgiftsskyldighet för huvudmännen inom skolväsendet m.m. och Skolverkets föreskrifter [SKOLFS 2011:142] om uppgiftsinsamling från huvudmännen inom skolväsendet m.m.).

Särskilt om elevhälsan

Elevhälsan omfattar medicinska, psykologiska, psykosociala och specialpedagogiska insatser. Den del av elevhälsan som består av den medicinska grenen (hälso- och sjukvård) anses utgöra en självständig verksamhetsgren i förhållande till den övriga elevhälsan. För den personuppgiftsbehandling som sker inom hälso- och sjukvården som bedrivs på skolorna gäller patientdatalagen (2008:355). Förutom patientdatalagen med tillhörande förordning innehåller Socialstyrel- sens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journal- föring och behandling av personuppgifter inom hälso- och sjukvården bestämmelser om dokumentation.

Vid vård av patienter ska det föras patientjournal (3 kap. 1 § patientdatalagen). Syftet med journalen är i första hand att bidra till en god och säker vård av patienten. För skolsköterskan och skol- läkaren är journalen för elevhälsans medicinska insats ett underlag för att bedöma eventuella behov av uppföljning eller åtgärder utifrån tidi- gare undersökningsfynd eller åtgärder. Det kan till exempel gälla uppföljning av en ryggundersökning som genomförts i den egna elevhälsan eller i en annan elevhälsa. Journalen för elevhälsans medi- cinska insats är även en informationskälla för vårdnadshavaren och eleven.

106

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

Även skolpsykologer brukar ingå i hälso- och sjukvårdsperso- nalen och har skyldighet att föra patientjournal. Huruvida en skol- psykologs utredning av och insatser för en elev är hälso- och sjuk- vård eller inte beror på dess karaktär. Om skolpsykologen gör en individuell utredning av elevens psykiska hälsa i en patient- och behandlarrelation är verksamheten hälso- och sjukvård. En sådan utredning kan bl.a. ha sin grund i att det pedagogiska arbetet inte fungerar. Om utredningen och insatserna i stället är av mer generell karaktär och främst är knutna till den pedagogiska miljön är det emellertid inte hälso- och sjukvård.12

Journalföringsskyldigheten är densamma i fristående skolor som i kommunala skolor.

Elevhälsans psykosociala insatser utförs vanligen av skolkuratorer och de specialpedagogiska insatserna av personal med specialpeda- gogisk kompetens. Även om en specialpedagog eller motsvarande och, i vissa fall, en skolkurator inte har någon skyldighet att föra patientjournal så har de en dokumentationsskyldighet vid handlägg- ning av enskilda elevärenden som avser myndighetsutövning (29 kap. 10 § skollagen). Det kan exempelvis vara ärenden om särskilt stöd. Personuppgiftsbehandlingen ska då göras enligt personuppgifts- lagens bestämmelser. För insatser inom ramen för faktiskt handlande finns inget dokumentationskrav. Gränsen mellan vad som är ärende- handläggning och faktiskt handlande är inte alltid helt tydlig.

4.6Rättslig grund för personuppgiftsbehandling

4.6.1Utredningens uppdrag i denna del

Kommittédirektiven

För att personuppgifter ska få behandlas helt eller delvis automatiskt eller annan behandling ska få ske av personuppgifter som ingår i eller kommer att ingå i ett register krävs att en rättslig grund i artikel 6.1 i dataskyddsförordningen är tillämplig. Enligt artikel 6.3 första stycket ska grunden för den behandling av personuppgifter som av- ses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den nationella rätten som den personuppgiftsansvarige omfattas av.

12 Socialstyrelsens och Skolverkets Vägledning för elevhälsa – reviderad version 2016, s. 26.

107

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

Enligt kommittédirektiven behöver det analyseras vad dataskydds- förordningens krav i denna del innebär i fråga om nationell författ- ningsreglering. Dataskyddsutredningen ska analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myn- digheters och andra organs behandling och lämna behövliga och lämpliga författningsförslag.

När det gäller behandling av personuppgifter som utförs av myn- digheter, kommuner, landsting och enskilda inom utbildningsom- rådet, förutom forskningsverksamhet, uppdras det åt utredningen att analysera om en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskydds- utredningen kommer att föreslå, för att säkerställa att nödvändig behandling av personuppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.

Utredningen ska därför undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom skollagsreglerad utbildnings- verksamhet som är möjlig och kan behövas utöver dataskyddsför- ordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå och lämna de författningsförslag som behövs.

Utredningens närmare utgångspunkter

I dagsläget regleras skolväsendets och de övriga skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling av person- uppgiftslagen. Förutom för den medicinska verksamheten inom elevhälsan, som omfattas av patientdatalagen, finns det ingen särskild registerförfattning för denna personuppgiftsbehandling. Den 25 maj 2018 ska dataskyddsförordningen börja tillämpas. Utredningen utgår från att Dataskyddsutredningens förslag till lag (2018:xx) om kom- pletterande bestämmelser till EU:s dataskyddsförordning (data- skyddslagen) kommer att träda i kraft samma dag och att person- uppgiftslagen därigenom kommer att upphävas.

För en personuppgiftsansvarig som anordnar utbildning eller full- gör andra uppgifter enligt skollagen innebär detta att denne måste ha stöd för sin behandling i en rättslig grund enligt artikel 6.1 i data- skyddsförordningen om behandlingen företas på helt eller delvis automatisk väg eller ingår i eller kommer att ingå i ett register. De

108

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

rättsliga grunder som främst är aktuella för en personuppgiftsansvarig inom det skollagsreglerade utbildningsområdet att tillämpa är dels att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (c), dels att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (e). Ytter- ligare grunder som skulle kunna vara aktuella är samtycke från den registrerade till behandlingen (a) och för enskilda huvudmän intresse- avvägningen enligt (f).

Beträffande de rättsliga grunderna i artikel 6.1 c och e i data- skyddsförordningen krävs, enligt artikel 6.3 första stycket, att de är fastställda i enlighet med unionsrätten eller en medlemsstats natio- nella rätt som den personuppgiftsansvarige omfattas av för att de ska vara tillämpliga. Detta är nytt i jämförelse med personuppgiftslagen. Såsom redogjorts för i avsnitt 3.4.1 är Dataskyddsutredningens upp- fattning att det med grunden för behandlingen i artikel 6.3 första stycket avses den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen (SOU 2017:39, avsnitt 8.3.1). En- ligt Dataskyddsutredningens bedömning innebär kravet på att grunden för behandlingen ska fastställas inte att det krävs en särskild reglering med anledning av dataskyddsförordningens ikraftträdande, men förekomsten av reglering avgör i vilken utsträckning personupp- giftsansvariga kan åberopa de rättsliga grunder som avses i artikel 6.1 c och e.

Av artikel 6.3 andra stycket framgår att syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets- utövning. Vidare anges att den rättsliga grunden kan innehålla sär- skilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Kommittédirektivens beskrivning av utbildningsområdet omfat- tar inte de uppgifter som skollagen ålägger hemkommunen gene- rellt, t.ex. anordna skolskjuts och betala bidrag till enskilda huvud- män. Andra uppgifter som åligger hemkommunen omnämns dock särskilt t.ex. att hemkommunen ska föra ett register över de ung-

109

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

domar i kommunen som omfattas av aktivitetsansvaret enligt 29 kap. 9 § skollagen.

Av direktiven framgår dock att utredningen är oförhindrad att inom de ramar som angetts för uppdraget ta upp och belysa även andra frågeställningar som är relevanta för uppdraget. Om utreda- ren kommer fram till att det krävs eller är lämpligt med komplet- terande eller ändrade nationella bestämmelser i andra delar än de som ska utredas särskilt, ska sådana föreslås.

Det har framkommit att det förenklar för kommunerna om de, när de behandlar personuppgifter med anledning av skollagen har att tillämpa samma regelverk, oavsett om behandlingen grundas i en uppgift som utförs på grund av att kommunen är huvudman för en viss skolform eller om behandlingen grundas i ett annat åliggande enligt skollagen. Utredningen har därför valt att även ta upp frågor som rör kommunernas åligganden såsom hemkommuner enligt skol- lagen.

De första frågor som utredningen har att ta ställning till är om det finns en eller flera rättsliga grunder som är tillämpliga för huvud- männen för den skollagsreglerade utbildningsverksamheten och kom- munerna såsom hemkommuner, dvs. de personuppgiftsansvariga, när de behandlar personuppgifter. Om utredningen kommer fram till att dessa fullgör en rättslig förpliktelse, utför en uppgift av allmänt intresse eller utför en uppgift som ett led i myndighetsutövning måste utredningen även ta ställning till vilket rättsligt stöd det finns för verksamheterna att utföra dessa uppgifter, dvs. om grunderna är fastställda i svensk rätt.

Som framgår av följande avsnitt bedömer utredningen att upp- gift av allmänt intresse är den rättsliga grund som skollagsreglerad utbildningsverksamhet oftast kan tillämpa vid behandling av person- uppgifter. Av den anledningen inleds genomgången av de rättsliga grunderna med den.

110

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

4.6.2Uppgift av allmänt intresse

Bedömning: Genom bestämmelser i skollagen med anslutande föreskrifter och beslut fattade med stöd av dessa är det i svensk rätt fastställt att tillhandahållande, anordnande och bedrivande av utbildning och annan pedagogisk verksamhet är en uppgift av allmänt intresse.

Artikel 6.1 e i dataskyddsförordningen kan därmed utgöra rättslig grund för nödvändig personuppgiftsbehandling för att ut- öva verksamhet som har sin grund i nämnda föreskrifter när per- sonuppgiftslagen upphävs. Det finns således inget behov av en särskild reglering för att de skollagsreglerade verksamheterna ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse.

Är anordnande och bedrivande av utbildning en fastställd uppgift av allmänt intresse?

Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I artikel 6.1 anges att en behandling är laglig endast om och i den mån åtminstone ett av de i artikeln uppräknade vill- koren är uppfyllt. Enligt artikel 6.1 e får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Artikeln är inte begränsad till offentligrättsliga aktörer utan den rättsliga grunden allmänt intresse kan åberopas av både det allmänna och enskilda.

Begreppet allmänt intresse är ett unionsrättsligt begrepp som ännu inte har definierats. I artikel 14 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02) anges att var och en har rätt till utbildning och att denna rätt innefattar möjligheten att kost- nadsfritt följa den obligatoriska undervisningen. Att utbildning är en grundläggande rättighet talar för att utbildning, på EU-nivå, bedöms vara en uppgift av allmänt intresse.

Dataskyddsutredningens bedömning är att det med hänsyn till svensk förvaltningstradition är rimligt att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse. Även de obligatoriska uppgifter som utförs av kommuner och landsting, till

111

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

följd av deras åligganden enligt lag eller förordning, bör vara av all- mänt intresse i dataskyddsförordningens mening. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndig- het, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör även entreprenören anses utföra en uppgift av allmänt intresse. Genom avmonopolisering och konkurrensutsättning av offentlig verksamhet utför numera även privaträttsliga organ en inte obetydlig del av de uppgifter som måste anses vara av allmänt intresse, t.ex. barnomsorg och skola (SOU 2017:39, avsnitt 8.3.4).

Enligt 1 kap. 2 § andra stycket regeringsformen ska det allmänna särskilt trygga rätten till bl.a. utbildning. Syftet med bestämmelsen är att ange mål för den samhälleliga verksamheten. Redan härur kan det utläsas att anordnande av utbildning enligt svensk rätt är en uppgift av allmänt intresse.

Därtill finns skollagen med anslutande föreskrifter som innehåller närmare bestämmelser om utbildning för barn och vuxna. I förarbe- tena till den nuvarande skollagen anförs att utbildningen är av bety- delse både för den enskilda individens utveckling och för samhälls- utvecklingen (prop. 2009/10:165 s. 634). Redan utredningen om offentlighet och sekretess i skolan ansåg att det är av stort allmänt intresse att skolorna kan fullgöra sina arbetsuppgifter (SOU 2003:103 s. 199). Regeringen har i två propositioner från i mars 2017 ansett att undervisning inom skolväsendet får anses vara en uppgift av allmänt intresse i den mening som avses i 10 § PUL (prop. 2016/17:156 s. 43 och prop. 2016/17:161 s. 21).

Skollagen innehåller förutom bestämmelser om skolväsendet och särskilda utbildningsformer även bestämmelser om bl.a. annan peda- gogisk verksamhet (25 kap.), se avsnitt 4.1.3. Även om annan pedago- gisk verksamhet i strikt mening inte skulle inrymmas i begreppet utbildning så utgör de uppgifter som utförs av kommuner till följd av deras åligganden enligt skollagen med anslutande föreskrifter. När det gäller öppen förskola är det visserligen enligt skollagen frivilligt för kommunen att anordna sådan men om kommunen fattar beslut om att anordna öppen förskola måste verksamheten följa de före- skrifter som kommunen ställer upp. Enligt utredningens bedömning bör även annan pedagogisk verksamhet vara en uppgift av allmänt intresse i dataskyddsförordningens mening. Detsamma gäller för öppen fritidsverksamhet som erbjuds av en huvudman.

112

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

Även de uppgifter som åligger en kommun såsom hemkommun enligt skollagen, t.ex. ansvar för att utbildning i förskola kommer till stånd för alla barn i kommunen som ska erbjudas förskola och vars vårdnadshavare önskar det (8 kap. 12 § skollagen) eller tillhandahålla skolskjuts (t.ex. 10 kap. 32 § skollagen) är enligt utredningens bedöm- ning en uppgift av allmänt intresse i dataskyddsförordningens mening.

Utredningens bedömning är således att tillhandahållande och anordnande av utbildning och annan pedagogisk verksamhet enligt skollagen med anslutande föreskrifter är en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.

Frågan härefter blir om denna uppgift är fastställd i svensk rätt. Av skäl 41 till dataskyddsförordningen framgår att en rättslig grund bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den.

Skolväsendets, de särskilda utbildningsformernas och annan peda- gogisk verksamhets samt hemkommunernas uppdrag och åligganden framgår av skollagen men även av flera förordningar som alla antagits i enlighet med grundlagens bestämmelser om normgivningskom- petens. Skollagen anger vilka ramar som gäller för all skolverksamhet. Där finns de övergripande målen och riktlinjerna för skolan. Läro- planerna ska tillsammans med skollagen styra verksamheten i skolan. I ämnes- och kursplanerna står vilket syfte och mål undervisningen i varje ämne ska ha. Kursplanerna talar inte om hur undervisningen ska läggas upp eller vilka arbetssätt som ska användas. Däremot anger kursplanerna vilka kunskapskvalitéer som ska utvecklas hos eleverna. Uppgiften av allmänt intresse som går att utläsa av skollagen och tillhörande föreskrifter kan sammanfattas till att tillhandhålla, anord- na och genomföra samt utvärdera och följa upp utbildning och annan pedagogisk verksamhet.

Av avsnitt 4.1 framgår vilka som enligt 1 kap. 1 § och 2 kap. 2– 6 §§ skollagen kan vara huvudmän för olika skolformer. Den när- mare innebörden av uppdragen och åliggandena inom dessa verksamheter framgår av 2–21 kap. skollagen och föreskrifter som har sin grund i den lagen som t.ex. skolförordningen, gymnasie- förordningen, förordningen (SKOLFS 2010:37) om läroplan för grundskolan, förskoleklassen och fritidshemmet, förordningen (SKOLFS 2011:144) om läroplan för gymnasieskolan, förordningen (SKOLFS 2010:14) om examensmål för gymnasieskolans nationella program, förordningen (SKOLFS 2010:261) om ämnesplaner för de

113

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

gymnasiegemensamma ämnena och Skolverkets föreskrifter (SKOLFS 2011:19) om kunskapskrav för grundskolans ämnen.

Av 2 kap. 8 § skollagen framgår att huvudmannen ansvarar för att utbildningen genomförs i enlighet med bestämmelserna i denna lag, föreskrifter som har meddelats med stöd av lagen och de bestäm- melser för utbildningen som kan finnas i andra författningar. Genom bestämmelserna i 2 kap. 2–4 §§ skollagen åligger det kommuner, staten och i vissa fall landsting att vara huvudmän för vissa skol- former inom skolväsendet och därigenom bedriva utbildningen i enlighet med skollagen och anslutande föreskrifter. Av 5 § framgår att enskilda efter ansökan får godkännas som huvudmän för vissa skolformer. Genom Skolinspektionens beslut om godkännande av enskild som huvudman för förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola eller fritidshem som anordnas vid en skolenhet med förskoleklass, grundskola eller grundskola är den enskilde huvudmannen ålagd att anordna utbildning i enlighet med de bestämmelser som gäller för den aktuella skolformen. På mot- svarande sätt utgör en kommuns godkännande av en enskild som huvudman för en fristående förskola eller ett fristående fritidshem som inte är kopplat till en skolenhet ett åläggande för huvudmannen att bedriva utbildningen i enlighet med skollagen och anslutande föreskrifter.

Huvudmännen är, oavsett om de är en kommun, ett landsting, staten eller ett privaträttsligt subjekt, skyldiga att genomföra utbild- ningen i enlighet med bestämmelserna i skollagen och anslutande föreskrifter samt de bestämmelser för utbildningen som kan finnas i andra författningar, dvs. i enlighet med en offentligrättslig lagstift- ning. Uppdraget att bedriva utbildning är således detsamma oavsett huvudmannaskap.

Legalitetsprincipen

Enligt 1 kap. 1 § regeringsformen utövas den offentliga makten under lagarna. Med uttrycket lagarna avses inte endast sådana föreskrifter som riksdagen har beslutat utan även andra författningar och t.ex. sedvanerätt (prop. 1973:90 s. 397). All offentlig verksamhet, oavsett dess karaktär måste grundas på skrivna regler i rättsordningen. För statliga, kommunala eller landstings myndigheter gäller legalitets-

114

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

principen, dvs. myndigheternas maktutövning i vidsträckt mening måste ha stöd i någon av de källor som tillsammans bildar rättsord- ningen. Kravet på författningsstöd bildar utgångspunkten för myn- digheternas verksamhet, såväl när det gäller att handlägga ärenden och beslut i dessa som i fråga om annan verksamhet som en myndighet bedriver.

Det kan vidare nämnas att regeringen i en proposition om ny för- valtningslag föreslår att legalitetsprincipen även ska komma till ut- tryck i förvaltningslagen (prop. 2016/17:180 s. 57 f. och 289). Av föreslagen 5 § framgår att en myndighet endast får vidta åtgärder som har stöd i rättsordningen. Paragrafen föreslås gälla i all verk- samhet som en myndighet bedriver, dvs. vid såväl handläggning av och beslutsfattande i enskilda ärenden som s.k. faktiskt handlande. Med kravet på legalitet menar regeringen att det ska finnas någon form av normmässig förankring för all typ av verksamhet som en myndighet bedriver. Däremot bör det inte ställas krav på att varje enskild åtgärd som en myndighet vidtar kan kopplas till ett specifikt bemyndigande. Kravet på legalitet bör inte heller uppfattas så att en myndighets åtgärd måste ha uttryckligt stöd i en viss lagbestämmelse eller i andra föreskrifter som har meddelats i enlighet med 8 kap. regeringsformen.

Det råder ingen tvekan om att de förskolor och skolor vars huvudmän är staten, en kommun eller ett landsting är bundna av legalitetsprincipen. Dessa måste därför ha någon form av normmässig förankring i skollagen med tillhörande föreskrifter för de åtgärder de vidtar inom anordnandet av utbildningen. Detsamma gäller kommu- nerna när de utför sina åligganden som hemkommun enligt skollagen.

När ett privaträttsligt subjekt, en enskild, fått ett godkännande att bedriva fristående skola innebär det att uppgifter som innefattar myndighetsutövning mot enskilda, t.ex. beslut om disciplinära åtgärder och åtgärdsprogram, överlämnats till huvudmannen (prop. 2009/10:165 s. 598). I 1 kap. 9 § regeringsformen anges att domstolar samt förvaltningsmyndigheter och andra som fullgör offentliga förvaltningsuppgifter ska i sin verksamhet beakta allas lik- het inför lagen samt iaktta saklighet och opartiskhet. Normmäs- sighets- och objektivitetskravet gäller således även för privaträttsliga subjekt när de fullgör förvaltningsuppgifter som har överlämnats till dem (prop. 2009/10:80 s. 247). Det innebär att dessa principer gäller

115

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

även för de skolor vars huvudmän är ett privaträttsligt subjekt, en enskild, inom uppdraget att anordna utbildning.

Frågan om de enskilda huvudmännen för fristående skolor är bundna av legalitetsprincipen har uppmärksammats av Johan Hirschfeldt och Lotta Lerwall i artikeln Friskolorna – några konsti- tutionella synpunkter på deras ställning.13 Författarna anser att fristående skolor i förhållande till eleverna är bundna av legalitets- principen. Detta eftersom verksamheten i de fristående skolorna i förhållande till eleverna utgör offentliga förvaltningsuppgifter och då inte bara vid myndighetsutövning. Därtill har eleverna skolplikt eller plikt att närvara i skolan.

Huvudmännen för fristående skolor är bundna av skollagen med anslutande föreskrifters bestämmelser när de bedriver utbildning. Utredningen instämmer i bedömningen att de fristående skolornas huvudmän i förhållande till eleverna är bundna av legalitetsprincipen när de anordnar utbildning för eleverna enligt skollagen med tillhö- rande föreskrifter eftersom de därigenom på samma sätt som skolor vars huvudmän är staten, en kommun eller ett landsting, utövar offentlig makt över eleverna.

Som tidigare nämnts är utredningen även av uppfattningen att huvudmännen för de fristående förskolorna och fritidshemmen är bundna av skollagen med anslutande föreskrifter när de bedriver sådan utbildning.

Skollagen

Av skollagen och anslutande föreskrifter framgår mer precist vilka uppgifter som åligger huvudmännen när de anordnar utbildning och hemkommunerna när de tillhandahåller utbildning m.m. Som exem- pel på personuppgiftsbehandling som kan anses nödvändig på grund av huvudmännens uppgifter enligt skollagen kan t.ex. elevregister för administration av elevernas närvaro (7 kap. 17 § skollagen), doku- ment av elevernas kunskaper för att kunna hålla utvecklingssamtal, skriva en utvecklingsplan (t.ex. 10 kap. 12 och 13 §§ skollagen) och betygssätta (3 kap. 13 § skollagen) nämnas.

13 Ur boken Bertil Bengtsson 90 år, s. 169 f.

116

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

Ett annat exempel är själva undervisningen. Med undervisning avses enligt 1 kap. 3 § skollagen sådana målstyrda processer som under ledning av lärare och förskollärare syftar till utveckling och lärande genom inhämtande och utvecklande av kunskaper och vär- den. Med utbildning avses enligt samma bestämmelse den verksam- het inom vilken undervisning sker utifrån bestämda mål. Av förarbe- tena (prop. 2009/10:165 s. 217 f.) framgår att begreppet undervis- ning fått en definition som är anpassad för såväl förskola och fri- tidshem som skola och vuxenutbildning. Begreppet har getts en vid tolkning i dessa verksamheter. Med undervisning avses inte bara katederundervisning utan även t.ex. förmedlande och undersökande undervisningsmetodik. Det är centralt i den kunskapssyn som genomsyrar skolans samtliga styrdokument att undervisningen syf- tar till att eleverna ska inhämta samt utveckla både kunskaper och värden. I förskolan bildar omsorg, utveckling och lärande en helhet i undervisningen.

I förarbetena anges vidare att begreppet utbildning utgör en över- gripande term som beskriver all den verksamhet som omfattas av de övergripande målen i skolförfattningarna. Begreppet utbildning är ett vidare begrepp än undervisning och kan omfatta annan verk- samhet än undervisning i den inre och yttre miljön, t.ex. på skol- gården och i matsalen eller organiserat lärande förlagt till en arbets- plats. Utbildning kan dessutom omfatta annan verksamhet som äger rum t.ex. vid lägerskolor, utflykter eller olika former av praktik eller annan verksamhetsförlagd verksamhet. I förskolan har utbildnings- begreppet ett brett pedagogiskt perspektiv där omsorg, utveckling och lärande bildar en helhet. I det vidare begreppet utbildning omfattas också de frivilliga konfessionella inslag som förskolor och skolor med enskild huvudman kan ha (1 kap. 7 § skollagen).

Vidare framgår av 1 kap. 11 § skollagen att det ska finnas en läro- plan för varje skolform och fritidshemmet som utgår från bestäm- melserna i skollagen. Läroplanen ska ange utbildningens värdegrund och uppdrag. Den ska också ange mål och riktlinjer för utbildningen.

För t.ex. skolformen grundskola anges i 5 kap. 2 § skolförord- ningen (2011:185) att eleverna ska genom strukturerad undervisning ges ett kontinuerligt och aktivt lärarstöd i den omfattning som behövs för att skapa förutsättningar för att eleverna når de kunskaps- krav som minst ska uppnås och i övrigt utvecklas så långt som möj- ligt inom ramen för utbildningen.

117

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

I förordningen (SKOLFS 2010:37) om läroplan för grundskolan, förskoleklassen och fritidshemmet uppställs mål för elevernas kun- skaper efter genomgången grundskola (avsnitt 2.2). Skolan ansvarar för att varje elev efter genomgången grundskola bl.a. kan använda modern teknik som ett verktyg för kunskapssökande, kommunika- tion, skapande och lärande.

Vidare anges i avsnitt 5.17 angående centralt innehåll för under- visningen i svenska i årskurs 1–3 under delen informationssökning och källkritik att informationssökning i böcker, tidskrifter och på webbsidor för barn ingår. För årskurs 4–6 ingår informationssökning i några olika medier och källor, till exempel i uppslagsböcker, genom intervjuer och via sökmotorer på internet. För årskurs 7–9 ingår informationssökning på bibliotek och på internet, i böcker och massmedier samt genom intervjuer. Vidare ingår i centralt innehåll i ämnet svenska för årskurs 1–3 att eleverna ska lära sig handstil och att skriva på dator och för årskurs 4–6 att skriva, disponera och redi- gera texter för hand och med hjälp av dator. För årskurs 7–9 ingår redigering och disposition av texter med hjälp av dator samt att lära sig olika funktioner för språkbehandling i digitala medier. Det ingår även att lära sig strategier för att skriva olika typer av texter med anpassning till deras typiska uppbyggnad och språkliga drag och ska- pande av texter där ord, bild och ljud samspelar.

Beträffande ämnet samhällskunskap (avsnitt 5.15 i nämnda läro- plan) anges att ett av syftena med undervisningen är att eleverna ska utveckla sin förmåga att söka information om samhället från medier, internet och andra källor och värdera deras relevans och trovärdighet.

Vidare uppställs som kunskapskrav för godtagbara kunskaper i svenska i slutet av årskurs 3 att eleven kan skriva enkla texter med läslig handstil och på dator (Skolverkets föreskrifter [SKOLFS 2011:19] om kunskapskrav för grundskolans ämnen).

Av läroplanen för grundskolan och föreskrifterna om kunskaps- krav för grundskolans ämnen kan utläsas att undervisningen (utbild- ningen), i vart fall i ämnena svenska och samhällskunskap, förutsätter att eleverna har tillgång till och använder sig av datorer. Om de inte får denna tillgång kommer eleverna inte att kunna uppnå kunskaps- kraven i svenska och samhällskunskap, dvs. att lära sig skriva texter på dator och söka information på internet.

Dessa uppräknade dokument anger mål med undervisningen men inte exakt i minsta detalj hur undervisningen ska läggas upp eller vilka

118

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

arbetssätt som ska användas. Läraren har ett visst mått av bestäm- mande över undervisningens innehåll men måste hålla sig inom de ramar som satts upp i bl.a. läroplanen och av skolans rektor. En lärare kan dock bestämma t.ex. vilken litteratur som eleverna ska läsa, vilka uppgifter som de ska lösa och vilka hjälpmedel som ev. ska användas t.ex. dator eller miniräknare. Detta innebär emellertid inte att själva undervisningen inte är fastställd i svensk rätt. Den undervisning som bedrivs av lärarna i skolorna har sitt stöd i skollagen med anslutande föreskrifter eftersom dessa sätter ramarna för undervisningen. Även själva undervisningen är enligt utredningens bedömning fastställd genom skollagen och anslutande föreskrifter och därigenom tydlig, precis och förutsägbar (jfr skäl 41 till dataskyddsförordningen).

Enligt utredningens bedömning har således de åtgärder som huvudmännen, oavsett om det är staten, en kommun, ett landsting eller en enskild, vidtar i syfte att utföra uppdragen eller uppfylla ålig- ganden enligt skollagen och anslutande föreskrifter mot bakgrund av det anförda i sig en legal grund, som har offentliggjorts genom tyd- liga, precisa och förutsebara regler (jfr skäl 41). Uppgiften av allmänt intresse som huvudmännen för olika skolformer utför, dvs. anordna utbildning, är således fastställd i svensk rätt genom skollagen med anslutande föreskrifter. Nödvändig behandling av personuppgifter för att utföra en uppgift som kan finna stöd i skollagen och därmed anslutande författningar kan ske med stöd av artikel 6.1 e i data- skyddsförordningen. Någon ytterligare reglering av huvudmännens obligatoriska uppgifter krävs inte för att de ska kunna vidta nödvän- diga behandlingsåtgärder för att fullgöra sina uppgifter.

Det finns således rättslig grund för de personuppgiftsbehandlingar som sker i dagsläget för att kunna bedriva utbildning enligt skollagen och anslutande författningar. Som framgår av avsnittet om legalitets- principen krävs det redan enligt gällande rätt att skolhuvudmännen har författningsstöd för sina åtgärder inom ramen för den skollags- reglerade verksamheten, dvs. uppgiften av allmänt intresse. Motsva- rande krav på författningsstöd kommer från och med den 25 maj 2018 gälla även enligt dataskyddsförordningen, men innebär alltså inte något principiellt nytt för skolhuvudmännen.

I den mån det bedöms angeläget att utvidga uppgiften av allmänt intresse – och därmed utöka möjligheten att behandla personupp- gifter med stöd av artikel 6.1 e i dataskyddsförordningen – utöver vad som i dagsläget framgår av skollagen och anslutande författningar

119

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

följer det redan av legalitetsprincipen att så måste ske genom ändrade eller nya föreskrifter för verksamheten.

Utredningen bedömer att även de övriga skyldigheter som enligt skollagen åligger hemkommunen – t.ex. att ansvara för att utbildning i grundskolan kommer till stånd (10 kap. 24 skollagen) och lämna bidrag till enskilda huvudmän för fristående förskolor och fristående skolor (8 kap. 21 § och 10 kap. 37 § skollagen) – är en uppgift av allmänt intresse. Dessa uppgifter av allmänt intresse är fastställda genom bestämmelserna i skollagen som reglerar just den aktuella uppgiften. Nödvändig behandling av personuppgifter för att utföra dessa uppgifter som kan finna stöd i skollagen och därmed anslutande författningar kan ske med stöd av artikel 6.1 e i dataskyddsförord- ningen. Någon ytterligare reglering av hemkommunernas obligato- riska uppgifter enligt skollagen krävs inte för att de ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra dessa.

Det är dock av vikt att påpeka att det kommer an på den person- uppgiftsansvarige att bedöma om den konkreta personuppgiftsbe- handlingen är nödvändig för att utföra en uppgift som kan utläsas av skollagen eller anslutande föreskrifter. Om t.ex. en lärare bestämmer att uppgifter ska lösas med hjälp av dator och eleverna därför ges inloggningsuppgifter till dessa uppgifter är det den personuppgifts- ansvarige som ska bedöma om personuppgiftsbehandlingen är nöd- vändig för att utföra uppgiften utbildning. Den personuppgifts- ansvarige måste således hålla sig väl informerad om gränserna för det uppdrag och de åligganden som följer av regleringen för den skol- lagsreglerade verksamheten.

Om den personuppgiftsansvarige inte finner stöd i skollagen eller anslutande föreskrifter för den verksamhet för vilken den aktuella personuppgiftsbehandlingen är nödvändig är det enligt utredningens mening inte fråga om sådan utbildningsverksamhet som ska bedrivas enligt nämnda författningar. I sådant fall måste den personuppgifts- ansvarige bedöma om en annan rättslig grund enligt artikel 6.1 är tillämplig för sådan personuppgiftsbehandling som inte krävs för att bedriva utbildning enligt skollagen. Om inte någon rättslig grund är tillämplig på behandlingen är den inte laglig enligt dataskyddsför- ordningen.

120

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

Ändamålet med behandlingen måste vara nödvändigt

Det bör betonas att rättslig grund inte ensam är en tillräcklig förutsättning för att behandling av personuppgifter ska vara tillåten. Därutöver måste den personuppgiftsansvarige även tillämpa principerna för behandling av personuppgifter i artikel 5 i dataskydds- förordningen. Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (5.1 a). De ska samlas in för särskilda, uttryckliga och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (5.1 b). Principen om att ändamålen ska vara berättigade utgör i likhet med principen om laglighet en direkt koppling till de rättsliga grunderna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte förenligt med artikel 5.

I artikel 6.3 andra stycket anges att syftet med behandlingen, i fråga om behandling enligt punkten 1 e (uppgift av allmänt intresse), ska vara nödvändigt för att utföra en uppgift av allmänt intresse. Enligt Dataskyddsutredningen behöver ändamålet inte framgå av den för- fattning eller det beslut där själva uppgiften fastställs. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. Bestämmelsen uttrycker det sam- band som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de särskilda ända- målen för behandlingen, vilket i normalfallet är den personupp- giftsansvarige, men i vissa fall även kan vara lagstiftaren. Detta krav på samband framgår även av artikel 5.1 b, där det anges att de sär- skilda ändamålen ska vara berättigade (SOU 2017:39, 8.3.4).

Ett exempel är skolbiblioteken. Eleverna i bl.a. grundskolan och gymnasieskolan ska ha tillgång till skolbibliotek (2 kap. 36 § skol- lagen). Biblioteken skulle visserligen kunna låna ut böcker till elever- na utan att registrera vem som lånat boken, men om inte alla böcker lämnas tillbaka i tid vet inte bibliotekarien vilken elev som inte läm- nat tillbaka boken och kan inte vidta några åtgärder för att få tillbaka den. För att skolbibliotekarien ska kunna veta vilken elev som lånat vilken bok och därigenom kunna återfå boken när lånetiden är slut, om den inte återlämnats, behöver det föras ett register över låntagare och deras lån. Detta ändamål är nödvändigt för att utföra uppgiften, att inom anordnandet av utbildning tillhandahålla skolbibliotek. Be- handlingen av personuppgifter kan således ske enligt artikel 6.1 e, på

121

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

den rättsliga grund som utgörs av skollagen. Att föra ett register över låntagare för att hålla reda på utlånade böcker kan samtidigt också av den personuppgiftsansvarige anges som ett särskilt, uttryck- ligt angivet och berättigat ändamål enligt artikel 5.1 b.

Ett annat exempel är en av de skyldigheter kommunerna har så- som hemkommun enligt skollagen, utöver de som ankommer på en huvudman för en viss skolform. Av 7 kap. 21 § skollagen framgår att hemkommunen ska se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning. Att kommunerna har vetskap om vilka skolpliktiga barn som finns i kommunen och var de fullgör sin skolplikt är enligt utredningens bedömning en uppgift av allmänt intresse. Uppgiften är fastställd genom bestämmelserna i skollagen. För att kommunerna ska kunna uppfylla uppgiften behöver de föra en förteckning över vilka barn i kommunen som har skolplikt och var de fullgör denna. Syftet med denna behandling är nödvändigt för att utföra uppgiften av allmänt intresse. Behandlingen av personuppgifter kan således ske enligt artikel 6.1 e på den rättsliga grund som utgörs av skollagen.

Det bör noteras att avsaknad av författningsbestämmelse eller en särskild reglering till stöd för en viss personuppgiftsbehandling inte medför att det inte går att utläsa ett ändamål som är nödvändigt för att utföra uppgiften av allmänt intresse. Som exempel kan tas en internationell skola på gymnasienivå. Skolan har en enskild huvud- man och följer en utländsk eller internationell läroplan. Det finns inga bestämmelser om att huvudmannen ska ha ett godkännande för att få bedriva utbildningen men för att vara berättigad till bidrag för elever från deras hemkommuner måste huvudmannen få en förkla- ring om rätt till bidrag från Skolinspektionen (24 kap. 6 och 6 a §§ skollagen). För att en enskild huvudman för en internationell skola på gymnasienivå ska förklaras berättigad till bidrag enligt skollagen krävs bl.a. att utbildningen är utformad så att den som helhet betrak- tad är likvärdig med utbildningen i gymnasieskolan. Dess allmänna mål och värdegrund får inte strida mot de allmänna mål och den värdegrund som gäller för utbildning inom skolväsendet (7 § förord- ningen [2015:801] om internationella skolor). Genom bestämmel- serna i 24 kap. 2, 6 och 6 a §§ skollagen tillsammans med relevanta bestämmelser i förordningen om internationella skolor och ett beslut från Skolinspektionen om förklaring om rätt till bidrag är utred- ningens bedömning att den utbildning som den internationella sko-

122

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

lan bedriver är en uppgift av allmänt intresse som är fastställd i svensk rätt. Den internationella skolan är dock inte bunden av t.ex. skol- lagens bestämmelser om betygssättning (se 3 kap. 13 § skollagen som särskilt räknar upp vilka skolformer som omfattas) och den måste inte ansöka om tillstånd att sätta betyg, anordna prövning samt utfärda betyg, gymnasieexamen och intyg enligt de bestäm- melser som gäller för gymnasieskolan (förordningen [2012:509] om betygsrätt för viss utbildning vid internationella skolor). Att elever- na ska få betyg kan dock framgå av den utländska eller internationel- la läroplanen skolan följer. Om behandling av personuppgifter för att kunna betygssätta eleverna inom den internationella skolan är nöd- vändig för att utföra uppgiften av allmänt intresse, dvs. anordna ut- bildning, bör sådan behandling kunna ske med stöd av den rättsliga grunden utföra uppgift av allmänt intresse fastställd i skollagen, för- ordningen om internationella skolor och beslutet från Skolinspek- tionen. Förutom att bedöma vilken rättslig grund enligt artikel 6.1 i dataskyddsförordningen som är tillämplig ankommer det på den enskilde huvudmannen att bestämma ändamålen med personupp- giftsbehandlingen, vilka personuppgifter som ska behandlas etc. enligt artikel 5.

Det kan tilläggas att även om den utbildning som en internatio- nell skola på gymnasienivå anordnar inte skulle anses vara fastställd i svensk rätt kan huvudmannen tillämpa den rättsliga grunden intresse- avvägning (artikel 6.1 f), se avsnitt 4.6.5.

Särskilda utbildningsformer

Utbildning vid särskilda ungdomshem ska för skolpliktiga barn som vistas där och inte lämpligen kan fullgöra sin skolplikt på annat sätt, anordnas genom försorg av huvudmannen för hemmet. För de barn som inte längre är skolpliktiga och inte lämpligen kan fullgöra sin skolgång på annat sätt ska genom huvudmannens försorg ges möjlighet att delta i utbildning (24 kap. 8 och 9 §§ skollagen).

Barn som genom en brottmålsdom dömts till sluten ungdoms- vård placeras på särskilt ungdomshem. Dessa barn omfattas också av bestämmelserna i 24 kap. 8 och 9 §§ skollagen (32 kap. 5 § brotts- balken samt 1 och 12 § lagen [1998:603] om verkställighet av sluten ungdomsvård). SiS ansvarar för verkställigheten (3 § lagen om

123

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

verkställighet av sluten ungdomsvård). I den del av myndighetens verksamhet som avser verkställighet av sluten ungdomsvård ska enligt Utredningen om 2016 års dataskyddsdirektiv förslaget till brottsdatalag (2018:000) tillämpas eftersom det är fråga om en straffrättslig påföljd (SOU 2017:29, Brottsdatalag, avsnitt 8.4.2).

För barn vars personuppgifter behandlas med anledning av att de får utbildning vid särskilda ungdomshem, och som placerats där med stöd av socialtjänstlagen (2001:453) eller lagen (1990:52) om sär- skilda bestämmelser om vård av unga, är den föreslagna brottsdata- lagens bestämmelser inte tillämpliga (det är inte fråga om verkstäl- lighet av en påföljd). Det är således dataskyddsförordningens bestäm- melser som ska tillämpas i detta fall på personuppgiftsbehandlingen. Genom bestämmelserna i t.ex. 24 kap. 8 § skollagen är uppgiften av allmänt intresse, dvs. huvudmannen för hemmets (SiS) anordnande av utbildning för skolpliktiga barn som vistas i hemmet om de inte lämpligen kan fullgöra sin skolplikt på annat sätt fastställd. Vidare anges i bestämmelsen att relevanta bestämmelser i skollagen rörande grundskolan eller i förekommande fall grundsärskolan eller special- skolan ska tillämpas med nödvändiga avvikelser. SiS kan grunda nöd- vändig personuppgiftsbehandling på artikel 6.1 e i dataskyddsför- ordningen.

Det innebär att SiS kommer att tillämpa olika regelverk för sin personuppgiftsbehandling beroende på med stöd av vilken bestäm- melse som barnen har placerats vid det särskilda ungdomshemmet.

Kriminalvården ansvarar för utbildning som motsvarar kommunal vuxenutbildning och särskild utbildning för vuxna för intagna på kriminalvårdsanstalt (24 kap. 10 § skollagen). Kriminalvården får enligt 3 kap. 1 och 2 §§ fängelselagen (2010:610) bestämma att en intagen ska ha studier som sysselsättning. Någon åldersgräns gäller inte för sådan verksamhet. När studier är anvisad sysselsättning ingår de som ett led i verkställigheten. Enligt Utredningen om 2016 års dataskyddsdirektiv (SOU 2017:29, avsnitt 8.4.1) bör därför den föreslagna brottsdatalagen tillämpas på behandlingen av personupp- gifterna med anledning av studierna. Utredningen instämmer i den bedömningen.

Av 24 kap. 2–4 §§ skollagen framgår att en elev under vissa förut- sättningar får fullgöra sin skolplikt i en internationell skola på grund- skolenivå, se avsnitt 4.1.2. De internationella skolorna på grund- skolenivå är ålagda att följa vissa föreskrifter i förordningen om

124

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

internationella skolor så länge som godkännandet för den enskilde respektive medgivandet för den kommunala huvudmannen gäller (4 §). Av föreskrifterna framgår bl.a. att utbildningen ska vara utfor- mad så att den som helhet betraktad är likvärdig med utbildningen i grundskolan (5 §). Elever som är bosatta i Sverige för en begränsad tid ska ges undervisning i svenska och om Sverige i den omfattning som de behöver. Undervisning i svenska för övriga skolpliktiga ele- ver ska bedrivas enligt läroplanen för grundskolan och kursplanen i svenska (6 §). Av 24 kap. 3 och 4 §§ skollagen framgår att barn under vissa förutsättningar får fullgöra sin skolplikt i en internationell skola på grundskolenivå. Mot denna bakgrund är den utbildning som de internationella skolorna på grundskolenivå bedriver, enligt utred- ningens bedömning, en uppgift av allmänt intresse. Denna uppgift är genom bestämmelserna i 24 kap. 2, 3 a och 4 a §§ skollagen, tillsam- mans med relevanta bestämmelser i förordningen om internationella skolor och Skolinspektionens beslut om antingen ett godkännande eller förklaring som huvudman för en internationell skola på grund- skolenivå, fastställd i svensk rätt. Enligt utredningens bedömning kan en internationell skola på grundskolenivå således tillämpa den rätts- liga grunden uppgift av allmänt intresse för nödvändig personupp- giftsbehandling.

Beträffande utredningens bedömning av en internationell skola på gymnasienivås rättsliga grund för behandling av personuppgifter, se exemplet i föregående avsnitt (Ändamålet med behandlingen måste vara nödvändigt).

Om en folkhögskola har getts rätt att sätta betyg, anordna pröv- ning samt utfärda betyg och intyg och förklarat sig ha för avsikt att ta emot den sökande till utbildningen har den som har rätt att delta i kommunal vuxenutbildning i svenska för invandrare rätt att i stället delta i folkhögskolans motsvarande utbildning (24 kap. 11 § skol- lagen). En folkhögskola som väljer att bedriva sådan utbildning utför genom anordnandet av just den utbildningen en uppgift av allmänt intresse som är fastställd genom 24 kap. 11 § skollagen. Om folkhög- skolan bedömer att personuppgiftsbehandlingen är nödvändig för att den ska kunna bedriva utbildningen i svenska för invandrare kan den tillämpa den rättsliga grunden i artikel 6.1 e för att behandla person- uppgifter som hör till just den delen av folkhögskolans verksamhet. Folkhögskolan måste dock även bestämma de närmare ändamålen med behandlingen och i övrigt följa bestämmelserna i artikel 5 för att

125

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

behandlingen ska vara tillåten. För folkhögskolors personuppgifts- behandling, se även avsnitt 7.1.

Skollagen innehåller även bestämmelser om utbildning för barn och elever som vårdas på sjukhus eller annan motsvarande institution. Enligt 24 kap. 16 § skollagen ska huvudmannen för institutionen svara för att barn som vårdas på sjukhus eller en institution som är knuten till ett sjukhus, får tillfälle att delta i utbildning som så långt det är möjligt motsvarar den som erbjuds i förskola, förskoleklass eller fritidshem. Enligt utredningens bedömning kan huvudmannen för institutionen grunda nödvändig personuppgiftsbehandling för att utföra uppgiften utbildning motsvarande den som erbjuds i förskola, förskoleklass eller fritidshem på den rättsliga grunden uppgift av allmänt intresse (artikel 6.1 e). Uppgiften av allmänt intresse är fast- ställd genom bestämmelsen i 24 kap. 16 § skollagen tillsammans med de bestämmelser om den aktuella utbildningen som huvudmannen anordnar. Som tidigare nämnts är rättslig grund inte ensam tillräcklig för att behandling av personuppgifter ska vara tillåten. Övriga bestämmelser i dataskyddsförordningen måste också vara uppfyllda.

Av bestämmelserna i 24 kap. 17–19 §§ skollagen framgår att sär- skild undervisning under vissa förutsättningar får anordnas på sjuk- hus eller institution som är knuten till ett sjukhus för en elev i t.ex. grundskolan. Det är kommunen där institutionen är belägen som ska anordna denna. Undervisningen ska så långt möjligt motsvara den undervisning som eleven inte kan delta i. Enligt utredningens bedöm- ning kan kommunen grunda nödvändig personuppgiftsbehandling för att utföra uppgiften särskild undervisning på den rättsliga grun- den uppgift av allmänt intresse (artikel 6.1 e). Uppgiften av allmänt intresse är fastställd genom bestämmelserna i 24 kap. 17–19 §§ skol- lagen tillsammans med bestämmelserna om den aktuella skolformen, t.ex. grundskola.

En kommun kan på motsvarande vis grunda nödvändig person- uppgiftsbehandling för att utföra särskild undervisning i hemmet eller annan lämplig plats på den rättsliga grunden uppgift av allmänt intresse (artikel 6.1 e). Uppgiften av allmänt intresse är fastställd genom bestämmelserna i 24 kap. 20–22 §§ skollagen tillsammans med bestämmelserna om den aktuella skolformen, t.ex. grundskola. Som tidigare nämnts är rättslig grund inte ensam tillräcklig för att behandling av personuppgifter ska vara tillåten. Övriga bestämmelser i dataskyddsförordningen måste också vara uppfyllda.

126

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

Annan pedagogisk verksamhet och entreprenad

Enligt 25 kap. 2 § skollagen ska kommunen sträva efter att i stället för förskola eller fritidshem erbjuda ett barn pedagogisk omsorg om barnets vårdnadshavare önskar det. Med pedagogisk omsorg avses främst familjedaghem och flerfamiljslösningar. Sådan verksamhet utförs ofta i den privata aktörens egna hem (SOU 2016:62 s. 171). Genom att pedagogisk verksamhet är reglerad i skollagen bör en sådan verksamhet anses vara en uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom bestämmelsen i 25 kap. 2 § skollagen. Kommunen har således stöd för den nödvändiga person- uppgiftsbehandling som den behöver göra för att kunna efterleva bestämmelsen.

Om en enskild anordnar pedagogisk omsorg på entreprenad enligt bestämmelserna i 23 kap. skollagen anses denna utföra uppgiften av allmänt intresse, anordna pedagogisk omsorg, på uppdrag av kommu- nen (jfr SOU 2017:39, avsnitt 8.3.4). Uppgiften av allmänt intresse är fastställd i svensk rätt genom kommunens beslut om att anlita den enskilde för uppdraget. Med stöd av detta beslut bör den enskilde kunna vidta nödvändiga personuppgiftsbehandlingar med stöd av samma rättsliga grund som kommunen, som om den själv utfört upp- giften, dvs. med stöd av artikel 6.1 e i dataskyddsförordningen.

Entreprenad enligt skollagen innebär att en huvudman med bibe- hållet huvudmannaskap sluter avtal med någon annan om att denne utför uppgifter inom bl.a. utbildning eller pedagogisk omsorg för barn. I artikel 4.7 i dataskyddsförordningen definieras personupp- giftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av person- uppgifter. I artikel 4.8 definieras personuppgiftsbiträde som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansva- riges räkning. Om ett personuppgiftsbiträde anlitas ska hanteringen regleras genom ett avtal enligt artikel 28.3. I de fall två eller flera gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga enligt artikel 26.

Bedömningen av vem som är personuppgiftsansvarig, ensam eller tillsammans med annan, i ett enskilt entreprenadförhållande måste göras utifrån omständigheterna i det enskilda fallet. Det är enligt

127

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

utredningens mening parternas ansvar att se till att befintligt regel- verk rörande personuppgiftsbehandling följs när det gäller behand- lingen av personuppgifter.

En kommun får enligt 25 kap. 3 § skollagen anordna öppen för- skola som ett komplement till förskola och pedagogisk omsorg. Den öppna förskolan ska erbjuda barn en pedagogisk verksamhet i sam- arbete med de till barnen medföljande vuxna samtidigt som de vuxna ges möjlighet till social gemenskap. Barn och föräldrar har ingen for- mell plats att ta i anspråk och barnen är inte inskrivna i den öppna förskolan. Verksamheten vänder sig till barn och föräldrar som är hemma på dagarna, t.ex. under föräldraledigheten. För dessa är verk- samheten en viktig social träffpunkt, där barnen ges tillfälle att tillsammans med en förälder eller annan vuxen delta i en verksamhet i gruppens form, som syftar till att ge pedagogisk stimulans (prop. 2009/10:165 s. 528). Genom bestämmelsen i 25 kap. 3 § skol- lagen och kommunens beslut att anordna öppen förskola är enligt utredningens bedömning uppgiften av allmänt intresse, att anordna öppen förskola, fastställd. Utredningen anser dock att det är tvek- samt om det normalt kan anses nödvändigt att behandla barnens och föräldrarnas eller andra medföljande vuxnas personuppgifter i verk- samheten öppen förskola. Detta gäller trots att det uppenbarligen är fråga om en i svensk rätt fastställd uppgift av allmänt intresse. Om en öppen förskola avser att behandla personuppgifter bör den dock enligt utredningens uppfattning kunna använda sig av den rättsliga grunden samtycke genom att inhämta samtycke från de vuxna.

Öppen fritidsverksamhet får enligt 25 kap. 4 § skollagen erbjudas elever i de utbildningsformer där skolplikt kan fullgöras, i stället för fritidshem från och med höstterminen det år eleven fyller 10 år till och med vårterminen det år eleven fyller 13 år. Verksamheten ska genom pedagogisk verksamhet komplettera utbildningen i de olika utbildningsformer i vilka skolplikt kan fullgöras. Den öppna fritids- verksamheten ska erbjuda eleven möjlighet till utveckling och lärande samt en meningsfull fritid och rekreation. Den öppna fritidsverksam- heten är en enklare form av verksamhet som inte erbjuder samma grad av omsorg och tillsyn och elevgrupperna kan vara mer flexibla i jämförelse med fritidshemmen. Genom att verksamheten regleras i skollagen är den enligt utredningens bedömning en uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom den

128

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

aktuella bestämmelsen. Huvudmännen har härigenom stöd för att behandla för sin verksamhet nödvändiga personuppgifter.

Av 25 kap. 5 § skollagen framgår att kommunen ska sträva efter att erbjuda omsorg för barn under tid då förskola eller fritidshem inte erbjuds i den omfattning det behövs med hänsyn till föräldrars för- värvsarbete och familjens situation i övrigt. Av förarbetena till be- stämmelsen framgår att omsorg för barn under s.k. obekväma arbets- tider inte ska betraktas som en skolform, till skillnad från förskolan, och inte heller åläggas de krav som ställs på en sådan verksamhet (prop. 2009/10:165 s. 532). Utgångspunkten är att omsorgen ska erbjudas i den omfattning det behövs med hänsyn till föräldrarnas förvärvsarbete eller familjens situation i övrigt, om föräldrarna inte själva kan ordna omsorgen. Att ”sträva efter” innebär att kommunen inte utan vidare kan avstå från att tillhandahålla sådan omsorg. Ambi- tionen måste vara att tillhandahålla omsorg även under s.k. obekväm arbetstid åt familjer som har behov av det. Om kommunen vid en viss tidpunkt inte har någon efterfrågan måste kommunen ändå planera för att tillhandahålla omsorg, när situationen förändras.

Eftersom kommunerna genom bestämmelsen i skollagen ges ett uppdrag att ordna barnomsorg under s.k. obekväm arbetstid får sådan verksamhet anses vara en uppgift av allmänt intresse som är fastställd genom bestämmelsen. Kommunerna kan således behandla person- uppgifter som är nödvändiga för att kunna utföra uppgiften att till- handahålla barnomsorg på obekväm arbetstid.

En kommun får med bibehållet huvudmannaskap sluta avtal med en enskild fysisk eller juridisk person om att anordna omsorg för barn under tid då förskola eller fritidshem inte erbjuds (entreprenad enligt 23 kap. skollagen). På samma sätt som angetts ovan angående enskild som anordnar pedagogisk omsorg på entreprenad anser utredningen att den enskilde som ordnar sådan barnomsorg på entre- prenad utför uppgiften av allmänt intresse på uppdrag av kommunen.

Som betonats ovan är rättslig grund inte ensam tillräcklig för att behandling av personuppgifter ska vara tillåten. Övriga bestämmelser i dataskyddsförordningen måste också vara uppfyllda.

129

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

Sammanfattning

Utredningen konstaterar sammanfattningsvis att all den verksamhet som sker med stöd av (1–25 kap.) skollagen och anslutande före- skrifter är exempel på uppgifter av allmänt intresse. Dessa uppgifter och åligganden har i sig legala grunder som har offentliggjorts genom tydliga, precisa och förutsebara regler. Enligt artikel 6.1 e i dataskyddsförordningen kan därmed sådan personuppgiftsbehand- ling som krävs för att utföra denna verksamhet ske. Inom ramen för denna verksamhet behöver de personuppgiftsansvariga inte inhämta samtycke för nödvändig personuppgiftsbehandling (se dock av- snitt 4.7 om känsliga personuppgifter). En förutsättning är dock att kraven i artikel 5 också är uppfyllda. Det är den personuppgifts- ansvarige som ska säkerställa att behandlingen är laglig och den ansvarige ska också kunna visa att så är fallet.

Enligt utredningens bedömning finns det således inget behov av en särskild reglering för att de skollagsreglerade verksamheternas huvudmän, kommunerna såsom hemkommuner och aktörerna enligt 24 och 25 kap. skollagen ska kunna tillämpa den rättsliga grunden i artikel 6.1 e, uppgift av allmänt intresse.

4.6.3Myndighetsutövning

Bedömning: Både offentliga och enskilda huvudmän vidtar vissa åtgärder med stöd av skollagen som innefattar myndighetsutöv- ning gentemot en elev, t.ex. betygssättning och beslut om särskilt stöd.

Det är i dessa situationer möjligt för huvudmännen att tilläm- pa den rättsliga grunden i andra ledet i artikel 6.1 e i dataskydds- förordningen, för sådan behandling som är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Något be- hov av ytterligare reglering föreligger inte. I dessa fall kan även den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, vara tillämplig.

Enligt andra ledet i artikel 6.1 e i dataskyddsförordningen får person- uppgifter behandlas om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Av artikel 6.3 första

130

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

stycket framgår att rätten att utöva myndighet ska vara fastställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Enligt andra stycket ska syftet med behandlingen vara nödvändigt som ett led i den person- uppgiftsansvariges myndighetsutövning. Ändamålet behöver således inte framgå av det sammanhang där den myndighetsutövande befo- genheten fastställs. Ändamålet med behandlingen av personuppgifter måste dock vara nödvändigt för att utföra myndighetsutövningen. För tillämpningen av den rättsliga grunden myndighetsutövning gäller således motsvarande krav som för den rättsliga grunden uppgift av allmänt intresse.

Begreppet myndighetsutövning har en unionsrättslig innebörd. Enligt Dataskyddsutredningen bör man till dess annat framkommer kunna utgå från att det som i Sverige brukar anses som myndighets- utövning faller in under begreppet (SOU 2017:39, avsnitt 8.3.3). Myndighetsutövning karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befogenheten till myndighetsutövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de högsta statsorganen. Utanför begreppet myndighetsutövning faller råd, upplysningar och faktiskt handlande som inte innebär tvång mot den enskilde.

Den största delen av skolornas verksamhet, undervisning, utgör vad som brukar omnämnas som faktiskt handlande. Bara en liten del av verksamheten i förskolor och skolor utgör ärendehandläggning som innebär myndighetsutövning mot enskild. Det kan handla om ärenden som rör mottagande av elever (t.ex. 7 kap. 5 § skollagen), särskilt stöd (3 kap. 9 § skollagen), avstängning av elever (t.ex. 5 kap. 14 § skollagen) eller befrielse från sådana inslag i undervisningen som är obligatoriska (7 kap. 19 § skollagen). Betygssättning av eleverna utgör också myndighetsutövning. De allmänna bestämmelserna om betygsättning finns i bl.a. 3 kap. 13 § skollagen, samt i förordning- arna för de olika skolformerna såsom t.ex. gymnasieförordningen.

Enligt utredningens bedömning är grunden för behandlingen redan i dag, genom exemplifierade bestämmelser i skollagen, fasts- tälld. Det behövs därför inte någon ytterligare reglering för att skolorna ska kunna tillämpa den rättsliga grunden myndighetsutöv- ning i de fall en sådan rätt föreligger enligt nationell rätt.

131

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

Det bör dock åter betonas att en ytterligare förutsättning för att kunna tillämpa myndighetsutövning som rättslig grund för behand- lingen är att också syftet med behandlingen är nödvändigt. Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att behandlingen är laglig och att ändamålet är berättigat och nöd- vändigt (artikel 5.2 i dataskyddsförordningen).

Avslutningsvis är det utredningens bedömning att även första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, är tillämpligt som rättslig grund för ovan nämnda moment, eftersom betygssätt- ning m.m. ingår i uppgiften att anordna utbildning.

4.6.4Rättslig förpliktelse

Bedömning: För skollagsreglerad verksamhet finns det i svensk rätt fastställda rättsliga förpliktelser som åvilar verksamhetsut- övarna och som gör det nödvändigt att behandla personuppgifter. Den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen kan då tillämpas. Något behov av ytterligare reglering finns inte.

I dessa fall kan även den rättsliga grunden i första ledet i arti- kel 6.1 e, dvs. uppgift av allmänt intresse, vara tillämplig.

Enligt artikel 6.1 c i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Av artikel 6.3 första stycket framgår att den rättsliga grunden för behandlingen, dvs. i detta fall den rättsliga förpliktelsen, ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den per- sonuppgiftsansvarige omfattas av. Dessutom ska syftet med behand- lingen fastställas i den rättsliga grunden.

Dataskyddsutredningen gör bedömningen att förpliktelsen inte nödvändigtvis måste framgå av en författning eller liknande. Rätts- liga förpliktelser ska alltid ha sin grund i lag, men förpliktelser kan också anges i domar eller i myndighetsbeslut som meddelats med stöd av lag eller med stöd av föreskrifter som i sin tur meddelats i lag (SOU 2017:39, avsnitt 8.3.2).

Frågan är då om det finns en eller flera rättsliga förpliktelser för huvudmännen som bedriver förskola, skola och vuxenutbildning att tillhandahålla utbildning för barnen och eleverna.

132

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

Utredningen om offentlighet och sekretess i skolan ansåg att skolmyndigheter enligt den då lydande skollagen och andra författ- ningar hade en rättslig skyldighet i personuppgiftslagens mening att fullgöra sina åligganden gentemot eleverna i fråga om såväl under- visning som elevvård (SOU 2003:103 s. 199).

Datainspektionen har ansett att den skyldighet för myndigheter som följer av offentlighetsprincipen är en sådan rättslig skyldighet som avses i motsvarande bestämmelse till rättslig förpliktelse i per- sonuppgiftslagen.14

En skillnad mellan personuppgiftslagen och dataskyddsförord- ningen är att dataskyddsförordningen kräver att den rättsliga för- pliktelsen ska vara fastställd i svensk rätt och att syftet med behand- lingen ska vara fastställt i den rättsliga grunden. Skollagen innehåller många rättsliga förpliktelser för huvudmännen som bedriver skol- verksamhet enligt lagen. Av t.ex. 2 kap. 8 § framgår att huvudmannen ansvarar för att utbildningen genomförs i enlighet med bestämmel- serna i skollagen, föreskrifter som har meddelats med stöd av lagen och de bestämmelser för utbildningen som kan finnas i andra författ- ningar. Enligt utredningens bedömning kan emellertid inte något syfte med en eventuell personuppgiftsbehandling utläsas av bestäm- melsen. Bestämmelsen kan därför inte ses som en rättslig förpliktelse i dataskyddsförordningens mening.

I skollagen finns även bestämmelser där syftet med behandlingen enligt utredningens bedömning kan utläsas genom bestämmelsen och därigenom vara fastställt i den rättsliga grunden t.ex.

att eleven och elevens vårdnadshavare fortlöpande ska informe- ras om elevens utveckling (3 kap. 4 §),

att ett åtgärdsprogram ska utarbetas för en elev som ska ges sär- skilt stöd (3 kap. 9 §),

att i vissa skolformer ska eleven betygsättas (3 kap. 13 §),

att grundskolan och gymnasieskolan och motsvarande skolfor- mer ska erbjuda modersmålsundervisning under vissa förutsätt- ningar (10 kap. 7 §, 11 kap. 10 §, 12 kap. 7 §, 13 kap. 7 §, 15 kap. 19 § och 18 kap. 19 §), och

14 Datainspektionens rapport 2005:3 Övervakning i arbetslivet. Kontroll av de anställdas Internet och e-postanvändning m.m, s. 15.

133

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

att rektorn ska se till att vårdnadshavaren till en elev i vissa skol- former, t.ex. grundskolan, samma dag informeras om eleven utan giltigt skäl uteblir från den obligatoriska verksamheten (7 kap. 17 §).

Det behövs därför inte någon ytterligare reglering för att skolorna ska kunna tillämpa den rättsliga grunden i artikel 6.1 c för sin nödvändiga personuppgiftsbehandling. Enligt utredningens bedöm- ning är även artikel 6.1 e, dvs. uppgift av allmänt intresse, tillämplig som rättslig grund för ovan nämnda moment, eftersom dessa t.ex. betygssättning, ingår i uppgiften att anordna utbildning. Personupp- giftsbehandling inom skollagsreglerad utbildningsverksamhet bör till största delen kunna ske med stöd av den rättsliga grunden utföra uppgift av allmänt intresse. Det torde därför vara i undantagsfall som artikel 6.1 c behöver tillämpas av huvudmännen.

4.6.5Intresseavvägning

Bedömning: Enskilda huvudmän kan för sin personuppgifts- behandling använda sig av den rättsliga grunden i artikel 6.1 f i dataskyddsförordningen, dvs. för sådan behandling som är nöd- vändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Nämnda rättsliga grund skulle kunna vara tillämplig när det är tveksamt om den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, är tillämplig. Eftersom det för enskilda huvudmän finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva utbildning är det endast i undantagsfall som den rättsliga grunden i artikel 6.1 f behöver tillämpas.

Enligt artikel 6.1 f i dataskyddsförordningen är behandling laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre

134

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (intresseavvägning).

Av 6.1 f andra stycket framgår att denna grund inte gäller för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom skolor med staten, en kommun eller ett lands- ting som huvudman är myndigheter som fullgör sina uppgifter när de tillhandahåller utbildning enligt skollagen, är det endast de skolor som drivs av enskilda huvudmän som kan tillämpa denna grund till stöd för sin personuppgiftsbehandling.

Dataskyddsutredningen gör bedömningen att den här aktuella grunden ofta är möjlig att tillämpa i de fall det är tveksamt om den verksamhet som en privaträttslig aktör bedriver är av allmänt intresse i unionsrättslig mening (SOU 2017:39, avsnitt 8.3.4).

Ovan bedömer utredningen att anordnande av utbildning enligt skollagen och anslutande föreskrifter är en i svensk rätt fastställd uppgift av allmänt intresse, oavsett om det är staten, en kommun eller en enskild som är huvudman. Huvudmannen kan således grun- da nödvändig personuppgiftsbehandling på artikel 6.1 e. Enligt Data- skyddsutredningen spelar det i en sådan situation inte någon roll om verksamheten utförs på direkt uppdrag av en myndighet eller på eget initiativ (SOU 2017:39, avsnitt 8.3.4). Som tidigare nämnts bör således den skollagsreglerade utbildningsverksamheten till största delen kunna behandla personuppgifter med stöd av den rättsliga grunden i artikel 6.1 e, dvs. utföra en uppgift av allmänt intresse. Den rättsliga grunden i artikel 6.1 f bör enligt utredningens uppfattning därmed ytterst sällan eller aldrig bli aktuell att tillämpa av enskilda skolhuvudmän i skollagsreglerad verksamhet. Den enskilda huvud- man som avser att tillämpa den rättsliga grunden intresseavvägning har vid intresseavvägningen särskilt att beakta barns rätt till integri- tetsskydd.

4.6.6Samtycke

Bedömning: Enskilda huvudmän och offentliga huvudmän, dvs. kommuner, landsting eller staten, kan i viss utsträckning använda sig av samtycke som rättslig grund för sin personuppgiftsbehand- ling.

135

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

Enligt artikel 6.1 a i dataskyddsförordningen är behandling laglig om den registrerade har lämnat sitt samtycke till att dennes person- uppgifter behandlas för ett eller flera specifika ändamål. Med sam- tycke avses, enligt artikel 4.11, varje slag av frivillig, specifik, infor- merad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (se skäl 32 till dataskyddsförordningen).

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör enligt skäl 42 tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifter- na är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

Enligt skäl 43 till dataskyddsförordningen bör samtycke inte ut- göra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registre- rade och den personuppgiftsansvarige, särskilt om den personupp- giftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.

Någon sådan skrivning finns inte i skälen till dataskyddsdirek- tivet, men mot bakgrund av att definitionen av samtycke i princip är densamma och de uttalanden som gjorts av bl.a. Artikel 29-gruppen15 får detta anses gälla enligt befintligt regelverk. Artikel 29-gruppen har yttrat att samtycke i undantagsfall kan vara en giltig grund för

15 Yttrande 15/2011 om definitionen av begreppet samtycke artikel 29-gruppen s. 13–14 och 16–17.

136

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

stater när de behandlar personuppgifter. Det bör göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig förpliktelse eller utförandet av en arbets- uppgift av allmänt intresse snarare än samtycke.16

Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offent- ligrättsligt reglerade. Det bör betonas att samtycke normalt inte bör tillämpas om behandlingen i stället kan grundas på artikel 6.1 c och e i dataskyddsförordningen. Om behandlingen grundar sig på sam- tycke ska den personuppgiftsansvarige, enligt artikel 7.1, kunna visa att den registrerade har samtyckt till behandling av sina personupp- gifter.

Artikel 29-gruppen har även uttalat sig om uppgifter om barn och specialfallet skolor i ett yttrande. I det yttrandet anförs beträffande behandling av barns personuppgifter i skolan bl.a. att samtycke till behandling av alla uppgifter som kan ge upphov till diskriminering måste vara otvetydigt och att överföring till tredje part i marknads- föringssyfte är beroende av om vårdnadshavarna på förhand har underrättats och gett sitt samtycke.17 Artikel 29-gruppen synes såle- des vara av uppfattningen att samtycke kan användas som rättslig grund för, i vart fall vid viss, personuppgiftsbehandling inom skolor.

Enligt utredningens bedömning är det möjligt att för viss person- uppgiftsbehandling använda sig av samtycke även i förhållandet mel- lan ett barns vårdnadshavare och en förskola samt en elevs vårdnads- havare eller eleven själv beroende på ålder och en skola. Ett exempel på när samtycke skulle kunna vara lämplig grund för personuppgifts- behandling är inför fotografering av eleverna i syfte att skapa elek- troniska skolkataloger eller fotografering för att dokumentera verk- samheten i förskola och skola, inte minst i syfte att kunna redogöra för den för barnens vårdnadshavare. I sammanhanget kan även näm- nas att artikel 29-gruppen är av uppfattningen att samtycke från vårdnadshavarna ska inhämtas om en skola har för avsikt att t.ex. lägga ut individuella foton av eleverna med uppgift om deras identitet

16Yttrande 15/2011 om definitionen av begreppet samtycke artikel 29-gruppen s. 13–14 och 16–17.

17Yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor) s. 12 f.

137

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

på internet.18 Genom att samtycke inhämtas har berörda parter möj- lighet att säga nej till att eleverna tas med på fotona.

4.6.7Sammanfattning

Artikel 5 i dataskyddsförordningen innehåller bestämmelser om prin- ciperna för behandling av personuppgifter. Enligt 5.1 a ska person- uppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I artikel 6.1 anges att behandling av person- uppgifter är laglig endast om och i den mån som åtminstone ett av de i bestämmelsen angivna villkoren är uppfyllt.

Utredningen har i de tidigare avsnitten kommit fram till att de skollagsreglerade utbildningsverksamheterna kan tillämpa flera olika rättsliga grunder (villkor) i artikel 6.1 till stöd för sin personupp- giftsbehandling. I vissa situationer kan dessutom flera rättsliga grun- der vara tillämpliga samtidigt var för sig.

De rättsliga grunder som kan vara tillämpliga är samtycke (a), fullgöra en rättslig förpliktelse (c) eller utföra en uppgift av allmänt intresse eller myndighetsutövning (e).

De verksamheter som inte fullgörs av myndigheter kan även till- lämpa den rättsliga grunden intresseavvägning (f) när de fullgör sina uppgifter enligt skollagen och anslutande föreskrifter.

De rättsliga grunderna fullgöra en rättslig förpliktelse (c) och utföra en uppgift av allmänt intresse eller myndighetsutövning (e) är fastställda genom bestämmelser i skollagen med anslutande före- skrifter.

När dataskyddsförordningen ska börja tillämpas kan en ända- målsenlig och nödvändig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, ske inom skollagsreglerad utbildningsverksamhet med stöd av bestämmelserna i dataskydds- förordningen. Något ytterligare regleringsbehov aktualiseras följakt- ligen inte för att skollagsreglerad verksamhet ska kunna tillämpa ovan nämnda rättsliga grunder.

18 Yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor) s. 18.

138

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

4.7Känsliga personuppgifter

4.7.1Utredningens uppdrag i denna del

Enligt kommittédirektiven ska utredningen analysera om det, utöver dataskyddsförordningen och den generella reglering som Data- skyddsutredningen kommer att föreslå, finns ett behov av komplet- terande regleringar för behandling av känsliga personuppgifter inom utbildningsområdet och lämna de författningsförslag som behövs.

I direktiven konstateras att det inom utbildningsområdet är nöd- vändigt att i vissa fall behandla s.k. känsliga personuppgifter. Inom skolväsendet kan det exempelvis handla om sådana uppgifter i sam- band med modersmålsundervisning eller om elever i sameskolan som anses avslöja etniskt ursprung eller uppgifter som rör hälsa, t.ex. inom elevhälsan eller i de utredningar som ska göras inför antagning till specialskolan och grundsärskolan och i vissa fall till gymnasiesärsko- lan. Eftersom behandling av känsliga personuppgifter förekommer hos flera olika myndigheter och enskilda behöver det i detta sam- manhang också övervägas om en sådan reglering i så fall behöver fin- nas i en eller flera olika registerförfattningar.

4.7.2Behov av att behandla känsliga personuppgifter

Det har framkommit att det för att förskolorna, skolorna och vuxen- utbildningen ska kunna utföra sina uppdrag är nödvändigt att de i vis- sa sammanhang kan behandla vissa känsliga personuppgifter, främst uppgifter om hälsa, men ibland även om etnicitet.

Elevhälsan ska omfatta medicinska, psykologiska, psykosociala och specialpedagogiska insatser (2 kap. 26 § skollagen). Elevhälsan ska främst vara förebyggande och hälsofrämjande. Elevernas utveck- ling mot utbildningens mål ska stödjas. Den del av elevhälsan som tillhandahåller medicinska insatser erbjuder eleverna förebyggande hälso- och sjukvård men även enklare sjukvårdsinsatser. Att till- handahålla hälso- och sjukvård är, liksom utbildning, en uppgift av allmänt intresse. Varje elev i grundskolan, grundsärskolan, special- skolan och sameskolan ska erbjudas ett minsta antal hälsobesök. Den personuppgiftsbehandling som sker inom elevhälsans medicinska verksamhet omfattas i dagsläget av och kommer även fortsättnings- vis att omfattas av patientdatalagens bestämmelser. Socialdataskydds-

139

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

utredningen har i uppdrag att se över patientdatalagen (S 2016:05, dir. 2016:52) och den behandlas därför inte i detta betänkande.

Den personuppgiftsbehandling som sker inom elevhälsans psyko- sociala och specialpedagogiska verksamheter omfattas däremot inte av patientdatalagens bestämmelser. Den psykosociala insatsen består av kurator som kan föra stöd-, motivations- och krissamtal liksom utredande och rådgivande samtal med enskilda elever och deras familjer relaterade till skolsituationen. Inom den specialpedagogiska insatsen finns specialpedagoger och speciallärare som t.ex. kan delta i kartläggning av elevers behov av särskilt stöd, genomföra pedago- giska utredningar samt utforma och genomföra åtgärdsprogram. Det kan även inom denna del av elevhälsan finnas ett behov av att kunna behandla uppgifter om hälsa.

Det förekommer även utanför elevhälsan att uppgifter om hälsa behöver behandlas. Ett exempel är skolmatsalspersonalen som behö- ver kunna behandla uppgifter om specialkost p.g.a. allergier eller reli- giös övertygelse. För att kunna möjliggöra en ändamålsenlig under- visningssituation kan även uppgifter om funktionsnedsättning behö- va behandlas utanför elevhälsan. Vidare kan åtgärdsprogram innehålla uppgifter om ett barns eller en elevs hälsa. Ett åtgärdsprogram är en samlad dokumentation av elevens behov av särskilt stöd och en skrift- lig bekräftelse av de särskilda stödåtgärder som ska sättas in.

En mobbningssituation (kränkande behandling) skulle kunna röra en enskild elevs hälsa eller sexuella läggning. En lärare, förskol- lärare, annan personal, förskolechef eller rektor som får kännedom om en sådan händelse är skyldig att anmäla detta (6 kap. 10 §) och har därigenom i förekommande fall behov av att i sin dokumentation kunna behandla känsliga personuppgifter.

Även uppgifter om vilka barn och elever som begärt modersmåls- undervisning måste kunna behandlas. Datainspektionen har i sin rap- port 2002:2 ansett att en uppgift om en persons modersmål i vissa fall kan vara en uppgift som indirekt avslöjar etniskt ursprung.19 I sam- manhanget kan nämnas att regeringen bedömt att en isolerad uppgift om medborgarskap eller uppgifter om nationalitet eller ursprungsland inte avslöjar vare sig ras eller etniskt ursprung (prop. 2001/02:144 s. 41 och prop. 2009/10:85 s. 325). Enligt utredningens bedömning synes en uppgift om modersmål i sig inte vara en känslig personupp-

19 Datainspektionens rapport 2002:2, Behandling av elevers personuppgifter i grundskolan, s. 8.

140

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

gift men uppgiften kan, beroende på i vilket sammanhang den före- kommer, bedömas vara en uppgift om etniskt ursprung vilket är en känslig personuppgift. En bedömning måste således göras i det enskilda fallet.

En förutsättning för att ett barn ska få gå i grundsärskolan är att barnet bedöms inte kunna nå upp till grundskolans kunskapskrav därför att barnet har en utvecklingsstörning (7 kap. 5 § skollagen). För att en elev ska få gå i en specialskola krävs att han eller hon på grund av sin funktionsnedsättning eller andra särskilda skäl inte kan gå i grundskolan eller grundsärskolan och eleven är döv, hörsel- skadad, dövblind eller annars är synskadad och har ytterligare funk- tionsnedsättning, eller har en grav språkstörning (7 kap. 6 § skol- lagen). Gymnasiesärskolan är öppen för ungdomar vars skolplikt upphör och som inte bedöms ha förutsättningar att nå upp till gym- nasieskolans kunskapskrav därför att de har en utvecklingsstörning (18 kap. 4 § skollagen).

Målet med den särskilda utbildningen för vuxna är att vuxna med utvecklingsstörning ska stödjas och stimuleras i sitt lärande (21 kap. 2 § skollagen). Det är endast vuxna med utvecklingsstörning som har rätt att under vissa förutsättningar delta i särskild utbildning för vuxna på grundläggande nivå eller som kan vara behörig att delta i särskild utbildning för vuxna på gymnasial nivå (21 kap. 11 § och 16 § skollagen). Genom att alla elever som går i grundsärskolan, special- skolan, gymnasiesärskolan eller särskild utbildning för vuxna har en funktionsnedsättning blir uppgiften om att en elev går i en special- skola, grund- eller gymnasieskola som enbart anordnar särskoleverk- samhet eller i särskild utbildning för vuxna en känslig personuppgift om hälsa eftersom man av skolans namn kan utläsa att eleven har en funktionsnedsättning.

Barn till samer får fullgöra sin skolplikt i sameskolan i stället för i årskurs 1–6 i grundskolan (7 kap. 7 § skollagen). Även andra barn får fullgöra den delen av sin skolplikt i sameskolan, om det finns särskil- da skäl. Sameskolans syfte är att ge en utbildning med samisk inrikt- ning som i övrigt motsvarar utbildningen i årskurserna 1–6 i grund- skolan (13 kap. 2 § skollagen). Med hänsyn till sameskolans inrikt- ning och att den främst är öppen för barn till samer blir uppgiften om att en elev går i sameskolan en känslig personuppgift eftersom man genom skolans namn kan utläsa elevens etniska ursprung.

141

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

Endast uppgiften att en elev går på en skola med konfessionell inriktning är däremot inte en känslig personuppgift. Fristående sko- lor med konfessionell inriktning ska vara öppna för alla elever som har rätt till utbildning i grundskolan respektive gymnasieskolan (1 kap. 7 §, 10 kap. 35 § och 15 kap. 33 § skollagen). Undervisningen vid fristående skolor, fristående förskolor och fristående fritidshem ska vara icke-konfessionell. Utbildningen i övrigt vid fristående sko- lor, fristående förskolor och fristående fritidshem får ha en konfes- sionell inriktning. Deltagandet i konfessionella inslag ska vara frivil- ligt (1 kap. 7 § skollagen). Datainspektionen har i ett svar20 till Skol- verket ansett att enbart en uppgift om att en fysisk person går på en skola som har konfessionell inriktning inte ensamt torde avslöja den fysiska personens religiösa eller filosofiska övertygelse. Däremot skulle den uppgiften tillsammans med andra uppgifter om den fysiska personen kunna avslöja dennes religiösa eller filosofiska övertygelse och därmed utgöra känsliga personuppgifter.

Elever i t.ex. grundskolan har under vissa förutsättningar rätt till kostnadsfri skolskjuts (10 kap. 32 § skollagen). En anledning till att en elev har behov av skolskjuts kan vara att eleven har en funktions- nedsättning. Det är elevens hemkommun som ska ombesörja att skolskjuts anordnas. För prövningen av en elevs rätt till skolskjuts kan kommunen komma att få in handlingar som innehåller uppgifter om elevens hälsa. Kommunen kan även i sitt beslut behöva skriva in uppgifter som rör elevens hälsa. Det är inte ovanligt att kommuner upphandlar själva skolskjutsen. I dessa fall kan det finnas behov av att överföra vissa uppgifter om elever, t.ex. att en elev har rullstol, till taxibolaget som utför skolskjutsen för att möjliggöra en ändamåls- enlig skolskjuts. En sådan uppgift är en indirekt uppgift om elevens hälsa.

För att kommunerna ska kunna uppfylla sina åligganden i egen- skap av hemkommun enligt skollagen har de även ett behov av att kunna behandla känsliga personuppgifter i samband med att de för en förteckning över var skolpliktiga barn fullgör sin skolplikt (7 kap. 21 § skollagen) samt i ärenden rörande mottagande av ett barn i grundsärskolan (7 kap. 5 § skollagen) och om en sökande tillhör mål- gruppen för gymnasiesärskolan (18 kap. 5 § skollagen). Även i ären- den om tilläggsbelopp till t.ex. en fristående skola för en elev som har

20 Datainspektionen, 2016-12-06, dnr 316-2016.

142

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

ett omfattande behov av särskilt stöd har hemkommunen ett behov av att kunna behandla känsliga personuppgifter i form av uppgifter om den enskilde elevens hälsa.

4.7.3Gällande bestämmelser

I fråga om statliga, landstings och kommunala huvudmäns skyldig- heter enligt offentlighetsprincipen kan konstateras att enligt 8 § första stycket PUL tillämpas inte bestämmelserna i personuppgifts- lagen i den utsträckning det skulle inskränka en myndighets skyl- dighet enligt 2 kap. tryckfrihetsförordningen, att lämna ut person- uppgifter.

De förskolor, skolor och vuxenutbildningsenheter vars huvudman är staten, en kommun eller ett landsting kan med stöd av 8 § PUF behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Oavsett om huvudmannen är offentlig eller enskild får känsliga personuppgifter skrivas i s.k. ostrukturerat material (löpande text) och därigenom behandlas, förutsatt att behandlingen inte innebär en kränkning av den registrerades personliga integritet (5 a § PUL). Om dessa bestämmelser inte är tillämpliga på behandlingen av känsliga personuppgifter måste samtycke inhämtas från den registrerade enligt 15 § PUL för att känsliga personuppgifter ska få behandlas.

4.7.4Dataskyddsförordningen och dataskyddslagen

Med särskilda kategorier av personuppgifter (känsliga personupp- gifter) avses enligt artikel 9.1 i dataskyddsförordningen personupp- gifter som avslöjar ras eller etniskt ursprung, politiska åsikter, reli- giös eller filosofisk övertygelse, medlemskap i fackförening, gene- tiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk per- sons sexualliv eller sexuella läggning.

Enligt artikel 9.1 är huvudregeln att det är förbjudet att behandla känsliga personuppgifter. Vidare framgår det av artikel 9.2 att käns- liga personuppgifter får behandlas om vissa förutsättningar är upp- fyllda. De undantag som aktualiseras i detta sammanhang är arti- kel 9.2 a och g. Av 9.2 a framgår att känsliga personuppgifter får

143

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

behandlas om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål. I artikel 9.2 g anges att känsliga personuppgifter får behand- las om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas natio- nella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Utifrån denna möjlighet för medlemsstaterna att skapa förutsätt- ningar för att möjliggöra behandling av känsliga personuppgifter har Dataskyddsutredningen i dataskyddslagen föreslagit tre generella undantag från förbudet att behandla känsliga personuppgifter för myndigheter (SOU 2017:39, avsnitt 10.6.2). Bestämmelserna har sin grund i artikel 9.2 g, dvs. om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse.

Det första undantaget gäller behandling av uppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende (3 kap. 3 § 1 dataskyddslagen). Enligt Dataskyddsutredningen bör begränsningen till löpande text inte ute- sluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande.

Det andra undantaget gäller uppgifter som har lämnats till myn- digheten och behandlingen krävs enligt lag (3 kap. 3 § 2 dataskydds- lagen). Bestämmelsen möjliggör behandling av känsliga personupp- gifter som är oundviklig i myndigheternas verksamhet som en direkt följd av t.ex. tryckfrihetsförordningens, offentlighets- och sekretess- lagens och förvaltningslagens bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot e-post.

Dataskyddslagen föreslås även innehålla en bestämmelse som innebär att vissa bestämmelser i lagen ska gälla för andra organ än myndigheter (1 kap. 5 § dataskyddslagen). Det gäller organ i vilkas verksamhet offentlighetsprincipen och sekretesslagstiftningen gäller. De bestämmelser som kan tillämpas på även dessa organ är 3 kap. 3 § 2 och 4 § samt 4 kap. 1 § andra stycket dataskyddslagen.

Utöver detta föreslås myndigheter få behandla känsliga person- uppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades integritet (3 kap. 3 § 3 dataskyddslagen).

144

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

Syftet med paragrafen är att möjliggöra behandling av känsliga per- sonuppgifter i enstaka fall även i situationer då det saknas en kopp- ling till ett visst ärende eller behandlingen inte direkt krävs enligt annan lag. Så kan det vara i t.ex. faktisk verksamhet såsom i kommu- nikation mellan skola och föräldrar. Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Vid bedöm- ningen av om behandlingen utgör ett otillbörligt intrång ska vikt läg- gas vid t.ex. uppgifternas känslighet och den inställning de registre- rade kan antas ha till att uppgiften behandlas.

Som skyddsåtgärd, för att säkerställa den registrerades grundläg- gande rättigheter och intressen, uppställs ett förbud för myndigheter att söka på känsliga personuppgifter då sådana uppgifter behandlas enbart med stöd av 3 § dataskyddslagen (3 kap. 4 § dataskyddslagen).

Det bör även nämnas att artikel 9.2 i dataskyddsförordningen innehåller flera bestämmelser förutom samtycke som är direkt till- lämpliga. Vidare har Dataskyddsutredningen genom förslag till bestämmelser i 3 kap. dataskyddslagen möjliggjort behandling av känsliga personuppgifter rörande bl.a. hälso- och sjukvård, arkiv och statistik.

4.7.5Behov av särskild reglering

Förslag: Särskilda undantag från förbudet i artikel 9.1 i data- skyddsförordningen mot behandling av känsliga personuppgifter ska regleras i ett nytt kapitel i skollagen som gäller för en huvud- man inom skolväsendet, en hemkommun eller en aktör enligt 24 och 25 kap. skollagen.

Det ska införas en bestämmelse som möjliggör för dessa organ att behandla känsliga personuppgifter i löpande text om uppgif- terna har lämnats i ett ärende eller är nödvändiga för handlägg- ningen av ett ärende.

Vidare ska det införas en bestämmelse som anger att de organ som omfattas av offentlighetsprincipen får behandla känsliga per- sonuppgifter om dessa har lämnats till organet och behandlingen krävs enligt lag.

145

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

För grundsärskolan, specialskolan, gymnasiesärskolan och sär- skild utbildning för vuxna införs ytterligare bestämmelser som möjliggör nödvändig och regelmässig behandling av personupp- gifter om hälsa. På samma sätt möjliggörs behandling av uppgift om hälsa i gymnasieskolan med Rh-anpassad utbildning, utbild- ning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning samt fristående skolor som begränsats till att avse elever som är i behov av särskilt stöd för sin utveckling.

För sameskolan införs ytterligare bestämmelser som möjlig- gör nödvändig och regelmässig behandling av personuppgifter om etniskt ursprung.

För hemkommunen införs ytterligare bestämmelser som möj- liggör nödvändig behandling av uppgifter om hälsa och etniskt ursprung i vissa fall.

Dessutom ska organen i enstaka fall få behandla känsliga per- sonuppgifter om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt in- trång i den registrerades personliga integritet.

Ett förbud att använda sökbegrepp som avslöjar känsliga personuppgifter ska införas, i fall då behandlingen sker med stöd av de nämnda undantagen. I grundsärskola, specialskola, gymna- siesärskola, särskild utbildning för vuxna, gymnasieskolan med Rh-anpassad utbildning, utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstör- ning och fristående skolor som begränsats till att avse elever som är i behov av särskilt stöd för sin utveckling ska det vara tillåtet att söka på begrepp som avslöjar hälsa. På motsvarande sätt ska det i sameskolan vara tillåtet att söka på begrepp som avslöjar etniskt ursprung. För en hemkommun ska det i vissa fall vara möjligt att söka på begrepp som avslöjar hälsa och etniskt ur- sprung. Regeringen ska få meddela föreskrifter om närmare sök- begränsningar för dessa utbildningsformer och en hemkommun.

Regeringen ska få meddela föreskrifter om ytterligare undan- tag från förbudet mot behandling av känsliga personuppgifter om det behövs med hänsyn till det allmänna intresset att anordna utbildning enligt skollagen eller föreskrifter som har meddelats med stöd av den lagen.

146

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

Slutligen ska det införas upplysningsbestämmelser som anger att nämnda bestämmelser kompletterar dataskyddsförordningen samt att bestämmelser om personuppgiftsbehandling också finns i dataskyddslagen. Kapitlet ska inte tillämpas på elevhälsans medi- cinska verksamhets personuppgiftsbehandling eller Kriminalvår- dens verksamhet enligt 24 kap. 10 § skollagen.

I föregående avsnitt ges exempel på situationer där känsliga person- uppgifter behöver behandlas i den skollagsreglerade utbildningsverk- samheten. Enligt utredningens bedömning utesluter inte dataskydds- förordningen att samtycke kan användas som rättslig grund för be- handling av personuppgifter, även känsliga sådana, av både myndig- heter och enskilda, men att en bedömning måste göras av vilken slags behandling som samtycket avser för att avgöra om det är lämpligt (se avsnitt 4.6.6). För den behandling av känsliga personuppgifter som behövs för att huvudmännen ska kunna fullgöra uppdraget som ankommer på dem enligt skollagen bör dock huvudmännen inte vara beroende av om den registrerade eller dennes vårdnadshavare lämnar samtycke till behandlingen av känsliga personuppgifter eller inte. Detsamma gäller för en kommuns behandling av personuppgifter som behövs för att den ska kunna fullgöra sina åligganden i egenskap av hemkommun enligt skollagen.

Skälet till att utredningen gör den bedömningen är att det kan ifrågasättas om den registrerade faktiskt, i många fall, har något val i frågan om behandlingen ska ske eller inte och därmed en reell möj- lighet att motsätta sig behandlingen. Det är också tveksamt ur syn- vinkeln att lagstiftaren ålägger huvudmännen och hemkommunerna skyldigheter och att fullgörandet av dessa skyldigheter ska göras beroende av den enskildes samtycke. Utredningen konstaterar vidare att offentliga huvudmän och hemkommuner i och med förslaget till bestämmelser i dataskyddslagen om myndigheters behandling i vissa fall kommer att få uttryckligt lagstöd för sådan behandling. Enligt utredningens bedömning bör det för den behandling av känsliga personuppgifter som är nödvändig inom främst skolväsendet för de enskilda huvudmännen finnas ett annat rättsligt stöd för behand- lingen än samtycke.

147

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

Behandling i löpande text

Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 1 dataskydds- lagen får myndigheter behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för behandlingen av det. Det innebär enligt utredningens bedömning att förskolor, skolor och vuxenutbildningsenheter som drivs av kom- muner, landsting eller staten även fortsättningsvis kommer att kunna behandla nödvändiga känsliga personuppgifter i löpande text i ären- den. För dessa huvudmän skulle således ingen ytterligare reglering för att kunna behandla känsliga personuppgifter i detta avseende krä- vas. Detsamma gäller för en hemkommuns möjlighet att behandla nödvändiga känsliga personuppgifter i löpande text i ärenden.

Enskilda huvudmän för förskolor och skolor omfattas beträffan- de utförandet av den aktuella utbildningen av samma bestämmelser i skollagen som de offentliga huvudmännen. Vidare anges i skollagen att vissa beslut som fattas av en enskild huvudman eller rektor i en fristående skola får överklagas hos allmän förvaltningsdomstol (28 kap. 6 och 9 §§ skollagen). Andra typer av beslut som fattas av en enskild huvudman eller rektor i en fristående skola får överklagas hos Skolväsendets överklagandenämnd (28 kap. 13 och 16 §§ skol- lagen). Vidare framgår av 29 kap. 10 och 11 §§ skollagen att i ärenden som avser myndighetsutövning mot någon enskild enligt skollagen hos en kommun, ett landsting, eller en enskild huvudman ska vissa uppräknade bestämmelser i förvaltningslagen (1986:223) tillämpas.

De enskilda huvudmännen har således samma behov av, i de fall det är relevant och nödvändigt, att kunna behandla känsliga person- uppgifter i sina ärenden som de offentliga huvudmännen. Vidare kan en fristående förskola eller fristående skola i en ansökan om tilläggs- belopp för elever som har ett omfattande behov av särskilt stöd be- höva behandla uppgifter om elevens hälsa för att kunna styrka beho- vet av särskilt stöd (t.ex. 9 kap. 21 § och 10 kap. 39 § skollagen). I dagsläget kan sådan behandling av känsliga personuppgifter ske med stöd av 5 a § PUL, men den bestämmelsen kommer som ovan nämnts att upphävas när dataskyddsförordningen ska börja tillämpas.

Enligt utredningens bedömning är även de enskilda huvud- männen i förhållande till eleverna bundna av legalitetsprincipen. Det krävs således även för dessa att det finns någon form av förankring i skollagen med tillhörande föreskrifter för deras verksamhet. Utred-

148

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

ningens bedömning är därför att det finns behov av att införa en bestämmelse som möjliggör för de enskilda huvudmännen att be- handla känsliga personuppgifter i ärenden på motsvarande sätt som för myndigheter.

Med stöd av den föreslagna bestämmelsen bör känsliga person- uppgifter, i det fall det är nödvändigt, kunna behandlas i löpande text i t.ex. utredningar om särskilt stöd och åtgärdsprogram (7 kap. 8 och 9 §§ skollagen) och anmälningar och utredningar om kränkande behandlingar (6 kap. 10 § skollagen). Även fristående skolors ansökan om tilläggsbelopp hos hemkommunen (10 kap. 39 § skollagen) bör enligt utredningens bedömning betraktas som ett ärende.

Eftersom de aktuella huvudmännen har möjlighet att utföra dessa behandlingar av känsliga personuppgifter redan i dagsläget med stöd av 5 a § PUL bedömer utredningen att integritetsintrånget för den enskilde varken blir större eller mindre genom att en sådan bestäm- melse införs. Med hänsyn till huvudmännens behov av att kunna behandla känsliga personuppgifter i vissa ärenden för att uppfylla de skyldigheter som åligger dem enligt skollagen anser utredningen att bestämmelsen står i proportion till det eftersträvande syftet, dvs. att möjliggöra behandling av känsliga personuppgifter i vissa ärenden.

Av enhetlighetsskäl föreslås en bestämmelse som möjliggör för samtliga skolhuvudmän, kommunerna när de utför sina åligganden såsom hemkommuner enligt skollagen och aktörer enligt 24 och 25 kap. skollagen att behandla känsliga personuppgifter i löpande text, se nedan angående att ett nytt 28 a kap. ska införas i skollagen. Beträffande skyddsåtgärder, se nedan angående sökbegränsningar.

Behandling som krävs på grund av lag

Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 2 dataskydds- lagen får myndigheter behandla känsliga personuppgifter om upp- gifterna har lämnats till myndigheten och behandlingen krävs enligt lag. Dataskyddsutredningen föreslår även att bestämmelsen ska gälla för andra organ än myndigheter om offentlighetsprincipen och sekretesslagstiftningen gäller i organets verksamhet. Enligt 1 kap. 5 § dataskyddslagen ska vid tillämpningen av 3 kap. 3 § 2 och 4 § samt 4 kap. 1 § andra stycket andra organ än myndigheter jämställas med myndigheter, i den mån bestämmelserna om allmänna hand-

149

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

lingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i organets verksamhet.

Förslagen innebär, enligt utredningens bedömning, att förskolor, skolor och vuxenutbildningsenheter som drivs av kommuner, lands- ting eller staten även fortsättningsvis kommer att kunna uppfylla de åligganden enligt bl.a. offentlighetsprincipen som ankommer på dem, t.ex. att diarieföra handlingar som innehåller känsliga person- uppgifter. Detsamma gäller kommunerna när de utför sina övriga åligganden enligt skollagen.

Beträffande de fristående skolorna har Utredningen om offent- lighetsprincipen i fristående skolor i betänkandet Ökad insyn i fristående skolor (SOU 2015:82) föreslagit att offentlighetsprin- cipen ska införas hos huvudmän för fristående skolor (betänkandet omfattar således inte fristående förskolor, jfr definitionerna i 1 kap. 3 § skollagen). En ny bestämmelse föreslås införas i offentlighets- och sekretesslagen av innebörden att vad som föreskrivs i tryckfri- hetsförordningen om rätt att ta del av allmänna handlingar hos myn- digheter i tillämpliga delar ska gälla också handlingar hos huvudmän för fristående skolor. Samtliga huvudmän för fristående skolor ska omfattas. Huvudmännen ska enligt förslaget vid tillämpningen av offentlighets- och sekretesslagen jämställas med myndigheter. Det innebär bl.a. att de fristående skolorna blir skyldiga att registrera sina allmänna handlingar enligt samma principer som gäller för myn- digheter (SOU 2015:82 s. 93 ff.). Bestämmelserna föreslås träda i kraft den 1 juli 2017. Betänkandet bereds inom Regeringskansliet.

Utredningen om ökad insyn i välfärden har i betänkandet Ökad insyn i välfärden (SOU 2016:62) på motsvarande sätt föreslagit att offentlighetsprincipen bör gälla för juridiska personer som i egen- skap av enskilda huvudmän driver förskola eller fritidshem, för pri- vata aktörer som enligt avtal med kommun, enskild huvudman eller landsting utför uppgifter enligt 23 kap. skollagen (entreprenad) med undantag av verksamhet som regleras i 25 kap. skollagen, samt för privat folkhögskola som anordnar utbildning som motsvarar kom- munal vuxenutbildning i svenska för invandrare (enligt 24 kap. 11– 15 §§ skollagen). Bestämmelserna föreslås träda i kraft den 1 januari 2019. Betänkandet bereds inom Regeringskansliet.

Dataskyddsutredningens förslag till bestämmelser i 1 kap. 5 § och 3 kap. 3 § 2 dataskyddslagen innebär att en skolhuvudman för vilken offentlighetsprincipen och sekretesslagstiftningen enligt författning

150

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

gäller i huvudmannens verksamhet, oavsett om denne är en offentlig eller privat aktör, kan tillämpa bl.a. 3 kap. 3 § 2 dataskyddslagen för behandling av känsliga personuppgifter som är oundviklig i den del av huvudmannens verksamhet som en direkt följd av bl.a. tryckfri- hetsförordningens och offentlighets- och sekretesslagens bestäm- melser om allmänna handlingar och diarieföring. Skolhuvudmännens behov av att kunna behandla känsliga personuppgifter med anledning av att de omfattas av eller föreslås omfattas av offentlighetsprincipen är tillgodosett av nämnda föreslagna bestämmelser i dataskyddslagen. Då det finns behov av att införa en särskild reglering för de enskilda huvudmännens behandling av känsliga personuppgifter i ärenden är dock utredningens bedömning att det är lämpligare att även bestäm- melserna om när skolhuvudmännen får behandla känsliga person- uppgifter till följd av bl.a. offentlighetsprincipen tas in i samma författning. Förslaget omfattar också kommunerna när de utför sina åligganden såsom hemkommuner enligt skollagen och de aktörer enligt 24 och 25 kap. skollagen för vilka offentlighetsprincipen och sekretesslagstiftningen enligt författning gäller i verksamheten.

Som en skyddsåtgärd föreslås, i likhet med dataskyddslagen, sök- begränsningar, se nedan.

Eftersom dessa bestämmelser inte tillför något ytterligare eller mindre jämfört med dataskyddslagen bedömer utredningen att det inte behöver göras någon särskild proportionalitetsprövning i detta sammanhang. Det kan dock nämnas att en bestämmelse som möjlig- gör behandling av känsliga personuppgifter som är oundviklig i orga- nets verksamhet som en direkt följd av tryckfrihetsförordningens och offentlighets- och sekretesslagens bestämmelser om allmänna handlingar och diarieföring är en förutsättning för att– organet ska kunna uppfylla sina skyldigheter enligt offentlighetsprincipen. Det allmänna intresset av att organen som har att tillämpa offentlighets- principen kan uppfylla sina skyldigheter väger enligt utredningens bedömning tyngre än den enskildes intresse av att uppgiften inte ska behandlas i detta avseende. Bestämmelsen bedöms stå i proportion till det eftersträvade syftet. Det bör därför, om föreslagna ändringar i offentlighets- och sekretesslagen införs, införas en bestämmelse som motsvarar 3 kap. 3 § 2 dataskyddslagen.

Det kan även nämnas att 1 kap. 5 § dataskyddslagen innehåller en hänvisning till 4 kap. 1 § andra stycket samma lag (arkiverade per- sonuppgifter). Eftersom utredningens förslag är att dataskyddslagen

151

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

ska gälla om inte något annat följer av det föreslagna nya kapitlet i skollagen och kapitlet inte innehåller några bestämmelser om arkiv så ska dataskyddslagens bestämmelser i den delen tillämpas av huvud- männen, oavsett om de är myndigheter eller enskilda rättssubjekt, och kommunerna.

Absolut nödvändig behandling i andra fall

Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 3 dataskydds- lagen får en myndighet i enstaka fall behandla känsliga personupp- gifter om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registre- rades personliga integritet. Som exempel på när bestämmelsen kan vara tillämplig anges faktisk verksamhet såsom i kommunikation mellan skola och föräldrar (SOU 2017:39, avsnitt 10.6.2).

Enligt utredningens bedömning kan bestämmelsen tillämpas i kommunikation mellan skola och föräldrar både i de fall det finns ett övergående behov av att behandla en uppgift om t.ex. barnets hälsa och i de fall det till följd av att ett barn har en kronisk sjukdom, t.ex. diabetes, finns ett mer regelbundet behov av att behandla uppgiften.

Ett annat exempel på när paragrafen kan vara tillämplig är på ett dokument med uppgifter om vilka elever som har behov av special- kost på grund av allergi eller religiös övertygelse som skapas i syfte att skolmåltidspersonalen ska få kännedom om det. Om skolmål- tidspersonalen inte vet vilka elever som har behov av särskild kost kan den inte tillgodose det. Behandlingen av uppgiften om t.ex. allergi är därför absolut nödvändig och utgör enligt utredningens bedöm- ning inte ett otillbörligt intrång i den registrerades integritet. Även inom t.ex. elevhälsans psykosociala och specialpedagogiska insatser kan det förekomma situationer när bestämmelsen är tillämplig, dvs. det är inte fråga om ett ärende men det är absolut nödvändigt att behandla känsliga personuppgifter och behandlingen bedöms inte vara ett otillbörligt intrång i den registrerades personliga integritet.

Bestämmelsen i dataskyddslagen är direkt tillämplig på kommu- nal verksamhet och verksamhet vars huvudman är staten, ett lands- ting eller en kommun. De enskilda huvudmännen och privata aktö- rerna som bedriver utbildningsverksamhet enligt skollagen har, som ovan angetts beträffande ärenden, samma behov av att kunna behand-

152

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

la känsliga personuppgifter som de offentliga huvudmännen. Utred- ningens bedömning är att en bestämmelse som möjliggör för även dessa huvudmän att behandla känsliga personuppgifter i enstaka fall i t.ex. faktiskt verksamhet, vilket undervisning är, står i proportion till det eftersträvade syftet. En bestämmelse med sådana starkt begrän- sande rekvisit tillgodoser, enligt utredningens bedömning, data- skyddsförordningens krav på proportionalitet och skyddsåtgärder. Utredningen anser därför att en sådan möjlighet ska införas. Såsom tidigare anförts bedömer utredningen att det är lämpligt att det införs en bestämmelse som ska tillämpas av kommunerna på den verksamhet som tillhandahålls såsom hemkommun enligt skollagen, huvudmännen för skolväsendet och aktörer enligt 24 och 25 kap. skollagen. Beträffande skyddsåtgärder, se avsnittet nedan med sam- ma namn.

Särskilda bestämmelser för grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna

Som tidigare nämnts är behandling av alla personuppgifter om en elev i grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna en behandling av känsliga personuppgifter. An- ledningen till detta är att det endast är elever med funktionsned- sättning som tillhör målgruppen för dessa skolformer och enbart uppgiften om att eleven går i den skolan innebär därmed att man får reda på en uppgift om elevens hälsa.

Det innebär att huvudmännen måste tillämpa de särskilda bestäm- melserna som gäller för behandling av känsliga personuppgifter på all personuppgiftsbehandling, dvs. även för elevadministration som t.ex. kontaktuppgifter, elevregister, närvarorapportering, klasslistor och ämnesval. Det är uppgifter som – bortsett från att eleven går i en viss skolform – vanligen är harmlösa uppgifter. Även behandling av per- sonuppgifter i samband med t.ex. dokumentation inför och skrivan- det av utvecklingsplaner omfattas av de särskilda bestämmelser som rör behandling av känsliga personuppgifter.

I dagsläget är det rättsliga stödet för att behandla känsliga person- uppgifter i detta sammanhang främst samtycke. Utredningen erfar att Specialpedagogiska skolmyndigheten vid hanteringen av klagomål enligt 6 kap. skollagen har tillämpat 16 c § PUL, dvs. att behand-

153

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

lingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, för viss behandling.

Av artikel 9.2 f i dataskyddsförordningen framgår att behandling av känsliga personuppgifter får ske om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk. I skäl 52 till dataskyddsförordningen anges att genom undantag bör man även tillåta behandling av sådana personuppgifter där så krävs för fastställande, utövande eller försvar av rättsliga anspråk, oavsett om detta sker inom ett domstolsförfarande eller inom ett admi- nistrativt eller ett utomrättsligt förfarande. Bestämmelsen i arti- kel 9.2 f är inte begränsad till myndigheter. Om en huvudman gör bedömningen att behandlingen av känsliga personuppgifter är nöd- vändig för att fastställa, göra gällande eller försvara rättsliga anspråk kan den tillämpa artikel 9.2 f till stöd för sådan behandling.

Utredningen bedömer, som även tidigare nämnts, att samtycke inte är ett lämpligt rättsligt stöd för behandlingen av känsliga per- sonuppgifter i dessa skolformer, eftersom lagstiftaren ålägger huvud- männen skyldigheter gentemot eleven och för att kunna uppfylla dessa åligganden måste huvudmannen kunna behandla relevanta per- sonuppgifter om eleven.

De av Dataskyddsutredningen föreslagna bestämmelserna som möjliggör nödvändig behandling av känsliga personuppgifter i löpan- de text i ärenden och behandling som krävs på grund av lag kommer inte kunna tillämpas på den behandling av elevernas personuppgifter som sker i bl.a. den elevadministrativa verksamheten. Inte heller bestämmelsen som möjliggör behandling av känsliga personuppgifter i enstaka fall om det är absolut nödvändigt för ändamålet med be- handlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades integritet kommer bli tillämplig, eftersom bestäm- melsen inte är avsedd att tillämpas på upprepad, omfattande, struktu- rell eller storskalig behandling. Personuppgiftsbehandlingen inom elevadministrationen sker inte i enstaka fall och är upprepad och strukturell.

Utredningens bedömning är att personuppgiftsbehandling för att föra t.ex. elevregister, kontrollera närvaro och upprätta utvecklings- planer är nödvändig för att huvudmännen för särskolor, specialsko- lor och särskild utbildning för vuxna ska kunna bedriva sin verksam- het. De personuppgifter som i det sammanhanget behöver behandlas är t.ex. namn, personnummer, adress, vårdnadshavare och kontakt-

154

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

uppgifter till dessa. Enligt utredningens bedömning är dessa uppgif- ter normalt sett harmlösa och anledningen till att de bedöms som känsliga är att de förekommer i verksamheten. Utredningens be- dömning är att huvudmännen för dessa skolformer är i behov av att kunna behandla elevernas personuppgifter i dessa sammanhang på samma sätt som andra huvudmän, men huvudmännen har fortfaran- de att behandla dessa uppgifter som känsliga personuppgifter ur dataskydds- och datasäkerhetssynpunkt (artikel 25 och 32 i data- skyddsförordningen). Det behöver därför finnas en särskild bestäm- melse som möjliggör för dessa huvudmän att behandla känsliga per- sonuppgifter i denna situation.

När det gäller det integritetsintrång som utredningens förslag medför görs följande bedömning. I dagsläget behandlas elevernas per- sonuppgifter inom de berörda skolformerna med stöd av samtycke från eleven eller vårdnadshavarna. Det kan dock diskuteras hur frivil- ligt ett sådant samtycke kan anses vara och om det i praktiken går att vägra en behandling av personuppgifterna på automatisk väg (jfr skäl 43 till dataskyddsförordningen). Med hänsyn till den digitalise- ring som skett inom offentlig verksamhet är det i dagsläget nödvän- digt att kunna behandla elevernas personuppgifter automatiserat, t.ex. i ett elevregister, och i löpande text inom den faktiska verksamheten, dvs. undervisningen. Utredningens bedömning är att samtycke inte är ett lämpligt rättsligt stöd när verksamhetsbehovet av att kunna behandla de känsliga personuppgifterna är så stort och väger tungt. Utredningen anser för övrigt att det också ligger i elevens intresse att uppgifterna i detta sammanhang kan behandlas automatiskt.

Utredningen föreslår att huvudmännen för särskolor, specialsko- lor och särskild utbildning för vuxna ska kunna behandla uppgifter om hälsa om det är nödvändigt för ändamålet med behandlingen. Dessutom krävs att behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Anledningen till att det senare kravet föreslås är för att vikt ska läggas vid aspekter som upp- gifternas känslighet, den inställning de registrerade kan ha till att uppgiften behandlas och den spridning uppgiften skulle komma att få vid bedömningen om uppgiften bör behandlas eller inte.

Eftersom elevernas personuppgifter redan i dagsläget behandlas automatiserat i särskolor, specialskolor och särskild utbildning för vuxna i t.ex. elevregister och de föreslagna bestämmelserna inte avser att medföra ett stöd för att ytterligare uppgifter ska kunna behandlas

155

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

än de som kan behandlas i dagsläget med stöd av samtycke, bedömer utredningen att bestämmelserna innebär att integritetsintrånget för den enskilde varken blir större eller mindre än i dagsläget. Utred- ningen bedömer att bestämmelsen står i proportion till det efter- strävade syftet.

Det kan även förtydligas att beträffande behandling av andra käns- liga personuppgifter än uppgift om hälsa gäller de övriga föreslagna bestämmelserna även för särskolorna och specialskolorna. När det gäller dataskydd, se avsnittet nedan om skyddsåtgärder.

Särskilda bestämmelser för vissa fristående skolor och vissa kommunala gymnasieskolor

Huvudregeln är att fristående skolor ska vara öppna för alla elever. En huvudman för fristående förskoleklass, grundskola, grundsär- skola och gymnasieskola får dock begränsa sitt mottagande till att avse elever som är i behov av särskilt stöd (9 kap. 17 §, 10 kap. 35 § 2, 11 kap. 34 § 2 och 15 kap. 33 § 1 skollagen). Skolorna med begränsat mottagande riktar sig ofta till elever med neuropsykiatriska funk- tionsnedsättningar som ADHD och AST. Många skolor skriver sam- tidigt att de även riktar sig till elever med annan problematik, bl.a. elever med social problematik eller elever med tidigare skolmiss- lyckanden (Skolverket, Rapport nr 409, 2014, Fristående skolor för elever i behov av särskilt stöd – en kartläggning, s. 8).

Utredningens bedömning är att en uppgift om att en elev går i en fristående skola som begränsat sitt mottagande till elever som är i behov av särskilt stöd vanligen är en känslig personuppgift på samma sätt som en uppgift om att en elev går i t.ex. en grundsärskola. An- ledningen till detta är att skolorna endast mottar elever som är i behov av det slag av särskilt stöd som huvudmannen bestämt och en- bart uppgiften om att eleven går vid den skolan innebär därför att man får reda på en uppgift om elevens hälsa.

Enligt utredningens bedömning gör sig samma motiv till att in- föra en bestämmelse som möjliggör behandling av uppgift om hälsa gällande i dessa verksamheter som för t.ex. grundsärskolan. Utred- ningen föreslår därför att uppgifter om hälsa ska få behandlas om det är nödvändigt för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Beträf- fande integritetsintrånget gör utredningen samma bedömning som

156

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

den gjort för t.ex. grundsärskolan. Angående skyddsåtgärder, se nedan om sökbegränsningar. En grundsärskola som begränsat sitt mottagande till elever som är i behov av särskilt stöd kan tillämpa bestämmelsen som gäller för grundsärskolan.

Rh-anpassad gymnasieutbildning anordnas för ungdomar med svårt rörelsehinder (15 kap. 9 § första stycket skollagen). Enligt 11 kap. 1 § gymnasieförordningen ska den Rh-anpassade utbildning- en så långt det är möjligt integreras med motsvarande utbildning i gymnasieskolan. Enligt 1 § förordningen (1986:578) om utbildning för döva och gravt hörselskadade i Örebro kommuns gymnasieskola får Örebro kommun i sin gymnasieskola anordna utbildning för döva och gravt hörselskadade från hela landet. Utbildningen ska vän- da sig även till dem som på grund av språkstörning behöver insatser av samma slag som döva och gravt hörselskadade.

I de klasser som kommunala gymnasieskolor som anordnar Rh- anpassad gymnasieutbildning eller utbildning för döva och gravt hörselskadade där endast elever som har funktionsnedsättningar går blir uppgiften om att eleven går en sådan utbildning även en uppgift om elevens hälsa. Detta eftersom det i dessa klasser endast går elever med funktionsnedsättningar.

Utredningen gör bedömningen att samma motiv gör sig gällande till att införa en bestämmelse som möjliggör behandling av uppgift om hälsa i dessa verksamheter som för t.ex. gymnasiesärskolan och fristående gymnasieskola som begränsats till att avse elever som är i behov av särskilt stöd. Utredningen föreslår därför att uppgifter om hälsa ska få behandlas i denna verksamhet om det är nödvändigt för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Beträffande integritetsin- trånget gör utredningen samma bedömning som den gjort för t.ex. gymnasiesärskolan. Angående skyddsåtgärder, se nedan om sök- begränsningar.

Särskilda bestämmelser för sameskolan

Som tidigare nämnts är behandling av alla personuppgifter om en elev i sameskolan en behandling av känsliga personuppgifter. Genom att sameskolan vänder sig till barn till samer och främst är öppen för barn till samer blir uppgiften om att en elev går i sameskolan en

157

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

känslig personuppgift, eftersom man genom skolformens namn typiskt sett kan utläsa elevernas etniska ursprung.

Det innebär att Sameskolstyrelsen, som är huvudman för samtliga sameskolor, måste tillämpa de särskilda bestämmelserna som gäller för behandling av känsliga personuppgifter på all personuppgifts- behandling, dvs. även för elevadministration såsom kontaktuppgif- ter, elevregister, närvarorapportering, klasslistor och ämnesval. Det är uppgifter som vanligen är harmlösa uppgifter. Även behandling av personuppgifter i samband med t.ex. dokumentation inför och skri- vandet av utvecklingsplaner omfattas av de särskilda bestämmelser som rör behandling av känsliga personuppgifter.

I dagsläget är det rättsliga stödet för att behandla känsliga person- uppgifter i detta sammanhang samtycke. Utredningen gör, som även tidigare nämnts, bedömningen att samtycke inte är ett lämpligt rätts- ligt stöd för behandlingen av känsliga personuppgifter i detta hän- seende eftersom lagstiftaren ålägger huvudmännen skyldigheter gent- emot eleven och att det för att kunna uppfylla dessa åligganden finns ett berättigat behov av att kunna behandla relevanta personuppgifter om eleven.

De föreslagna bestämmelserna som möjliggör nödvändig behand- ling av känsliga personuppgifter i löpande text i ärenden och behand- ling som krävs på grund av lag kommer inte att kunna tillämpas på den behandling av elevernas personuppgifter som sker i bl.a. den elev- administrativa verksamheten. Inte heller är den föreslagna bestäm- melsen som möjliggör behandling av känsliga personuppgifter i en- staka fall om det är absolut nödvändig för ändamålet med behand- lingen och inte innebär ett otillbörligt intrång i den registrerades integritet tillämplig, eftersom bestämmelsen inte är avsedd att tilläm- pas på upprepad, omfattande, strukturell eller storskalig behandling. Personuppgiftsbehandlingen inom elevadministrationen sker inte i enstaka fall och är upprepad och strukturell.

Utredningen bedömer att personuppgiftsbehandling för att föra t.ex. elevregister, kontrollera närvaro och upprätta utvecklingsplaner är nödvändig för att sameskolan ska kunna bedriva sin verksamhet. De personuppgifter som i det sammanhanget behöver behandlas är t.ex. namn, personnummer, adress, vårdnadshavare och kontaktupp- gifter till dessa. Enligt utredningens bedömning är dessa uppgifter normalt sett harmlösa och anledningen till att de bedöms som käns- liga är att de förekommer i verksamheten. Utredningen bedömer att

158

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

det i sameskolan finns ett behov av att kunna behandla elevernas personuppgifter i dessa sammanhang på samma sätt som i andra skolformer, men huvudmannen har fortfarande att behandla dessa uppgifter som känsliga personuppgifter ur dataskydds- och data- säkerhetssynpunkt (artikel 25 och 32 i dataskyddsförordningen). Utredningens uppfattning är att det behövs en särskild bestämmelse som ger rättsligt stöd för Sameskolstyrelsen att behandla känsliga personuppgifter i denna situation.

Utredningen föreslår att uppgifter om etniskt ursprung ska få behandlas i sameskolan om det är nödvändigt för ändamålet med behandlingen. Dessutom krävs att behandlingen inte innebär ett otill- börligt intrång i den registrerades personliga integritet. Anledningen till att det senare kravet föreslås är att vikt ska läggas vid aspekter som uppgifternas känslighet, den inställning de registrerade kan ha till att uppgiften behandlas och den spridning uppgiften skulle komma att få vid bedömningen om uppgiften bör behandlas eller inte.

Eftersom sameskolan redan i dagsläget behandlar elevernas per- sonuppgifter automatiserat i t.ex. elevregister, och då de föreslagna bestämmelserna inte avser att medföra ett stöd för att ytterligare uppgifter ska kunna behandlas än de som kan behandlas i dagsläget, bedömer utredningen att bestämmelserna innebär att integritets- intrånget för den enskilde varken blir större eller mindre än i dags- läget. Utredningen bedömer vidare att bestämmelsen står i pro- portion till det eftersträvade syftet.

Det kan även förtydligas att för behandling av andra känsliga per- sonuppgifter än uppgift om etniskt ursprung gäller de övriga före- slagna bestämmelserna även för sameskolorna. När det gäller skydds- åtgärder, se avsnittet nedan.

Hemkommunens ansvar och skyldigheter enligt skollagen

Skollagen ålägger kommunerna särskilda uppgifter såsom hemkom- muner, t.ex. att pröva mottagande i grundsärskola (7 kap. 5 § skol- lagen), att se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning (7 kap. 21 § skollagen) och att ombesörja skolskjuts (t.ex. 10 kap. 32 § skollagen). I dessa sammanhang kan det finnas ett behov för hemkommunen att behandla känsliga personuppgifter.

159

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

Beträffande exemplet skolskjuts är utredningens bedömning följande. I detta fall är uppgiften av allmänt intresse – att ombesörja skolskjuts för elever i grundskola som uppfyller vissa förutsättningar

– fastställd genom bestämmelsen i 10 kap. 32 § skollagen. Hemkom- munen kan således tillämpa artikel 6.1 e i dataskyddsförordningen som stöd för nödvändig personuppgiftsbehandling för att utföra denna uppgift av allmänt intresse.

En anledning till att en elev har behov av skolskjuts kan vara att eleven har en funktionsnedsättning. För prövningen av en elevs rätt till skolskjuts kan kommunen komma att få in handlingar som inne- håller uppgifter om elevens hälsa. Kommunen kan även i sitt beslut behöva nedteckna uppgifter som rör elevens hälsa. Uppgifter om hälsa är känsliga personuppgifter enligt artikel 9.1 i dataskyddsför- ordningen. Utredningen föreslår en bestämmelse som – motsvarande 3 kap. 3 § 1 och 2 dataskyddslagen – möjliggör behandling av käns- liga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende samt om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag.

Hemkommunens ansvar för att skolplikten fullgörs

Enligt 7 kap. 21 § skollagen ska hemkommunen se till att skol- pliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning.

Vad utredningen erfar kan det krävas att kommuner med anled- ning av detta åliggande för ett fullständigt elevregister med uppgifter om personnummer, namn, adress och vårdnadshavare samt vid vil- ken skola eleven är inskriven i för att kommunen ska kunna fullgöra sitt ansvar. Registret bör omfatta samtliga elever som bor inom den egna kommunen och skolor oavsett huvudman, dvs. även t.ex. grund- särskolor och specialskolor.

Att en elev går i en skola som är t.ex. en grundsärskola eller spe- cialskola är en uppgift om hälsa, dvs. en känslig personuppgift. På samma sätt är uppgiften att en elev går i en sameskola en uppgift om etniskt ursprung och således en känslig personuppgift.

I dagsläget behandlas personuppgifterna i sådana elevregister med stöd av bestämmelserna i personuppgiftslagen.

160

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

För att en hemkommun ska kunna fullgöra sitt ansvar och se till att skolpliktiga barn som inte går i dess grundskola eller grund- särskola på något annat sätt får föreskriven utbildning måste person- uppgifter samlas in och bearbetas. För att behandlingen ska vara tillå- ten när dataskyddsförordningen ska börja tillämpas måste kom- munen kunna stödja den på en rättslig grund enligt artikel 6.1 i data- skyddsförordningen.

Utredningen bedömer att en kommuns uppdrag och åligganden enligt skollagen med anslutande föreskrifter är uppgifter av allmänt intresse. Dessa uppdrag och åligganden är fastställda i svensk rätt genom just dessa föreskrifter. De åtgärder som kommunerna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har där- med i sig en legal grund, som har offentliggjorts genom tydliga, pre- cisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen (jfr Dataskyddsutredningen SOU 2017:39, avsnitt 8.3.4).

Kommunernas ansvar enligt 7 kap. 21 § skollagen är enligt utred- ningens bedömning att betrakta som en uppgift av allmänt intresse i dataskyddsförordningens mening. Uppgiften av allmänt intresse är genom 7 kap. 21 § skollagen också fastställd i svensk rätt. Bestäm- melsen är tydlig, precis och förutsägbar (jfr skäl 41 till dataskydds- förordningen). En hemkommun kan enligt utredningens bedömning stödja nödvändig behandling på den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen.

Rättslig grund är dock inte ensam tillräcklig för att personupp- giftsbehandlingen ska vara tillåten. Dessutom måste övriga bestäm- melser i dataskyddsförordningen vara uppfyllda, t.ex. bestämmelserna om principer för behandling av personuppgifter enligt artikel 5. För att få behandla känsliga personuppgifter krävs dessutom att något av kriterierna i artikel 9.2 i dataskyddsförordningen är uppfyllt. Av arti- kel 9.2 g framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Dataskyddsutredningen har beträffande myndigheters behand- ling utgått från att det utgör ett viktigt allmänt intresse att svenska

161

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

myndigheter kan bedriva den verksamhet som tydligt faller inom ramen för deras uppdrag på ett korrekt, rättssäkert och effektivt sätt (SOU 2017:39, avsnitt 10.6.2). Enligt utredningens bedömning är det ett viktigt allmänt intresse att hemkommunen fullgör sitt an- svar enligt 7 kap. 21 § skollagen.

Dataskyddsutredningen anser att kravet på stöd i nationell rätt i 9.2 g innebär att undantaget i sig bör föreskrivas i nationell rätt, antingen i generell eller i sektorsspecifik reglering (SOU 2017:39, avsnitt 10.3). De bestämmelser som föreslås möjliggöra behandling av känsliga personuppgifter kommer inte att bli tillämpliga på ett sådant register. Detta eftersom dessa register inte är ärenden och inte heller förs som en direkt följd av tryckfrihetsförordningens, offent- lighets- och sekretesslagens och förvaltningslagens bestämmelser om hur inkomna handlingar ska hanteras. Behandlingen av känsliga per- sonuppgifter sker inte i enstaka fall då uppgifter om elever i t.ex. grundsärskolor behandlas regelmässigt.

Enligt utredningens bedömning är det nödvändigt att hemkom- munerna kan behandla uppgifter om att en viss elev går i t.ex. grund- särskola för att kommunerna ska kunna fullgöra åliggandet att se till att skolpliktiga barn som inte går i dess grundskola eller grundsär- skola på något annat sätt får föreskriven utbildning. Om hemkom- munen inte kan föra in dessa uppgifter i sådana register kommer de i praktiken inte kunna uppfylla sitt ansvar enligt 7 kap. 21 § skollagen.

Utredningen föreslår därför en bestämmelse som möjliggör för kommunerna i egenskap av hemkommuner att behandla känsliga personuppgifter som är nödvändiga för att fullgöra sina skyldigheter enligt 7 kap. 21 § skollagen.

För att minska risken för integritetsintrång bör de känsliga per- sonuppgifter som får behandlas begränsas till personnummer, namn, adress och vårdnadshavare, dvs. uppgifter som i normalfallet är harmlösa uppgifter, men som tillsammans med en uppgift om t.ex. särskola blir en känslig personuppgift. Enligt utredningens bedöm- ning är detta en lämplig åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen. Hemkommunen har även att beakta t.ex. artikel 32 i dataskyddsförordningen om säkerhet för personuppgifter vid behandlingen av personuppgifterna.

Eftersom kommunerna redan i dagsläget behandlar dessa uppgif- ter i sina elevregister bedömer utredningen att den föreslagna bestäm- melsen varken medför ett ökat eller minskat integritetsintrång.

162

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

Mottagande i särskola

Enligt 7 kap. 5 § andra stycket skollagen ska barnets hemkommun pröva frågan om mottagande i grundsärskolan. Ett beslut om mot- tagande i grundsärskolan ska föregås av en utredning som omfattar en pedagogisk, psykologisk, medicinsk och social bedömning.

Av 18 kap. 5 § skollagen framgår att hemkommunen prövar frå- gan om en sökande tillhör målgruppen för gymnasiesärskolan. Utredningens bedömning är att hemkommunerna när de handlägger dessa ärenden utför en uppgift av allmänt intresse och att uppgiften av allmänt intresse är fastställd genom ovan nämnda bestämmelser i skollagen. Bestämmelserna är tydliga, precisa och förutsägbara. Artikel 6.1 e i dataskyddsförordningen är således tillämplig som rättslig grund för nödvändig personuppgiftsbehandling.

Vid handläggningen av dessa ärenden kommer hemkommunerna att behöva behandla uppgifter om elevernas hälsa, dvs. känsliga personuppgifter. Som ovan nämnts föreslås bestämmelser som möj- liggör för kommunen såsom hemkommun att behandla känsliga personuppgifter i bl.a. löpande text om uppgifterna är nödvändiga för handläggningen av ett ärende. Enligt vad utredningen erfar kan det krävas att uppgifter om ärenden om bl.a. mottagande i grund- särskolan läggs in i kommunernas ärendehanteringssystem. I ärendet läggs även uppgiften om vilken elev det rör in. Uppgiften om att en elev är föremål för frågan om mottagande i grundsärskolan eller tillhör målgruppen för gymnasiesärskolan är en uppgift om elevens hälsa. Enligt utredningens bedömning kan den förslagna bestäm- melsen om behandling av känsliga personuppgifter i enstaka fall inte bli tillämplig på dessa behandlingar eftersom det inte rör sig om enstaka fall.

Enligt utredningens bedömning är det nödvändigt med hänsyn till ett viktigt allmänt intresse på grundval av nämnda bestämmelser i skollagen att kommunerna kan göra dessa personuppgiftsbehand- lingar. Dessa behandlingar är även i elevernas intresse då de är en förutsättning för att kommunerna ska kunna fatta beslut i frågan och sedan ha möjlighet att återfinna sina beslut i ärendehanteringssyste- men.

Utredningen föreslår därför en bestämmelse som möjliggör för en hemkommun att med stöd av artikel 9.2 g i dataskyddsförord- ningen behandla uppgifter om hälsa om det är absolut nödvändigt

163

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

för handläggningen av ett ärende om mottagande i grundsärskolan enligt 7 kap. 5 § andra stycket skollagen, eller ett ärende om en sökande tillhör målgruppen för gymnasiesärskolan enligt 18 kap. 5 § skollagen. För att behandlingen ska vara tillåten krävs dessutom att den inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Kommunerna ska noga överväga vilka uppgifter om hälsa som läggs in i både löpande text och eventuellt direkt i ärendehanterings- systemet och pröva det mot ändamålet med behandlingen. Vidare ställer bestämmelsen upp ett krav på att ytterligare avvägning ska göras i det enskilda fallet. Vid bedömningen av om en behandling utgör ett otillbörligt intrång ska vikt läggas vid sådana aspekter som uppgifternas känslighet, den inställning de registrerade kan antas ha till att uppgiften behandlas, den spridning uppgiften skulle komma att få och risken för vidarebehandling för andra ändamål än insam- lingsändamålet.

För att begränsa risken för integritetsintrång föreslås i förordning att endast vissa sökbegrepp får användas. De sökbegrepp som tillåts är sådana som i andra sammanhang betraktas som harmlösa, t.ex. namn, personnummer, adress, skolenhet och diarienummer. Sök- begränsningen bedöms vara en sådan lämplig och särskild åtgärd för att säkerställa den registrerades grundläggande rättigheter och intres- sen som krävs enligt artikel 9.2 g i dataskyddsförordningen. Enligt utredningens bedömning står bestämmelsen i proportion till det eftersträvade syftet.

Tilläggsbelopp till enskilda huvudmän

Till en hemkommuns åliggande hör även att handlägga och besluta om fristående skolors ansökan om tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd enligt t.ex. 10 kap. 39 § skol- lagen. I detta fall är uppgiften av allmänt intresse – att ge bidrag till den enskilde huvudmannen för anordnande av omfattande särskilt stöd till en elev – fastställd genom bestämmelserna i bl.a. 10 kap. 37– 39 §§ skollagen. Hemkommunen kan således tillämpa artikel 6.1 e i dataskyddsförordningen som stöd för nödvändig personuppgifts- behandling för att utföra denna uppgift av allmänt intresse. Kommu-

164

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

nen kan även vara i behov av att kunna behandla uppgifter om en enskild elevs hälsa för handläggningen av ärendet.

Enligt vad utredningen erfar kan det på samma sätt som i ärenden om mottagande i grundsärskolan krävas att uppgifter om vilken elev som en ansökan om tilläggsbelopp avser läggs in i kommunens ärendehanteringssystem. En sådan uppgift är en känslig person- uppgift. Utredningen bedömer att samma skäl gör sig gällande för att en kommun ska få vidta nödvändig personuppgiftsbehandling i dessa fall som avseende ärenden om mottagande i grundsärskolan.

Utredningen föreslår därför en bestämmelse som på samma sätt möjliggör för en hemkommun att med stöd av artikel 9.2 g i data- skyddsförordningen behandla uppgifter om hälsa om det är absolut nödvändigt för handläggningen av ett ärende om tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd. För att behand- lingen ska vara tillåten krävs dessutom att den inte innebär ett otill- börligt intrång i den registrerades personliga integritet. Samma slags sökbegränsningar föreslås också.

Skyddsåtgärder – sökförbud

Förslagen till bestämmelser i dataskyddslagen som Dataskydds- utredningen lämnar för att möjliggöra för myndigheter att i vissa fall behandla känsliga personuppgifter har sin grund i artikel 9.2 g i data- skyddsförordningen. För att i den delen leva upp till förordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen, föreslår Data- skyddsutredningen även en skyddsåtgärd i form av en sökbegräns- ning i 3 kap. 4 § dataskyddslagen. Vid behandling som sker enbart med stöd av 3 § dataskyddslagen får en myndighet inte använda sökbegrepp som avslöjar känsliga personuppgifter.

Dataskyddsutredningen menar att sökningar som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som i sig innebär en integritetskränkning. Enligt Dataskyddsutredningen ligger före- teelsen nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Dataskyddsutredningen anser att med ett sökförbud uppnås

165

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

ett relativt effektivt skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna (SOU 2017:39, avsnitt 10.6.2).

Dataskyddsutredningen konstaterar vidare att ett sådant sökför- bud i svensk rätt innebär att offentlighetsprincipen inskränks enligt den så kallade begränsningsregeln i 2 kap. 3 § tredje stycket tryck- frihetsförordningen. En begäran att få tillgång till en sammanställ- ning av uppgifter som är resultatet av en sådan förbjuden sökning ska alltså avslås på den grunden att sammanställningen inte anses förvarad hos myndigheten.

Dataskyddsutredningen anser att den omständigheten att sam- manställningar av känsliga personuppgifter inte kommer att lämnas ut är en inte obetydlig integritetsvinst för de registrerade. Data- skyddsutredningen understryker dock att den s.k. begränsnings- regeln inte hindrar att sökningar görs i färdiga elektroniska hand- lingar vid en begäran om tillgång till allmänna handlingar, dvs. sök- ning får på begäran ske i upptagningar där myndigheten eller den som lämnat in handlingen till myndigheten har gett upptagningen ett bestämt, fixerat, innehåll som går att återskapa gång på gång.

Dataskyddsutredningens förslag till sökförbud i 3 kap. 4 § data- skyddslagen gäller för myndigheter och enligt 1 kap. 5 § även för de organ som jämställs med myndigheter vid tillämpningen av 3 kap. 3 § 2 och 4 §.

Utredningen föreslår att även enskilda huvudmän ska kunna till- lämpa bestämmelser motsvarande 3 kap. 3 § 1 och 3 dataskyddslagen. De skäl som finns för att sökbegränsningar ska gälla för myndigheter

– dvs. för offentliga huvudmäns del – gör sig enligt utredningens bedömning även gällande för enskilda huvudmän. En motsvarande bestämmelse som begränsar enskilda huvudmäns anställdas möjlig- heter till behandling av känsliga personuppgifter bör därför också införas.

Dessa generella sökbegränsningar omfattar även huvudmän för särskolor, specialskolor, sameskolor, särskild utbildning för vuxna, fristående skolor som begränsats till elever som är i behov av särskilt stöd för sin utveckling och gymnasieskolan med Rh-anpassad utbild- ning och utbildning i gymnasieskolan för elever som är döva, hörsel- skadade eller dövblinda eller har en språkstörning.

Utredningens bedömning är att det inte heller inom dessa utbild- ningsformers verksamhet bör kunna sökas på uppgifter om t.ex. en medicinsk diagnos eller en viss funktionsnedsättning. Den föreslagna

166

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

bestämmelsen medför dock att personal i särskolor, specialskolor, sameskolor, särskild utbildning för vuxna och fristående skolor som begränsats till elever som är i behov av särskilt stöd för sin utveckling inte kan söka på någon personuppgift alls eftersom alla uppgifter är känsliga personuppgifter, även t.ex. uppgift om namn och person- nummer som i andra sammanhang skulle anses som en harmlös upp- gift. För att dessa skolformers administration ska fungera behöver i vart fall viss personal kunna söka på vissa personuppgifter, t.ex. namn, personnummer och elevens hemkommun. Om man i den administrativa verksamheten inte kan göra några sökningar kan per- sonalen inte heller få fram i systemen inmatade uppgifter om ele- verna, vilket skulle vara helt orimligt. Att administrationen fungerar gagnar även eleverna eftersom syftet normalt är att administrera deras skolgång.

Utredningen föreslår därför en bestämmelse som möjliggör för särskolor, specialskolor, särskild utbildning för vuxna och fristående skolor som begränsats till elever som är i behov av särskilt stöd för sin utveckling att göra sökning på uppgift om hälsa. Samma möjlighet föreslås även för huvudmän för gymnasieskolan med Rh-anpassad utbildning och utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning eftersom personal som arbetar med dessa utbildningar har samma behov att kunna behandla uppgifter om eleverna som personal som arbetar med de övriga eleverna i gymnasieskolan. För sameskolor föreslås en mot- svarande bestämmelse för uppgift om etniskt ursprung. Detta för att personal inom dessa utbildningsformer ska kunna använda normalt sett harmlösa uppgifter såsom t.ex. namn, personnummer och elevens hemkommun som sökbegrepp. Utredningens förslag avser inte att ge dessa utbildningsformers personal en utökad möjlighet till använd- ning av sökbegreppen hälsa respektive etniskt ursprung jämfört med övriga skolformers utan endast att möjliggöra sökning på samma sätt. Eftersom det rör sig om känsliga personuppgifter bör det vid bestäm- mande av sökbegrepp särskilt övervägas om det aktuella sökbegreppet är nödvändigt och uppfyller ett specifikt behov i verksamheten. Upp- gifter om t.ex. namn och personnummer är i andra sammanhang harmlösa uppgifter och är nödvändiga för att uppgifter om en viss elev ska kunna tas fram och borde därför kunna användas som sök- begrepp även inom dessa skolformer.

167

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

Då det endast är den känsliga uppgiften hälsa som möjliggörs att sökas på inom särskolor, specialskolor, särskild utbildning för vuxna, fristående skolor som begränsats till elever som är i behov av särskilt stöd för sin utveckling, gymnasieskolan med Rh-anpassad utbildning och utbildning i gymnasieskolan för elever som är döva, hörsel- skadade eller dövblinda eller har en språkstörning respektive uppgif- ten om etniskt ursprung som möjliggörs att söka på inom samesko- lorna och sökmöjligheter i it-systemen på t.ex. en elevs namn, personnummer eller hemkommun, är nödvändiga för att få en funge- rande verksamhet bedömer utredningen att dessa begränsande sök- möjligheter tillgodoser dataskyddsförordningens krav på proportio- nalitet och skyddsåtgärder.

Undantagen bör dock av integritetsskyddsskäl kunna avgränsas så specifikt som möjligt. Dessa avgränsningar bör dessutom kunna anpassas kontinuerligt, om det med hänsyn till utvecklingen av verk- samheten uppstår behov av andra sökbegrepp. Det är därför lämpligt att det i förordning preciseras vilka möjligheter till sökning som ska finnas. Mot denna bakgrund bör det tas in en upplysning om att regeringen kan meddela föreskrifter om begränsningar av möjlig- heten att använda de aktuella sökbegreppen. I förordningsbestäm- melserna kan det t.ex. specificeras vilka sökbegrepp som får använ- das. Bestämmelserna i förordning som begränsar möjligheterna att använda de aktuella sökbegreppen bör utformas som ovillkorliga bestämmelser så att de får genomslag när allmänheten begär att en sökning ska utföras med stöd av offentlighetsprincipen.

Utredningen föreslår samma slags sökbegränsningar för kommu- nerna för de situationer som de såsom hemkommuner föreslås sär- skilt få behandla känsliga personuppgifter.

Bemyndigande som möjliggör ytterligare undantag

I dataskyddslagen införs ett bemyndigande för regeringen att före- skriva om undantag från förbudet i artikel 9.1 i dataskyddsförord- ningen att behandla känsliga personuppgifter (3 kap. 8 § dataskydds- lagen). Eftersom utredningen föreslår en särreglering beträffande behandling av känsliga personuppgifter behöver en motsvarande bestämmelse införas för att möjliggöra för regeringen att meddela ytterligare undantag från förbudet i artikel 9.1 beträffande det viktiga

168

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

allmänna intresset att anordna utbildning enligt skollagen eller före- skrifter som har meddelats med stöd av den lagen.

En förutsättning när nya undantag övervägs med stöd av bemyn- digandet är att en noggrann bedömning görs för att säkerställa att dataskyddsförordningens krav i övrigt, bl.a. skyddsåtgärder, är upp- fyllda.

Ett nytt 28 a kap. ska införas i skollagen

En ytterligare fråga är vad som är författningstekniskt mest lämp- ligt att föra in dessa särbestämmelser som ger möjlighet att i vissa situationer behandla känsliga personuppgifter. I 3 kap. 8 § data- skyddslagen ges ett bemyndigande för regeringen att meddela före- skrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter. Det skulle således vara möjligt att reglera enskilda huvudmäns möjligheter att behandla känsliga personuppgifter i en förordning.

Utredningen bedömer dock att det förenklar om samtliga huvud- män som har att tillämpa skollagen i sin utbildningsverksamhet kan tillämpa samma bestämmelser för sin behandling av känsliga person- uppgifter och att det därför ska införas enhetliga bestämmelser. Det framstår även som angeläget ur enskildas perspektiv att samma data- skyddsbestämmelser är tillämpliga i skolformer som tillämpar samma verksamhetsreglering. För kommunernas del förenklar det om de för samtliga åligganden enligt skollagen, dvs. både som huvudman res- pektive hemkommun, har att tillämpa samma bestämmelser.

De bestämmelser som myndigheter har att tillämpa enligt data- skyddslagen är i lagform. Om det inte införs särreglering för deras del ska de tillämpa dataskyddslagen. Utredningens bedömning är därför att det är lämpligt att bestämmelserna som ger huvudmännen enligt skollagen stöd för att behandla känsliga personuppgifter förs in på samma normhierarkiska nivå, i ett nytt 28 a kap. i skollagen. Även kommunerna såsom hemkommuner enligt skollagen och aktö- rer enligt 24 och 25 kap. ska tillämpa det föreslagna kapitlet vid behandling av känsliga personuppgifter som utförs med stöd av skol- lagen och anslutande föreskrifter. Kapitlet inleds med en upplys- ningsbestämmelse som anger de organ enligt skollagen som kan till- lämpa bestämmelserna i det.

169

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

Därefter följer en upplysningsbestämmelse som anger att kapitlet utgör en komplettering till dataskyddsförordningen och dess förhållande till dataskyddslagen. Även en bestämmelse som anger att kapitlet inte ska tillämpas på den personuppgiftsbehandling som utförs av dels den verksamhet inom elevhälsan som ska tillämpa patientdatalagens bestämmelser, dels Kriminalvårdens verksamhet enligt 24 kap. 10 § föreslås.

4.8Personuppgifter som rör lagöverträdelser

4.8.1Utredningens uppdrag i denna del

Utredningen har inte getts ett uttryckligt uppdrag att analysera om det finns behov av att möjliggöra ändamålsenlig behandling av per- sonuppgifter som rör lagöverträdelser. Eftersom utredningen ska föreslå kompletterande regleringar som ska möjliggöra en ändamåls- enlig behandling som samtidigt skyddar den enskildes fri- och rättig- heter, ingår det dock i uppdraget att också analysera behovet av reg- lering i denna del.

4.8.2Gällande bestämmelser

Enligt 21 § första stycket PUL är det förbjudet för andra än myn- digheter att behandla personuppgifter om lagöverträdelser som inne- fattar bl.a. brott och domar i brottmål. Förbudet gäller således inte för förskolor, skolor och vuxenutbildningsenheter vars huvudmän är staten, en kommun eller ett landsting, utan endast för enskilda huvud- män. Med stöd av 5 a § PUL kan dock även enskilda huvudmän be- handla sådana uppgifter i ostrukturerat material.

Vidare får, enligt 21 § tredje stycket PUL, regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om undantag från förbudet i 21 § första stycket. I 9 § PUF har Data- inspektionen bemyndigats att meddela föreskrifter om sådana un- dantag. Datainspektionen har meddelat sådana föreskrifter genom DIFS 1998:3 (Datainspektionens föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m.), som ändrats genom DIFS 2010:1. Enligt 1 § b i föreskrifterna får, utan hinder av förbudet i 21 § PUL, sådana

170

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

personuppgifter behandlas om behandlingen avser uppgift i anteck- ningar som förs i fristående skolors elevvårdande verksamhet. Även genom Datainspektionens föreskrifter finns således en möjlighet för enskilda huvudmän för fristående skolor att i sin elevvårdande verk- samhet behandla personuppgifter som rör fällande domar i brottmål.

Med fristående skolor avses i 1 kap. 3 § skollagen en skolenhet vid vilken en enskild bedriver utbildning inom skolväsendet i form av förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasie- särskola eller sådant fritidshem.

4.8.3Dataskyddsförordningen och dataskyddslagen

Enligt artikel 10 i dataskyddsförordningen får behandling av person- uppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämp- liga skyddsåtgärder för de registrerades rättigheter och friheter fast- ställs.

Dataskyddsutredningen har lämnat förslag till bestämmelser om behandling av personuppgifter som rör lagöverträdelser i 3 kap. 9, 10 och 12 §§ dataskyddslagen.

I 9 § anges att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångs- medel får enligt artikel 10 i dataskyddsförordningen behandlas av myndigheter.

Enligt Dataskyddsutredningen är det av stor vikt att regleringen i artikel 10 i dataskyddsförordningen, även vad avser myndigheters behandling, tydliggörs så långt möjligt i nationell rätt. Dataskydds- utredningen anser att ett sådant införlivande behövs när det gäller myndigheters behandling av uppgifter om lagöverträdelser, bl.a. för att tydliggöra att myndigheter inte behöver uttryckligt stöd i före- skrifter eller särskilda beslut för att få behandla uppgifter om lag- överträdelser (SOU 2017:39, avsnitt 11.4).

Enligt 10 § får den myndighet som regeringen bestämmer i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §. Enligt 12 § bemyndigas regeringen eller den myndighet som regeringen bestämmer att få meddela föreskrifter om

171

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

i vilka fall andra än myndigheter får behandla sådana uppgifter som avses i 9 §.

I 4 och 5 §§ förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning föreslår Dataskyddsutredningen kom- pletterande bestämmelser avseende behandling av uppgifter som rör lagöverträdelser.

Enligt 4 § får personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångs- medel behandlas av andra än myndigheter om

1.behandlingen är nödvändig för att rättsliga anspråk ska kunna fast- ställas, göras gällande eller försvaras i ett enskilt fall,

2.behandlingen avser enstaka uppgifter och är nödvändig för att till polisen anmäla misstanke om brott, eller

3.behandlingen avser enstaka uppgifter och är nödvändig för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.

Enligt Dataskyddsutredningens förslag till 5 § får Datainspektionen meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör fällande domar i brottmål, lag- överträdelser som innefattar brott eller straffprocessuella tvångs- medel.

4.8.4Behov av särskild reglering

Förslag: I 28 a kap. skollagen ska det införas en bestämmelse som möjliggör för elevhälsan i fristående skolor att i löpande text behandla personuppgifter som rör fällande domar i brottmål, lag- överträdelser som innefattar brott eller straffprocessuella tvångs- medel, om det är absolut nödvändigt för ändamålet med behand- lingen. Vidare möjliggörs för huvudmännen för fristående skolor samt rektorer och lärare i fristående skolor att i skriftlig doku- mentation som åligger dem enligt 5 kap. 24 § skollagen behandla personuppgifter som rör fällande domar i brottmål, lagöverträ- delser som innefattar brott eller straffprocessuella tvångsmedel, om det är absolut nödvändigt för ändamålet med behandlingen.

172

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

Bedömning: Förskolor, skolor och vuxenutbildningsenheter vars huvudmän är staten, en kommun eller ett landsting kan med stöd av artikel 10 i dataskyddsförordningen behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. Dataskyddslagen före- slås innehålla en upplysningsbestämmelse om att myndigheter får behandla sådana uppgifter. Det finns inget behov av att införa nå- gon ytterligare reglering för dessa huvudmäns eller övriga huvud- mäns behandling av personuppgifter som rör lagöverträdelser.

Förbudet i artikel 10 mot behandling av personuppgifter som rör lagöverträdelser och liknande gäller inte för myndigheter. En upp- lysningsbestämmelse om nämnda förhållande föreslår Dataskydds- utredningen ska finnas i 3 kap. 9 § dataskyddslagen. Även när data- skyddsförordningen ska börja tillämpas kommer således förskolor, skolor och vuxenutbildningsenheter vars huvudmän är staten, en kommun eller ett landsting att kunna behandla personuppgifter som rör lagöverträdelser och liknande i de enskilda fall sådan behandling bedöms nödvändig. Någon ytterligare reglering i denna del krävs därmed inte för dessa huvudmäns behandlingar.

Datainspektionen har genom föreskrifter från 1998 möjliggjort för den elevvårdande verksamheten i fristående skolor att i anteck- ningar behandla uppgifter om bl.a. lagöverträdelser. Med fristående skolor avses i skollagen en skolenhet vid vilken en enskild bedriver utbildning inom skolväsendet i form av förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola eller sådant fritids- hem. I dessa skolformer har det således sedan 1998 bedömts finnas ett behov av att i den elevvårdande verksamheten kunna behandla uppgifter om bl.a. lagöverträdelser i anteckningar, dvs. löpande text, eftersom sådan behandling möjliggjorts. I sammanhanget kan även nämnas att sådan behandling sedan 5 a § PUL trädde i kraft även varit möjlig genom att tillämpa den bestämmelsen.

Begreppet elevvårdande verksamhet används inte i skollagen. I stället används begreppet elevhälsa som ska omfatta medicinska, psykologiska, psykosociala och specialpedagogiska insatser.

I 5 kap. skollagen finns bestämmelser om disciplinära och andra särskilda åtgärder. Med sådana åtgärder avses utvisning, kvarsitt- ning, tillfällig omplacering, tillfällig placering vid annan skolenhet, avstängning och omhändertagande av föremål. Rektor eller en lärare

173

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

får vidta de omedelbara och tillfälliga åtgärder som är befogade för att tillförsäkra eleverna trygghet och studiero eller för att komma till rätta med en elevs ordningsstörande uppträdande. Huvudman- nen får under vissa förutsättningar besluta att helt eller delvis stänga av en elev från gymnasieskolan, gymnasiesärskolan, kommu- nal vuxenutbildning och särskild utbildning för vuxna (t.ex. 5 kap. 17 § skollagen).

Av 5 kap. 24 § skollagen framgår att om vissa åtgärder vidtagits enligt kapitlet, såsom t.ex. utvisning ur undervisningslokalen, tillfäl- lig omplacering till en annan undervisningsgrupp än den eleven annars hör till, tillfällig placering till en annan skolenhet, avstängning från vissa obligatoriska skolformer och avstängning från de frivilliga skolformerna, ska åtgärden dokumenteras skriftligt av den som genomfört den.

Utredningen erfar att det i vissa fall i samband med att disci- plinära eller andra särskilda åtgärder, t.ex. avstängning, behöver vid- tas är nödvändigt att behandla en uppgift om bl.a. lagöverträdelser. Ett exempel kan vara i ett ärende rörande avstängning av en narko- tikapåverkad elev som dyker upp i skolan och är farlig för sig själv eller andra. I detta sammanhang skulle det om eleven tidigare har dömts för t.ex. ringa narkotikabrott kunna bli aktuellt att även anteckna den uppgiften. Också inom elevhälsan skulle det kunna uppstå situationer där det finns ett berättigat behov av att i löpande text behandla en uppgift om t.ex. lagöverträdelse.

Dessa behov av att behandla uppgifter om lagöverträdelser och liknande gör sig lika gällande hos en skolhuvudman som är en kom- mun, staten, eller ett landsting som hos en enskild skolhuvudman. I dagsläget finns det möjlighet att i fristående skolor behandla denna uppgift i fristående text med stöd av bestämmelsen i 5 a § PUL, men även nämnda föreskrift av Datainspektionen. När dataskyddsför- ordningen ska börja tillämpas kommer dock personuppgiftslagen att upphävas.

Enligt utredningens bedömning är det inte möjligt för huvudmän för samt rektorer och lärare i fristående skolor att behandla person- uppgifter om lagöverträdelser i anteckningar med anledning av t.ex. en disciplinåtgärd med stöd av Dataskyddsutredningens förslag i nyss nämnda delar. Samma bedömning görs för elevhälsan inom fri- stående skolors möjlighet att i löpande text behandla uppgifter om t.ex. lagöverträdelser.

174

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

Enligt Dataskyddsutredningens förslag till 5 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning bemyndigas Datainspektionen att meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör bl.a. fällande domar i brottmål. I vilken mån Datainspek- tionen kommer att använda sig av bemyndigandet och i så fall på vilket sätt är i dagsläget oklart.

Dataskyddsförordningen tillåter således inte att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel behandlas i löpande text i fristående skolor och det saknas förslag till undantag som möjliggör sådan behandling. Frågan är då om utredningen bör föreslå en sådan bestämmelse.

Bestämmelser om bl.a. tillfällig omplacering och avstängning i 5 kap. skollagen tar sikte på bl.a. övriga elevernas trygghet och studiero. Det måste därmed, enligt utredningens bedömning, anses vara lika angeläget att det i fristående skolor är möjligt att behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel i dessa sam- manhang som i skolor vars huvudmän är staten, en kommun eller ett landsting. En sådan bestämmelse bör således införas.

En bestämmelse som möjliggör för att i fristående skolor behandla personuppgifter som rör bl.a. fällande domar i brottmål måste, enligt artikel 10 i dataskyddsförordningen, omfattas av lämpliga skydds- åtgärder för de registrerades rättigheter och friheter. En sådan bestämmelse bör därför bestå av rekvisit som starkt betonar att det är fråga om en restriktiv tillämpning där en noggrann avvägning behöver göras mellan behovet av behandling och intrånget i den enskildes integritet. Enligt utredningens uppfattning kan utformningen av Data- skyddsutredningens förslag till 3 kap. 3 § 3 dataskyddslagen tjäna som riktmärke.

Behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångs- medel skulle då kunna tillåtas om det är absolut nödvändigt, vilket innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling.

En ytterligare lämplig skyddsåtgärd kan, enligt utredningens upp- fattning, vara att avgränsa tillämpningsområdet för bestämmelsen till att gälla enbart i löpande text.

175

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

Genom dessa begränsningar skapas en möjlighet för dels elevhäl- san, dels huvudman, rektor respektive lärare när dessa har en skyl- dighet enligt 5 kap. 24 § skollagen att dokumentera åtgärder som vidtagits enligt det kapitlet att behandla absolut nödvändiga uppgif- ter om t.ex. fällande domar i brottmål samtidigt som den enskilda elevens integritet skyddas genom att bestämmelsen ska tillämpas restriktivt och behandlingen endast får ske i löpande text.

Utredningens bedömning är att en bestämmelse, med sådana begränsande rekvisit, uppfyller kraven i artikel 10 i dataskyddsför- ordningen.

Eftersom det redan i dagsläget är tillåtet i fristående skolor att behandla uppgifter om bl.a. fällande domar i brottmål i löpande text med stöd av 5 a § PUL gör utredningen bedömningen att den före- slagna bestämmelsens intrång i de enskildas integritet varken blir större eller mindre än med gällande bestämmelser.

Såvitt utredningen erfar finns det inte behov av att behandla upp- gifter om lagöverträdelser i fristående förskolors verksamhet och därför föreslås inte någon sådan bestämmelse. Om ett sådant behov skulle uppkomma finns det genom de föreslagna bestämmelserna i dataskyddslagen möjlighet för regeringen eller Datainspektionen att meddela föreskrifter som möjliggör sådan behandling.

4.9Behov av ytterligare reglering

Bedömning: Dataskyddsförordningen, dataskyddslagen och ut- redningens förslag till författningsreglering av huvudmännens och hemkommunernas behandling av känsliga personuppgifter och fristående skolors behandling av lagöverträdelser utgör en ändamålsenlig reglering för de skollagsreglerade utbildningsverk- samheternas personuppgiftsbehandling och ett välavvägt skydd för barnens respektive elevernas personliga integritet.

Den personuppgiftsbehandling som de skollagsreglerade utbildningsverksamheterna utför och som inte omfattas av utred- ningens förslag till lagreglering är inte sådan att det krävs ytter- ligare lagreglering enligt 2 kap. 6 § regeringsformen. Någon ytter- ligare reglering, utöver förslagen till reglering av huvudmännens behandling av känsliga personuppgifter och fristående skolors behandling av lagöverträdelser och liknande, behövs därmed inte.

176

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

När personuppgiftslagen upphävs kommer den personuppgifts- behandling som utförs av de skollagsreglerade utbildningsverksam- heterna att i huvudsak omfattas av dataskyddsförordningens och den föreslagna dataskyddslagens bestämmelser samt de bestämmelser utredningen föreslår för huvudmännens och hemkommunernas be- handling av känsliga personuppgifter och fristående skolors behand- ling av lagöverträdelser och liknande.

Några områden kommer dock inte omfattas av dessa bestäm- melser. Den personuppgiftsbehandling som sker inom elevhälsans medicinska insatser kommer även fortsättningsvis omfattas av patientdatalagen med tillhörande föreskrifter. Den personuppgifts- behandling som SiS vidtar med anledning av utbildningen som genomförs genom dess försorg för ungdomar som dömts till sluten ungdomsvård och placerats vid särskilt ungdomshem kommer att omfattas av den föreslagna brottsdatalagens bestämmelser (SOU 2017:29). Detsamma gäller den personuppgiftsbehandling som Kriminalvården utför med anledning av utbildningen som mot- svarar kommunal vuxenutbildning och särskild utbildning för vuxna för intagna i kriminalvårdsanstalt.

Frågan är således om det, utöver nämnda regleringar och förslag, krävs och behövs en ytterligare författning i form av en särskild lag för att ytterligare reglera de skollagsreglerade utbildningsverksam- heternas personuppgiftsbehandling i andra fall än då det gäller be- handling av känsliga personuppgifter och fristående skolors behand- ling av lagöverträdelser och liknande.

Dataskyddsförordningen möjliggör genom artikel 6.2 och 6.3 andra stycket för medlemsstaterna att införa särskilda registerför- fattningar men varken dessa bestämmelser eller förordningen i sig innebär något krav på att det införs sådana författningar.

Enligt utredningens bedömning kan de skollagsreglerade utbild- ningsverksamheterna som rättslig grund för sin nödvändiga behand- ling av personuppgifter tillämpa artikel 6.1 a, c eller e i dataskyddsför- ordningen (se avsnitt 4.6). För enskilda huvudmän är det inte uteslu- tet att tillämpa artikel 6.1 f som rättslig grund för nödvändig behand- ling. Som framgår ovan är det utredningens bedömning att det inte behövs någon särskild reglering för att de skollagsreglerade utbild- ningsverksamheternas huvudmän eller kommunen såsom hemkom- mun ska kunna tillämpa dessa rättsliga grunder. Enligt ovan är det

177

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

även utredningens bedömning att nämnda rättsliga grunder i data- skyddsförordningen är tillräckliga för sådan behandling som är nöd- vändig för att huvudmännen respektive kommunen såsom hemkom- mun ska kunna uppfylla de uppgifter och åligganden som framgår av skollagen med tillhörande föreskrifter och beslut grundade i dessa.

För nödvändig och absolut nödvändig behandling av känsliga per- sonuppgifter kan huvudmännen respektive kommunen såsom hem- kommun tillämpa de bestämmelser som utredningen föreslår ska införas i ett nytt 28 a kap. i skollagen. Dessa bestämmelser har sin grund i artikel 9.2 g i dataskyddsförordningen och är utformade med dataskyddslagens motsvarande bestämmelser som förebild. Som framgår ovan är det utredningens bedömning att dessa bestämmel- ser, i förening med möjligheten att i viss utsträckning använda sig av samtycke, är tillräckliga för sådan behandling av känsliga person- uppgifter som är nödvändig eller absolut nödvändig i huvudmännens verksamhet enligt bl.a. skollagen.

Det kommer således att finnas rättslig grund som medför att de skollagsreglerade utbildningsverksamheterna även när dataskydds- förordningen ska börja tillämpas den 25 maj 2018 kan utföra nöd- vändiga behandlingar av personuppgifter. Ur den synvinkeln saknas det anledning att införa en särskild reglering av de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandlingar.

Regeringsformens krav

Frågan är då om skyddet mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen innebär att det enligt 2 kap. 20 § regeringsformen krävs en särskild lag för de skollagsreglerade utbildningsverksamheternas personuppgiftsbehand- ling.

Bestämmelsen i 2 kap. 6 § andra stycket regeringsformen trädde i kraft den 1 januari 2011. Genom en särskild övergångsbestämmelse har äldre regleringar, som inte har lagform, dock varit gällande t.o.m. utgången av 2015. Någon särskild lag om skolornas personuppgifts- behandling har inte införts med anledning av grundlagsändringen.

Utredningen om offentlighet och sekretess i skolan har i betän- kandet Sekretess i elevernas intresse – Dokumentation, samverkan och integritet i skolan (SOU 2003:103) utrett bl.a. om det med

178

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

anledning av personuppgiftslagen behövs särskilda regler för använd- ningen av datorer i skolan. Utredningen kom fram till att det inte behövdes en särskild författningsreglering om behandling av person- uppgifter i skolan.

Någon utredning har inte tillsatts med uppgiften att analysera behovet av en särskild författningsreglering inom den skollagsregle- rade utbildningsverksamhetens område med anledning av grund- lagsändringen.

Det förefaller därmed som att regeringen och lagstiftaren bedömt att den skollagsreglerade utbildningsverksamhetens behandling av personuppgifter inte är sådan att den kräver särskilt lagstöd enligt 2 kap. 20 § regeringsformen, utan att de möjligheter till behandling av personuppgifter som finns enligt personuppgiftslagen är både tillräckliga och inte för långtgående för integritetsskyddet.

Vidare har det inte framkommit att de skollagsreglerade verksam- heternas personuppgiftsbehandlingar sedan den 1 januari 2016 har ändrats eller avses ändras på ett sätt som medför att behovet av att införa en särskild lagreglering har förändrats. Det är inte några ofullkomligheter i lagstiftningen eller ifrågasatta integritetskränk- ningar som har föranlett utredningsuppdraget, utan enbart den kom- mande nya EU-regleringen av behandling av personuppgifter, vilken medför att personuppgiftslagen kommer att upphävas.

De skollagsreglerade utbildningsverksamheternas behandling av personuppgifter består huvudsakligen av uppgifter i form av elevens namn, adress och personnummer samt vårdnadshavares namn och kontaktuppgifter. Vidare dokumenteras elevernas tider på försko- lorna och fritidshemmen samt deras närvaro på förskolorna respek- tive fritidshemmen och i skolorna. De personuppgifter som före- kommer i dessa sammanhang är normalt harmlösa.

Inom undervisningsverksamheten förekommer det oundvikligen behandling av vissa av elevernas personuppgifter eftersom det ingår i läroplanerna för t.ex. grundskolan att eleverna ska t.ex. lära sig skriva dokument med hjälp av ordbehandlare. Regeringen beslutade så nyligen som den 9 mars 2017 om förtydliganden och förstärkningar i styrdokument – bl.a. i läroplaner för grundskolan och gymnasie- skolan – för att tydliggöra skolans uppdrag att stärka elevernas digi- tala kompetens. I skolans uppdrag kommer att ingå att bidra till att

179

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

eleverna utvecklar förståelse för hur digitaliseringen påverkar indi- viden och samhällets utveckling.21 Alla elever ska ges möjlighet att utveckla sin förmåga att använda digital teknik. De ska också ges möjlighet att utveckla ett kritiskt och ansvarsfullt förhållningssätt till digital teknik, för att kunna se möjligheter och förstå risker och för att kunna värdera information. Ändringarna syftar bl.a. till att elever- na ska kunna använda och förstå digitala system och tjänster. Ändringarna ska tillämpas senast från och med den 1 juli 2018, men huvudmännen kommer att kunna välja om de ska börja tillämpa dem tidigare med början från och med den 1 juli 2017.

Även i de fall skoluppgifter görs i skolans datorer till vilka eleven har egen inloggning eller redovisningar lämnas in till en lärare per e- post eller via en lärplattform behandlas elevens personuppgifter. I vart fall elevernas namn behandlas i utvecklingsplaner och elevernas namn och personnummer i betygsdokumenten. I utvecklingsplaner sker en bedömning av elevens kunskaper jämfört med uppsatta mål. Att en individs förmåga och prestation dokumenteras är integritets- känsligt, men att göra dessa bedömningar ingår som en del av sko- lornas uppdrag. För att kunna utföra det uppdraget måste dokumen- tation av elevens resultat och lärarens bedömning av elevens kunska- per ske. Dokumentationen kan föras manuellt på papper eller auto- matiserat. Om dokumentationen sker manuellt i pappersform an- kommer det på läraren att se till att dokumenten inte sprids till obehöriga eftersom en sådan spridning sannolikt skulle uppfattas av den drabbade som en integritetskränkning.

I dagsläget har dock teknikutvecklingen gått så långt och kravet på effektivitet är sådant att dokumentationen av elevens kunskaper främst sker automatiserat. Om dokumentationen av elevernas ut- veckling mot uppsatta mål sker med ett dataskydd i enlighet med dataskyddsförordningens krav, med t.ex. behörighetsbegränsningar till dokumenten och ett dataskydd som säkerställer att uppgifterna skyddas mot att obehöriga får del av dem, blir inte den automa- tiserade behandlingen mer integritetskänslig än den manuella.

Utredningen anser vidare att sedvanlig och återkommande upp- följning och bedömning av elevers resultat inte heller typiskt sett kan anses särskilt integritetsskadlig. I den mån sådana åtgärder inbegriper

21 www.regeringen.se/pressmeddelanden/2017/03/starkt-digital-kompetens-i-laroplaner- och-kursplaner/ och ändringsföreskrifterna SKOLFS 2017:10–18.

180

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

en bedömning av elevens hälsotillstånd eller liknande bör dock nor- malt integritetsintrånget bli större. För sådana fall har dock utred- ningen föreslagit bestämmelser i lag som tillsammans med data- skyddsförordningen uttömmande reglerar möjligheten att behandla sådana uppgifter.

Enligt utredningens uppfattning är det alltså inte behandlingen av personuppgifter i nu aktuella fall, dvs. behandling som inte innefattar känsliga personuppgifter, som orsakar integritetsintrånget utan verk- samheten som sådan i form av bedömningar och omdömen som gör det. Den verksamheten är noggrant reglerad i skollagen och anslu- tande författningar och lagstiftaren har därigenom gjort en avväg- ning mellan intresset av elevernas integritetsskydd och behovet av att dokumentera elevernas kunskaper för att kunna bedriva adekvat utbildning.

I den skollagsreglerade utbildningsverksamheten kan behandling av känsliga personuppgifter förekomma i t.ex. åtgärdsplaner. Såvitt framkommit förekommer behandlingarna av känsliga personuppgif- ter i löpande text och inte strukturerat i register. Dessa behandlingar har i dagsläget stöd i personuppgiftslagen och personuppgifts- förordningen och kommer, när dataskyddsförordningen ska börja tillämpas, att ha stöd i den reglering som utredningen föreslår. Den- na reglering omfattas av skyddsåtgärder som ska säkerställa den registrerades rättigheter. Regleringen, om förslaget införs, kommer i så fall dessutom att vara i lagform.

Inom elevhälsans medicinska insatser förekommer behandlingar av känsliga personuppgifter men dessa behandlas och kommer att behandlas med stöd av bestämmelserna i patientdatalagen och anslu- tande föreskrifter.

Det kan vidare konstateras att de skollagsreglerade utbildnings- verksamheternas personuppgiftsbehandling omfattar personuppgifts- samlingar som är begränsade till de barn och elever som mottagits eller placerats i den personuppgiftsansvariges verksamhet. Sannolikt omfattar de största uppgiftssamlingarna personuppgifter rörande barn eller elever i större kommuner då det är den kommunala nämn- den som har personuppgiftsansvaret för den personuppgiftsbehand- ling som sker vid dess skolor. Personuppgiftssamlingarna blir därför inte så omfattande som t.ex. vissa statliga förvaltningsmyndigheters nationella personuppgiftssamlingar är.

181

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

Den personuppgiftsansvarige ska dessutom enligt artikel 5 i data- skyddsförordningen se till att personuppgifterna är adekvata, rele- vanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). Vidare får personuppgifterna inte förvaras i en form som möjliggör identifiering av den registre- rade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (lagringsminimering). Dessa be- stämmelser begränsar den personuppgiftsansvariges möjligheter att behandla fler personuppgifter än nödvändigt för längre tid än nöd- vändigt.

Sammantaget bedömer utredningen att de skollagsreglerade ut- bildningsverksamheternas personuppgiftsbehandling, i de delar som inte omfattas av någon särskild författning eller förslag till reglering, inte är sådan att den utgör ett betydande intrång i regeringsformens mening. Utredningen fäster särskilt avseende vid att det inte är fråga om omfattande sammanställningar av personuppgifter eller att det rör särskilt integritetskänsliga uppgifter.

Finns det andra skäl att införa en särskild lag?

I bedömningen av behovet, av andra skäl än kraven i regerings- formen, av särskild lagreglering av den skollagsreglerade utbildnings- verksamhetens personuppgiftsbehandlingar bör följande beaktas.

Av skäl 38 till dataskyddsförordningen framgår att barns person- uppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt skydd bör i synnerhet gälla användningen av barns person- uppgifter i marknadsföringssyfte eller för att skapa personlighets- eller användarprofiler samt insamling av personuppgifter med av- seende på barn när tjänster som erbjuds direkt till barn utnyttjas. Samtycke från den person som har föräldraansvar över ett barn bör inte krävas för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.

På flera ställen i dataskyddsförordningen betonas att barns per- sonuppgifter anses särskilt skyddsvärda, både i artiklar och i skälen till förordningen. I artikel 8 i dataskyddsförordningen anges särskilda villkor som gäller barns samtycke avseende informationssamhällets

182

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

tjänster. Bestämmelsen gäller erbjudande av informationssamhällets tjänster direkt till ett barn.

Dataskyddsförordningen innehåller inte några särskilda bestäm- melser rörande säkerhetsåtgärder för behandlingar av barns person- uppgifter utan de allmänna bestämmelserna har ansetts ge även barns personuppgifter ett tillräckligt starkt integritetsskydd. Artikel 29- gruppen har ansett att bestämmelserna i dataskyddsdirektivet i de flesta fall på ett ändamålsenligt vis säkerställer skyddet för uppgifter om barn.22 Det kan anmärkas att dataskyddsdirektivet inte innehåller några särskilda bestämmelser för barns personuppgifter utan samma skydd gäller för dem som för vuxnas. Dataskyddsförordningen före- skriver inte heller att det ska införas en särskild nationell lagstiftning för att behandlingen av barns personuppgifter ska vara tillåten.

Enligt artikel 5.2 är det den personuppgiftsansvarige som ansvarar för och ska kunna visa att artikel 5.1 efterlevs. I 5.1 a anges att upp- gifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhål- lande till den registrerade.

Vad som är en laglig behandling regleras i artikel 6. Om inte sam- tycke tillämpas, krävs att behandlingen är nödvändig för de grunder i artikel 6.1 b–f som kan tillämpas på den avsedda behandlingen. Genom nödvändighetsrekvisitet tvingas den personuppgiftsansvarige därmed till ett ställningstagande till om den avsedda behandlingen verkligen behövs för att t.ex. utföra en uppgift av allmänt intresse.

För de rättsliga grunderna rättslig förpliktelse (6.1 c), uppgift av allmänt intresse och myndighetsutövning (6.1 e) finns ytterligare förutsättningar som enligt artikel 6.3 måste vara uppfyllda för att de ska kunna tillämpas. Dessa grunder ska vara fastställda i unionsrätten eller i den medlemsstats nationella rätt som den personuppgifts- ansvarige omfattas av. Vidare ska syftet med behandlingen, i fråga om rättslig förpliktelse, fastställas i den rättsliga grunden eller, i fråga om uppgift av allmänt intresse eller myndighetsutövning, vara nöd- vändigt. Nämnda bestämmelser, i förening med ansvaret enligt artikel 5.2, innebär därmed att det åligger den personuppgiftsansva- rige att göra en mycket noggrann prövning av om den avsedda behandlingen verkligen är nödvändig och om det finns en i svensk rätt fastställd rättslig grund som kan tillämpas på behandlingen.

22 Yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor), s. 19.

183

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

Ytterligare skydd för den enskildes integritet och rättigheter finns i bl.a. artikel 9 där behandling av känsliga personuppgifter regleras. Enligt bestämmelserna måste behandlingen i de flesta fall vara nöd- vändig för att ett undantag från förbudet i artikel 9.1 att behandla känsliga personuppgifter ska vara tillämpligt. För att en del undantag från förbudet ska vara tillämpliga krävs dessutom nationell lagstift- ning, vars reglering ska omfatta lämpliga skyddsåtgärder med hänsyn till den enskildes rättigheter och friheter. I de fall sådana möjligheter till undantag från förbudet ska införas eller behållas måste regle- ringen således omfatta sådana skyddsåtgärder.

Känsliga personuppgifter har därmed, enligt utredningens bedöm- ning, ett starkt skydd genom dataskyddsförordningens bestämmelser, eftersom inte enbart den personuppgiftsansvarige utan, i förekom- mande fall, även regeringen eller lagstiftaren tvingas till noggranna bedömningar i vilka situationer och för vilka ändamål känsliga per- sonuppgifter ska få behandlas. I utredningens förslag till reglering avseende den skollagsreglerade utbildningsverksamhetens behandling av känsliga personuppgifter finns också förslag till lämpliga skydds- åtgärder.

I artikel 5 i dataskyddsförordningen finns ytterligare ett flertal bestämmelser som innebär ett starkt skydd för den enskildes integritet och rättigheter. Enligt artikel 5.1 b ska uppgifterna samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. I artikel 5.1 c ges uttryck för en princip om uppgiftsminimering. Upp- gifterna ska vara adekvata, relevanta och inte för omfattande i förhål- lande till de ändamål för vilka de behandlas. Enligt artikel 5.1 d ska uppgifterna vara korrekta och om nödvändigt uppdaterade. Alla rim- liga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt artikel 5.1 e får uppgifterna inte förvaras i en form som möjliggör identifiering av den registre- rade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Slutligen ska uppgifterna enligt artikel 5.1 f behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna, vilket inbegriper skydd mot bl.a. obehörig eller otillåten behandling.

Som nämnts ovan är det den personuppgiftsansvarige som enligt artikel 5.2 ansvarar för och ska kunna visa att samtliga förutsätt-

184

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

ningar för att en behandling ska vara tillåten är uppfyllda. Denne har således en långtgående skyldighet att se till att inga uppgifter behandlas i onödan eller på ett felaktigt eller olagligt sätt. I sam- manhanget kan artikel 30 nämnas. Enligt dessa bestämmelser ska varje personuppgiftsansvarig föra ett register över behandling som utförs under dennes ansvar. Registret ska innehålla uppgifter om bl.a. namn och kontaktuppgifter för den personuppgiftsansvarige, ändamålen med behandlingen, en beskrivning av kategorierna av registrerade och kategorierna av personuppgifter, de kategorier av mottagare till vilka uppgifterna lämnas ut, förutsedda tidsfrister för radering samt en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.

I artikel 32 regleras vidare vilka tekniska och organisatoriska säkerhetsåtgärder som den personuppgiftsansvarige ska vidta för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna för fysiska personers rättigheter och friheter. Bl.a. kan artikel 32.2 nämnas, enligt vilken särskild hänsyn ska tas till de risker som behandling medför, i synnerhet till bl.a. obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Enligt artikel 32.4 ska den personuppgifts- ansvarige och personuppgiftsbiträdet vidare vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under deras över- inseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige. De uppgifter och åligganden som åvilar den personuppgiftsansvarige i dessa delar syftar därmed också till att skydda den enskildes integritet.

I kapitel 3 i dataskyddsförordningen finns vidare ett flertal bestämmelser om den registrerades rättigheter. I detta kapitel regleras bl.a. rätten till information, vilken information som ska tillhanda- hållas, rätten till rättelse, radering och begränsning av behandling samt rätten att göra invändningar. Genom dessa bestämmelser ges således den registrerade insyn i vilka behandlingar som sker samt möjlighet att påverka dessa.

Enligt artikel 23 i dataskyddsförordningen är det möjligt att i nationell rätt införa en lagstiftningsåtgärd som begränsar tillämp- ningsområdet för de rättigheter och skyldigheter som föreskrivs i artiklarna 12–22 (kapitel 3) och 34 under förutsättning att vissa åtgärder vidtas. Av 12 § PUL framgår att en registrerad endast kan motsätta sig behandling om det rättsliga stödet för behandlingen var

185

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

den registrerades samtycke och han eller hon återkallat samtycket. Dataskyddsutredningen föreslår inte någon motsvarande bestäm- melse i dataskyddslagen som begränsar rätten att göra invändningar. Utredningen har inte heller föreslagit någon sådan bestämmelse i det nya kapitlet i skollagen. Rätten att göra invändningar enligt artikel 21 är en viktig rätt för den enskilde som inte bör begränsas. Dessutom åligger det i alla fall den personuppgiftsansvarige att ansvara för och kunna visa att behandlingen av personuppgifter följer principerna i artikel 5. Rättigheten för den enskilde att göra invändningar bör därför enligt utredningens bedömning sällan skapa några nämnvärda administrativa bördor för den personuppgiftsansvarige när denne ska påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.

Sammanfattningsvis är det utredningens uppfattning att bestäm- melserna i dataskyddsförordningen ger ett mycket starkt skydd för den enskildes integritet och rättigheter. En särskild författning som reglerar den skollagsreglerade utbildningsverksamhetens personupp- giftsbehandling skulle enligt utredningens bedömning inte innebära att skyddet för enskildas integritet och rättigheter blev starkare. En sådan reglering skulle dessutom kunna vara kontraproduktiv på så sätt att den skulle kunna komma att begränsa huvudmännens möj- ligheter att behandla personuppgifter på ett sätt som bidrar till ett effektivt och tidsenligt sätt att bedriva utbildning med utnyttjande av tillgängliga tekniska hjälpmedel med ett gott resultat. Sådan indirekt styrning av undervisningen och hur den ska bedrivas bör enligt ut- redningens uppfattning inte ske genom reglering av personuppgifts- hanteringen inom den skollagsreglerade utbildningsverksamheten.

Sammanfattningsvis är utredningen således av uppfattningen att den skollagsreglerade utbildningsverksamhetens personuppgifts- behandling, som saknar särskild författning eller förslag till sådan reglering, inte är sådan att den utgör ett betydande intrång i den enskildes personliga integritet. Vidare ger dataskyddsförordningen den enskilde ett starkt skydd i detta avseende. Det saknas därmed skäl att föreslå ytterligare reglering för den skollagsreglerade verk- samhetens behandling av personuppgifter.

186

SOU 2017:49

Skollagsreglerad utbildningsverksamhet

4.10Uppförandekod för skolväsendet

Förslag: Regeringen ska ge lämplig myndighet i uppdrag att vid- ta åtgärder för att initiera och stödja utarbetandet av en upp- förandekod för skolväsendet.

Avsnitt 5 i dataskyddsförordningen innehåller bestämmelser om uppförandekod och certifiering. I artikel 40.1 anges att bl.a. med- lemsstaterna ska uppmuntra utarbetandet av uppförandekoder av- sedda att bidra till att dataskyddsförordningen genomförs korrekt, med hänsyn till särdragen hos de olika sektorer där behandling sker, och de särskilda behoven hos mikroföretag samt små och medelstora företag.

Av artikel 40.2 framgår att sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga får utarbeta uppförandekoder eller ändra eller utöka sådana koder i syfte att specificera tillämpningen av denna förordning. Som exempel på områden anges bl.a. rättvis och öppen behandling, personuppgifts- ansvarigas berättigade intressen i särskilda sammanhang, insamling av personuppgifter, information till allmänheten och de registre- rade, utövande av registrerades rättigheter och åtgärder och förfa- randen som avses i artiklarna 24 och 25 samt åtgärder för att säker- ställa säkerhet vid behandling i enlighet med artikel 32.

I artikel 24 regleras den personuppgiftsansvariges ansvar och i artikel 25 finns bestämmelser om inbyggt dataskydd och dataskydd som standard. I artikel 32 finns bestämmelser om säkerhet i sam- band med behandlingen.

Utredningen har, som framgår av föregående avsnitt, kommit fram till att dataskyddsförordningen, dataskyddslagen och utred- ningens förslag till reglering av huvudmännens behandling av käns- liga personuppgifter och fristående skolors behandling av lagöver- trädelser utgör en ändamålsenlig reglering för de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling och ett väl- avvägt skydd för barnens respektive elevernas personliga integritet. Vidare anser utredningen att den personuppgiftsbehandling som de skollagsreglerade utbildningsverksamheterna utför och som inte omfattas av utredningens förslag till reglering inte är sådan att det krävs en särskild lagreglering enligt 2 kap. 6 § regeringsformen. Någon ytterligare reglering, utöver förslagen till reglering av huvud-

187

Skollagsreglerad utbildningsverksamhet

SOU 2017:49

männens behandling av känsliga personuppgifter och fristående sko- lors behandling av lagöverträdelser, behövs därmed inte.

Enligt vad utredningen erfar anser många huvudmän att nuva- rande regelverk om personuppgiftsbehandling är svårt och det efterfrågas därför någon form av handbok eller handledning i per- sonuppgiftsbehandling inom skolväsendet.

Utredningen anser därför att goda skäl talar för att det ska tas fram en uppförandekod för skolväsendets personuppgiftsbehand- ling. En uppförandekod skulle på ett pedagogiskt sätt kunna anpas- sas till skolornas befattningshavare, dvs. till dem som i praktiken har att göra bedömningar och val av vilka digitala hjälpmedel som fak- tiskt används i skolan. En uppförandekod skulle även kunna inne- hålla goda exempel. Det är de personuppgiftsansvariga, dvs. skol- huvudmännen, som tillsammans ska utarbeta koden (artikel 40.2). De kan därigenom påverka innehållet i uppförandekoden och på det sättet göra den ännu mer relevant för verksamheterna.

En uppförandekod skulle lämpligen innehålla bl.a.

en rekommendation om hur huvudmännen ska förfara vid be- dömning och bestämmande av vilka digitala tjänster som ska användas i undervisningen eller i annan kommunikation med elever och vårdnadshavare med angivande av goda exempel,

en rekommendation för inbyggt dataskydd och dataskydd som standard (se artikel 25 i dataskyddsförordningen) med angivan- de av goda exempel,

en rekommendation om i vilka situationer som behandlingen kan bygga på samtycke från elev eller vårdnadshavare, och

en rekommendation om hur och när uppgifter bör gallras.

Utredningen är av uppfattningen att regeringen bör verka för att en uppförandekod för skolväsendet kommer till stånd. Utredningens förslag är att regeringen ger lämplig myndighet i uppdrag att ini- tiera och stödja utarbetandet av en uppförandekod för skolväsen- det.

188

5Universitets- och högskolesektorn

5.1Allmänt

Enligt 1 kap. 2 § andra stycket regeringsformen ska det allmänna trygga rätten till bl.a. utbildning och enligt 2 kap. 18 § första stycket ska det allmänna svara för att högre utbildning finns. Av 1 kap. 2 § högskolelagen (1992:1434) följer att staten som huvudman ska anordna universitet och högskolor för utbildning som vilar på veten- skaplig eller konstnärlig grund samt på beprövad erfarenhet. Statliga universitet och högskolor ska också bedriva forskning och konst- närlig forskning. Skillnaden mellan universitet och högskolor är att det endast är universitet som har generellt tillstånd att utfärda exa- mina på forskarnivå medan högskolor måste ansöka om tillstånd för specifika områden. Med högskolor avses i fortsättningen dock både universitet och högskolor.

Av 1 kap. 2 § högskolelagen framgår vidare att det i de statliga högskolornas uppgifter också ingår att samverka med det omgivande samhället och informera om sin verksamhet samt verka för att forsk- ningsresultat tillkomna vid högskolan kommer till nytta.

I högskolelagen finns även bestämmelser om bl.a. de statliga hög- skolornas organisation, professorer och andra lärare samt studenter- na. Högskolelagen kompletteras av bl.a. högskoleförordningen (1993:100) som innehåller bestämmelser om bl.a. anställning av lärare och doktorander, tillträde till utbildningarna, betyg och disci- plinära åtgärder. Högskoleförordningen gäller i vissa delar även för Sveriges lantbruksuniversitet och Försvarshögskolan som annars har att tillämpa förordningen (1993:221) för Sveriges lantbruksuniver- sitet och förordningen (2007:1164) för Försvarshögskolan. En annan viktig författning inom området är förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor. Då stat-

189

Universitets- och högskolesektorn

SOU 2017:49

liga högskolor är myndigheter styrs verksamheterna även av reger- ingens årliga regleringsbrev.

Utöver de statliga universiteten och högskolorna, som enligt bilaga 1 till högskoleförordningen är 14 respektive 17 till antalet, finns det enligt Universitetskanslersämbetet (UKÄ) 17 enskilda utbildningsanordnare med examenstillstånd.1 Dessa drivs av t.ex. stiftelser eller föreningar som av regeringen getts tillstånd att utfärda högskoleexamina enligt den svenska examensordningen. Chalmers tekniska högskola och Handelshögskolan i Stockholm är exempel på sådana enskilda utbildningsanordnare.

Enskilda utbildningsanordnares verksamhet regleras i lagen (1993:792) om tillstånd att utfärda vissa examina. I nämnda lag anges bl.a. att utbildningen ska vila på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet samt bedrivas så att den i övrigt upp- fyller de krav som uppställs på utbildning i 1 kap. högskolelagen. För enskilda utbildningsanordnare kan det dessutom finnas avtal med regeringen där ytterligare krav anges.

UKÄ, som inrättades den 1 januari 2013 och då tog över verk- samhet som Högskoleverket tidigare ansvarade för, ska enligt förord- ningen (2012:810) med instruktion för Universitetskanslersämbetet utöva tillsyn över verksamheterna vid de statliga högskolorna samt de som bedrivs av enskilda utbildningsanordnare.

Genom utvärdering av utbildningar och prövning av frågor om examenstillstånd enligt högskolelagen och lagen om tillstånd att utfärda vissa examina ansvarar UKÄ även för kvalitetssäkring av högskoleutbildningar. UKÄ ska också ansvara för granskning av hur effektivt verksamheterna bedrivs och uppföljning, omvärldsbevak- ning och analys av frågor inom myndighetens ansvarsområde samt officiell statistik enligt förordningen (2001:100) om den officiella statistiken.

En annan viktig myndighet inom universitets- och högskole- sektorn är Universitets- och högskolerådet (UHR), som inrättades den 1 januari 2013 med ansvar för den verksamhet som Högskole- verket, Verket för högskoleservice och Internationella programkon- toret tidigare ansvarade för.

1 www.uka.se/fakta-om-hogskolan/universitet-och-hogskolor/var-finns-universiteten-och- hogskolorna-.html

190

SOU 2017:49

Universitets- och högskolesektorn

UHR:s verksamhet styrs av förordningen (2012:811) med in- struktion för Universitets- och högskolerådet. Av denna framgår att UHR har till uppgift att, på uppdrag av högskolor som omfattas av högskolelagen eller av enskilda utbildningsanordnare som har till- stånd att utfärda examina enligt lagen om tillstånd att utfärda vissa examina, biträda vid antagning av studenter och ansvara för ett sam- ordnat antagningsförfarande samt ge service och råd i fråga om studieadministrativ verksamhet. UHR ansvarar även för bedömning av utländska utbildningar på gymnasial och eftergymnasial nivå. UHR är vidare bl.a. det svenska programkontoret för de EU-pro- gram och andra internationella program inom utbildningsområdet som regeringen beslutar i ett enskilt fall. Enligt 7 kap. 20 § högskole- förordningen ansvarar UHR även för högskoleprovet.

5.2Högskolornas personuppgiftsbehandling

Inom universitets- och högskolesektorn sker en mycket stor mängd personuppgiftsbehandlingar av olika slag. Att här ange samtliga behandlingar som lärosätena ägnar sig åt låter sig inte göras. Utifrån utredningens uppdrag, att det när dataskyddsförordningen ska börja tillämpas ska finnas en reglering som möjliggör en ändamålsenlig behandling inom utbildningsområdet, ges nedan därför en översiktlig beskrivning endast av lärosätenas huvudsakliga behandlingar. Hög- skolornas behandlingar av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål redogörs för i avsnitt 5.4.2.

Anmälan om studier

Utbildning på högskolor ska ges på grundnivå, avancerad nivå och forskarnivå (1 kap. 7 § högskolelagen). Förutom för de få lärosäten som själva sköter antagningsförfarandet gäller att anmälan till studier ska göras på webbplatsen antagning.se som UHR ansvarar för.

För att kunna anmäla sig krävs att sökanden skapar ett konto där personuppgifter i form av namn, personnummer och kontaktupp- gifter behandlas. Personer som inte är medborgare i en stat som omfattas av avtalet om Europeiska ekonomiska samarbetsområdet (EES) eller i Schweiz är dessutom, med vissa undantag, skyldiga att betala en anmälningsavgift om 900 kronor (se 2 § förordningen

191

Universitets- och högskolesektorn

SOU 2017:49

[2010:543] om anmälningsavgift och studieavgift vid universitet och högskolor).

För handläggningen vid antagningsförfarandet använder sig UHR av ett system som heter NyA. Även om det är UHR som är ansvarig för NyA används systemet lika mycket av de olika lärosätena, som har direktåtkomst till uppgifterna. Bestämmelser om personupp- giftsbehandlingen i Nya finns i 4 kap. förordningen om redovisning av studier m.m. vid universitet och högskolor.

Från den nationella betygsdatabasen BEDA (se avsnitt 9) hämtar NyA uppgifter om slutbetyg och examensbevis från gymnasieskolan och den kommunala vuxenutbildningen på gymnasial nivå. Vidare hämtar NyA uppgifter om bl.a. akademiska meriter från de olika högskolornas databaser, Ladok (se nedan). Från HP-registret, där resultaten från högskoleprovet finns samlade, förs nämnda resultat över till NyA.

Antagningshandläggare på UHR och lärosätena granskar, regi- strerar och bedömer de sökandes meriter. I NyA görs också maski- nella bedömningar av behörighet. Det är även möjligt att räkna fram ett meritvärde utifrån behörighetsmodeller och meritvärderings- modeller i systemet.

När samtliga sökande blivit bedömda, antas eller reservplaceras behöriga sökande och obehöriga sökande blir strukna. Antagning, reservplacering och strykning sker i två maskinella urval. Uppgifter om de som antagits och reservplacerats skickas därefter till Ladok- systemen (se nedan) vid aktuella lärosäten. En högskolas beslut om att en sökande inte uppfyller kraven på behörighet för att bli antagen till utbildning är, enligt 12 kap. 2 § 2 högskoleförordningen, över- klagbart.

Högskoleprovet

Ett sätt att öka sina chanser att antas till utbildning på grundnivå och avancerad nivå är att skriva högskoleprovet. För genomförandet av högskoleprovet finns det två webbplatser, dels hogskoleprov.nu där provdeltagare anmäler sig och då anger namn, personnummer, adress och telefonnummer, dels hpadmin.uhr.se, som är ett system där handläggare på lärosätena administrerar lokaler, personal och prov- deltagare samt skickar placeringsbesked till personalen och kallelser

192

SOU 2017:49

Universitets- och högskolesektorn

till provdeltagare. UHR äger och förvaltar webbplatserna men det är lärosätena som är personuppgiftsansvariga. UHR är dock person- uppgiftsansvarig för det register där resultaten från högskoleprovet finns samlade, HP-registret.

Studieadministration

För sin studieadministration använder samtliga statliga lärosäten och några av de enskilda utbildningsanordnarna sig bl.a. av det nationella systemet Ladok. Ladok är det enskilt största systemet inom universi- tets- och högskolesektorn. Systemet ägs av 38 lärosäten och Centrala studiestödsnämnden (CSN) tillsammans genom ett konsortium.2 Systemutvecklingen sker gemensamt för alla lärosäten men varje lärosäte som använder systemet ansvarar för sitt eget Ladokregister.

Behandlingen av personuppgifter i studieadministrativt syfte reg- leras i 2 kap. förordningen om redovisning av studier m.m. vid uni- versitet och högskolor. Enligt 2 kap. 3 och 5 §§ omfattar behand- lingen personuppgifter i form namn, personnummer, behörighet, urvalsgrund, skyldighet att betala och betalning av anmälningsavgift och studieavgift, antagning, deltagande i utbildning och prov, studie- resultat, betyg, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet, examen och sådana uppgifter som krävs för att uppgifter ska kunna lämnas till Statistiska centralbyrån (SCB) och UHR. Registret får också innehålla de uppgifter om studenter som behövs för resultatredovisning. Av 2 kap. 5 a § framgår att en högskola även får behandla sådana känsliga personuppgifter som avses i 13 § person- uppgiftslagen (1998:204, PUL) i antagningsärenden, om den enskilde har lämnat samtycke till detta. Av 2 kap. 8 § framgår att uppgift om medborgarskap som lärosätena behöver för beslut om skyldighet att betala anmälningsavgift eller studieavgift också får behandlas men att sådan uppgift ska gallras så snart studieregistret har uppdaterats med uppgift om studenten tillhör den personkrets som ska betala anmäl- ningsavgift eller studieavgift.

Ladok används också för utbyte av information mellan högsko- lor och andra myndigheter. Till CSN rapporteras uppgifter som be- hövs för beviljande av studiemedel. Som framgått ovan lämnas de

2 www.ladok.se/ladok/om-ladok_och_konsortiet/medlemmar/

193

Universitets- och högskolesektorn

SOU 2017:49

uppgifter till UHR som behövs för behörighets- och meritvärder- ing i samband med ansökan och antagning till högskoleutbildning. SCB får uppgifter som sammanställs till statistik om högskolan på uppdrag av UKÄ. Eftersom Ladok omfattas av offentlighetsprinci- pen lämnas också uppgifter på begäran flitigt ut till bl.a. media, rek- ryteringsföretag, föreningar eller andra som vill rikta erbjudanden till nuvarande eller tidigare studenter.

En stor del av de administrativa tjänsterna i form av bl.a. registre- ring till kurser, anmälan till tentamen, begäran om studieintyg, kurs- bevis och examensbevis har samlats i webbaserade s.k. studentpor- taler. Dessa portaler hämtar uppgifterna från Ladok. Även studen- terna använder sig därför av Ladok.

En ny version av Ladok håller på att utvecklas, Ladok3, som ska vara klar 2018. Enligt planeringen ska nuvarande Ladok stängas ner under 2018. I Ladok3 kommer en tjänst som delas med antagnings- systemet NyA att drivas. Genom tjänsten hämtas uppgifter från Skatteverket och gemensamma data för alla studenter i Sverige är namn, personnummer, adress, kön och uppgift om personen är avli- den. Det betyder inte att alla lärosäten har tillgång till alla uppgifter utan endast det som är centralt för alla parter delas.

För administration vid tentamen kan lärosätena använda sig av ett system som heter TentaAdmin, vilket tillhandahålls av UHR. Syste- met hämtar sin information från de system som anslutet lärosäte an- vänder för lokaler och tentander. Det kan också användas helt eller delvis manuellt beroende på lärosätets förutsättningar. Systemet används till att boka, placera och informera vakter samt för att pla- cera och informera tentander.

Utbildningen

All utbildning på grundnivå och avancerad nivå ska bedrivas i form av kurser som får sammanföras till utbildningsprogram (6 kap. 13 § högskoleförordningen). Som hjälpmedel i undervisningen används s.k. lärplattformar. Plattformarna är webbaserade och i dessa har samlats sådana specifika moment som krävs för genomförandet av en kurs, t.ex. hämtning av kursmaterial och inlämnande av uppgifter. Genom plattformarna underlättas dessutom kommunikationen mel-

194

SOU 2017:49

Universitets- och högskolesektorn

lan lärare och studenter och information kan spridas på ett snabbt och enkelt sätt.

I plattformarna behandlas personuppgifter och liksom student- portalerna hämtas uppgifterna in från det aktuella lärosätets Ladok- system.

Tillgodoräknande av tidigare utbildning och verksamhet

En student kan under vissa förutsättningar få tillgodoräkna sig tidi- gare utbildning eller verksamhet (se 6 kap. 6–8 §§ högskoleförord- ningen). En högskolas beslut om tillgodoräknande av utbildning eller yrkesverksamhet kan överklagas enligt 12 kap. 2 § 3 högskole- förordningen.

De lärosäten som erbjuder kurser inom Lärarlyftet II kan för vali- dering av tidigare meriter använda sig av ett digitalt ansöknings- och administrationssystem som tillhandahålls av UHR. Efter att UHR anslutit en administratör på ett lärosäte till systemet, Valda, kan den- ne skapa kurser, lägga till antagna inom en antagningsomgång, ta emot ansökningar om validering och öppna ärenden för handläggning.

När en person ansöker om validering för tillgodoräknande av kurser och lärandemål ska denne ange namn, personnummer och aktuella kontaktuppgifter. Sökanden ska även lämna en utförlig be- skrivning av hur denne uppfyller lärandemålen och bifoga de filer som styrker ansökan. Valda stöder sedan den fortsatta hanteringen av ärendet genom hela processen av kartläggning, bedömning och beslutsfattande. Alla avslutade ärenden sparas i ett nationellt arkiv där alla anslutna lärosäten kan få en uppfattning om hur tidigare be- dömningar sett ut, vilket bl.a. ska förhindra att samma meriter be- döms på olika sätt.

Bibliotek

Enligt 12 § bibliotekslagen (2013:801) ska det finnas tillgång till hög- skolebibliotek vid alla universitet och högskolor som omfattas av högskolelagen. Dessa bibliotek ska svara för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid högskolan. Ett högskolebibliotek ska avgiftsfritt ställa litteratur ur de egna samlingarna till andra högskolebiblioteks förfogande (2 kap.

195

Universitets- och högskolesektorn

SOU 2017:49

16 § högskoleförordningen). För statliga högskolors del finns det således en skyldighet att ha ett bibliotek. I denna verksamhet be- handlas också personuppgifter i syfte att hålla reda på utlånade böcker. På högskolorna finns ofta ett särskilt kort som har flera funktioner som är nödvändiga för att bedriva studier på lärosätet. Att fungera som lånekort kan vara en sådan funktion.

Alumner

Hos lärosätena finns databaser där tidigare studenter, s.k. alumner, kan registrera sig. Genom registreringen kan alumner t.ex. komma i kontakt med andra alumner eller högskolan. Genom alumnverksam- heten kan även kontakterna med näringslivet öka och förbättras.

Vid registreringen förs personuppgifter i form av namn, person- nummer och utbildning över från Ladok. Därutöver kan alumnen lägga till uppgifter om sitt nuvarande arbete m.m. Alumnen kan själv välja i vilken omfattning vissa uppgifter ska synas.

Att registrera sig i en alumndatabas vid ett lärosäte är helt frivil- ligt och vid registreringen godkänner alumnen att dennes person- uppgifter behandlas.

5.3Rättslig grund för personuppgiftsbehandling

5.3.1Utredningens uppdrag i denna del

Kommittédirektiven

För att personuppgifter ska få behandlas helt eller delvis automatiskt eller annan behandling ska få ske av personuppgifter som ingår i eller kommer att ingå i ett register krävs att en rättslig grund i artikel 6.1 i dataskyddsförordningen är tillämplig. Enligt artikel 6.3 första stycket ska grunden för den behandling av personuppgifter som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den nationella rätten som den personuppgiftsansvarige omfattas av. En- ligt kommittédirektiven behöver det analyseras vad dataskyddsför- ordningens krav i denna del innebär i fråga om nationell författnings- reglering. Dataskyddsutredningen ska analysera om det behövs kom- pletterande bestämmelser som ger ett generellt stöd för myndighe-

196

SOU 2017:49

Universitets- och högskolesektorn

ters och andra organs behandling och lämna behövliga och lämpliga författningsförslag.

När det gäller behandling av personuppgifter som utförs av bl.a. myndigheter och enskilda inom utbildningsområdet, förutom forsk- ningsverksamhet, uppdras det åt utredningen att analysera om en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, för att säkerställa att nödvändig behandling av person- uppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.

Utredningen ska därför undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom universitets- och högskole- sektorn som är möjlig och kan behövas utöver dataskyddsförord- ningen och den generella reglering som Dataskyddsutredningen kommer att föreslå samt lämna de författningsförslag som behövs.

Utredningens närmare utgångspunkter

Inom universitets- och högskolesektorn finns det en författning som särskilt tar sikte på behandling av personuppgifter, förordningen om redovisning av studier m.m. vid universitet och högskolor (se avsnitt 5.6). Med undantag för den medicinska verksamheten inom studenthälsan, som omfattas av patientdatalagen (2008:355), gäller i övrigt bestämmelserna i personuppgiftslagen. Den 25 maj 2018 kommer personuppgiftslagen att upphävas och dataskyddsförord- ningen och den av Dataskyddsutredningen föreslagna lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) ska börja tillämpas.

För en personuppgiftsansvarig som bedriver högskoleutbildning innebär detta att denne måste ha stöd för sin behandling i en rättslig grund enligt artikel 6.1 i dataskyddsförordningen, om behandlingen helt eller delvis företas på automatisk väg eller om behandlingen avser personuppgifter som ingår i eller kommer att ingå i ett register. För lärosätena kommer möjliga grunder för behandling av person- uppgifter huvudsakligen att vara att den registrerade har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål (6.1 a), att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personupp-

197

Universitets- och högskolesektorn

SOU 2017:49

giftsansvarige (6.1 c) eller att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning (6.1 e).

För enskilda utbildningsanordnare finns möjligheten att använda sig av ytterligare en grund i dataskyddsförordningen, nämligen för sådan behandling som är nödvändig för ändamål som rör den per- sonuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (6.1 f).

Beträffande de rättsliga grunderna i artikel 6.1 c och e i data- skyddsförordningen krävs, enligt artikel 6.3 första stycket, att de är fastställda i enlighet med unionsrätten eller en medlemsstats natio- nella rätt som den personuppgiftsansvarige omfattas av för att de ska vara tillämpliga. Detta är nytt i jämförelse med personuppgiftslagen. Såsom redogjorts för i avsnitt 3.4.1 är Dataskyddsutredningens upp- fattning att det med grunden för behandlingen i artikel 6.3 första stycket avses den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen. Enligt Dataskyddsutredningens bedömning innebär kravet på att grunden för behandlingen ska fast- ställas inte att det krävs en särskild reglering med anledning av att dataskyddsförordningen ska börja tillämpas. Förekomsten av reglering avgör dock i vilken utsträckning personuppgiftsansvariga kan åberopa de rättsliga grunder som avses i artikel 6.1 c och e (SOU 2017:39, avsnitt 8.3.1).

Av artikel 6.3 andra stycket framgår att syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av all- mänt intresse eller som ett led i den personuppgiftsansvariges myn- dighetsutövning. Vidare anges att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmel- serna i förordningen. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

De första frågor som utredningen har att ta ställning till är om det finns en eller flera rättsliga grunder som är tillämpliga för statliga högskolors och enskilda utbildningsanordnares behandling av per- sonuppgifter. Om utredningen kommer fram till att lärosätena full- gör en rättslig förpliktelse eller utför en uppgift av allmänt intresse eller att det i deras verksamhet finns inslag av myndighetsutövning,

198

SOU 2017:49

Universitets- och högskolesektorn

måste det även undersökas vilket rättsligt stöd det finns för verksam- heterna att utföra dessa uppgifter, dvs. om grunderna är fastställda i svensk rätt. Eftersom utredningen bedömer att uppgift av allmänt intresse är den rättsliga grund som lärosätena oftast kan tillämpa vid behandling av personuppgifter, är det lärosätenas möjligheter att tillämpa den grunden som först kommer att analyseras.

5.3.2Uppgift av allmänt intresse

Bedömning: Genom bestämmelser i högskolelagen med anslu- tande föreskrifter och lagen om tillstånd att utfärda vissa examina samt beslut fattade med stöd av dessa bestämmelser är det i svensk rätt fastställt att anordnande och bedrivande av högskole- utbildning är en uppgift av allmänt intresse.

Artikel 6.1 e i dataskyddsförordningen kan därmed utgöra rättslig grund för nödvändig personuppgiftsbehandling för att utöva verksamhet som har sin grund i nämnda föreskrifter när personuppgiftslagen upphävs. Det finns således inget behov av en särskild reglering för att lärosätena ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse.

Är anordnande och bedrivande av högskoleutbildning en fastställd uppgift av allmänt intresse?

Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Av första ledet i artikel 6.1 e framgår att en behandling är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse. Artikel 6.1 e är inte begränsad till offentliga aktörer, utan även privaträttsliga organ kan utföra en uppgift av allmänt intresse.

För att nämnda grund ska kunna tillämpas vid personuppgifts- behandling krävs dock att uppgiften av allmänt intresse är fastställd i unionsrätten eller en medlemsstats nationella rätt som den person- uppgiftsansvarige omfattas av (artikel 6.3 första stycket). Data- skyddsutredningen föreslår en bestämmelse i 2 kap. 4 § dataskydds- lagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvän-

199

Universitets- och högskolesektorn

SOU 2017:49

dig bl.a. för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av bl.a. lag eller annan författ- ning eller av beslut som har meddelats med stöd av lag eller annan författning. Det är således inte tillräckligt att konstatera att det gene- rellt föreligger en uppgift av allmänt intresse för att den aktuella grunden ska kunna tillämpas som stöd för behandling av personupp- gifter. Av skäl 41 framgår vidare att den rättsliga grunden bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den.

Vad utredningen har att analysera är följaktligen om det för stat- liga högskolor och enskilda utbildningsanordnare finns en i svensk rätt fastställd uppgift av allmänt intresse. Utredningen ska i så fall även analysera om den reglering där uppgiften fastställs är tydlig och precis och om dess tillämpning är förutsägbar för de personer som omfattas av den.

Statliga högskolor

Begreppet allmänt intresse är ett unionsrättsligt begrepp som ännu inte har definierats. I artikel 14.1 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02) anges att var och en har rätt till utbildning och till tillträde till yrkesutbildning och fortbildning. Att utbildning och fortbildning är en grundläggande rättighet talar för att i vart fall anordnande och bedrivande av hög- skoleutbildning, på EU-nivå, bedöms vara en uppgift av allmänt intresse.

Vidare bedömer Dataskyddsutredningen att det med hänsyn till svensk förvaltningstradition är rimligt att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt upp- drag av riksdag eller regering är av allmänt intresse (SOU 2017:39, avsnitt 8.3.4).

Enligt 1 kap. 2 § andra stycket regeringsformen ska det allmänna trygga rätten till utbildning. Av 2 kap. 18 § första stycket framgår att det allmänna ska svara för att högre utbildning finns. Redan av detta kan det utläsas att anordnande och bedrivande av högskole- utbildning enligt svensk rätt är en uppgift av allmänt intresse.

200

SOU 2017:49

Universitets- och högskolesektorn

Därtill finns högskolelagen med anslutande författningar som innehåller närmare bestämmelser om högskoleutbildning. I förarbe- tena till högskolelagen uttalas bl.a. följande (prop. 1992/93:1 s. 9 f.).

Genom högre utbildning och forskning kan de kulturella och huma- nistiska värden som är en del av det goda samhället förstärkas. Det är också bara genom en avancerad utbildning och forskning som Sverige kan hävda sig i en hårdnande internationell konkurrens. Att både öka antalet högskoleutbildade och att höja kvaliteten inom utbildningen och forskningen blir i detta perspektiv avgörande för Sveriges framtida utveckling.

[…]

I ökande utsträckning kommer vi att leva i en internationell miljö där kunskapsmässig kompetens är avgörande för vårt lands välstånd.

Utredningens bedömning är således att anordnande och bedrivande av högskoleutbildning är en uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. Frågan härefter blir om denna uppgift är fastställd i svensk rätt.

Vad anordnande och bedrivande av högskoleutbildning innebär för statliga högskolor preciseras i högskolelagen och högskoleför- ordningen. För Sveriges lantbruksuniversitet och Försvarshög- skolan finns ytterligare bestämmelser i deras respektive förordning. Enligt 1 kap. 2 § högskolelagen ska staten som huvudman anordna högskolor för utbildning och forskning. Av lagrummet framgår att det i högskolornas uppgift även ingår att samverka med det omgi- vande samhället och informera om sin verksamhet samt verka för att forskningsresultat tillkomna vid högskolan kommer till nytta.

Att anordnande och bedrivande av högskoleutbildning är en uppgift av allmänt intresse framgår uttryckligen av högskolelagen. I 1 kap. 10 a § anges att examina ska avläggas på grundnivå, avance- rad nivå eller forskarnivå. Enligt 1 kap. 13 § får ett tillstånd att ut- färda examina lämnas bara om bl.a. det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas. I de fall till- stånd att utfärda examina har lämnats, har det därmed ansetts fin- nas ett allmänt intresse av sådan utbildning.

I 1 kap. högskolelagen preciseras ytterligare vad uppgiften att anordna och bedriva högskoleutbildning innebär. Av bestämmelser- na där framgår bl.a. följande. Utbildningen ska ges på grundnivå, avancerad nivå och forskarnivå. Utbildning på t.ex. grundnivå ska

201

Universitets- och högskolesektorn

SOU 2017:49

väsentligen bygga på de kunskaper som eleverna får på nationella program i gymnasieskolan eller motsvarande kunskaper. Utbild- ningen ska utveckla studenternas förmåga att göra självständiga och kritiska bedömningar samt deras förmåga att självständigt urskilja, formulera och lösa problem. Utbildningen ska även utveckla studen- ternas beredskap att möta förändringar i arbetslivet. Inom det om- råde som utbildningen avser ska studenterna, utöver kunskaper och färdigheter, utveckla förmåga att söka och värdera kunskap på veten- skaplig nivå, följa kunskapsutvecklingen och utbyta kunskaper även med personer utan specialkunskaper inom området.

Ytterligare precisering av vad uppgiften att anordna och bedriva högskoleutbildning innebär framgår av 6 kap. högskoleförordningen. All utbildning på grundnivå och avancerad nivå ska bedrivas i form av kurser. För en kurs ska det finnas en kursplan. I kursplanen ska anges kursens nivå, antal högskolepoäng, mål, krav på särskild behö- righet, formerna för bedömning av studenternas prestationer och de övriga föreskrifter som behövs (6 kap. 13–15 §§). I kursplanerna finns således den mest konkreta preciseringen av vad en specifik utbildning innebär i form av bl.a. former för undervisning och be- dömning. Vidare får kurser sammanföras till utbildningsprogram. För utbildningsprogrammen ska det finnas en utbildningsplan. I utbild- ningsplanen ska anges de kurser som programmet omfattar, kraven på särskild behörighet och de övriga föreskrifter som behövs (6 kap. 13, 16 och 17 §§). De angivna bestämmelserna i högskoleförord- ningen gäller även för Sveriges lantbruksuniversitet och Försvarshög- skolan (se 5 kap. 2 § förordningen för Sveriges lantbruksuniversitet och 4 kap. 2 § förordningen för Försvarshögskolan).

Enligt 6 kap. 4 § högskoleförordningen får det inom utbildningen vidare bara avläggas de examina som anges i bilaga 2 till högskoleför- ordningen (examensordningen). I examensordningen anges det på vilken nivå en viss examen ska avläggas och vilka krav som ska upp- fyllas för en viss examen (6 kap. 5 §). I 5 kap. 1 § förordningen för Sveriges lantbruksuniversitet och 4 kap. 1 § förordningen för För- svarshögskolan finns motsvarande bestämmelser.

I examensordningen i bilagan till högskoleförordningen finns så- ledes en förteckning över vilka examina som får avläggas på grund- nivå, avancerad nivå och forskarnivå. För respektive examen finns också en beskrivning av vilka krav som ska uppfyllas i fråga om t.ex. antal högskolepoäng, kunskaper och färdigheter samt självständiga

202

SOU 2017:49

Universitets- och högskolesektorn

arbeten. I examensbeskrivningarna anges vidare att också de preci- serade krav som varje högskola själv bestämmer inom ramen för kra- ven i examensbeskrivningen ska gälla. Motsvarande bestämmelser finns i bilagorna till förordningen för Sveriges lantbruksuniversitet och förordningen för Försvarshögskolan.

På en genomgången kurs ska det vidare sättas ett betyg och en student som har fått en kurs godkänd ska på begäran få ett kursbevis av högskolan. En student som uppfyller fordringarna för en examen ska på begäran få ett examensbevis av högskolan (6 kap. 9, 18 och 20 §§ högskoleförordningen). Även dessa bestämmelser gäller för Sveriges lantbruksuniversitet och Försvarshögskolan enligt 5 kap. 2 § respektive 4 kap. 2 § i de förordningar som särskilt reglerar deras verksamhet.

Genom högskolelagen, högskoleförordningen och förordning- arna för Sveriges lantbruksuniversitet och Försvarshögskolan finns således tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva högskoleutbildning innebär för statliga högskolor. Utredningens bedömning är därför att det för statliga högskolor finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva högskoleutbildning. Detta innebär att samtliga åtgärder som högskolorna företar i syfte att bedriva utbildningsverksamhet och som har sin grund i nu nämnda föreskrifter är att anse som utförande av en uppgift av allmänt intresse enligt dataskyddsförordningen. Någon ytterligare reglering behöver följaktligen inte införas för att högskolorna ska kunna tillämpa artikel 6.1 e i dataskyddsförordningen för sådan personupp- giftsbehandling som är nödvändig för att utföra uppgifter eller upp- fylla åligganden enligt högskolelagen med anslutande föreskrifter.

Förutom högskolelagen med anslutande föreskrifter kan uppgif- ter och åligganden för de statliga högskolorna även framgå av andra författningar, t.ex. förordningen om redovisning av studier m.m. vid universitet och högskolor. Enligt Dataskyddsutredningen måste uppgiften av allmänt intresse dock inte vara uttryckt i lag eller för- ordning, utan kan även framgå av beslut, förutsatt att dessa har med- delats med stöd av lag eller annan författning (SOU 2017:39, av- snitt 8.3.4). Som angetts ovan föreslår Dataskyddsutredningen en bestämmelse som förtydligar detta förhållande.

Uppgifter och åligganden kan således även framgå av reglerings- brev till de statliga högskolorna. Som nämnts ovan ska det för en

203

Universitets- och högskolesektorn

SOU 2017:49

kurs och ett utbildningsprogram vidare finnas en kursplan respektive en utbildningsplan (6 kap. 14 och 16 §§ högskoleförordningen). Be- slut om fastställande av sådana planer ska fattas av personer med vetenskaplig eller konstnärlig kompetens (2 kap. 5 § högskolelagen och prop. 2009/10:149 s. 35 f.).

Stöd för nödvändig behandling för att utföra uppgiften att anord- na och bedriva högskoleutbildning är således inte begränsad till hög- skolelagen med anslutande föreskrifter, utan kan även finnas i andra författningar och beslut som meddelats i konstitutionell ordning.

Av artikel 5.2 i dataskyddsförordningen följer att det är den per- sonuppgiftsansvarige, dvs. högskolan, som ska ansvara för och kunna visa att behandlingen är laglig, dvs. att det finns en rättslig grund som kan tillämpas på behandlingen. Det ankommer således på hög- skolan att bedöma om behandlingen är nödvändig för att utföra en uppgift som har sin grund i relevanta beslut och författningar, t.ex. för att utfärda kurs- eller examensbevis eller för att genomföra hög- skoleprovet (6 kap. 9 och 20 §§ samt 7 kap. 20 § högskoleförord- ningen). Om behandlingen saknar koppling till uppgifter, åligganden och verksamhet som har sin grund i för högskolorna relevanta för- fattningar och beslut, kan den inte anses nödvändig för att utföra uppgiften att anordna och bedriva högskoleutbildning. Högskolorna måste då i egenskap av personuppgiftsansvariga avgöra om arti- kel 6.1 e av annat skäl kan vara tillämplig, eller om någon annan av de rättsliga grunderna i artikel 6.1 kan tillämpas på den avsedda behand- lingen.

När det gäller statliga högskolor konstaterar dock utredningen, i likhet med Dataskyddsutredningen, att myndigheters verksamhet i allt väsentligt är av allmänt intresse. Den rättsliga grunden i arti- kel 6.1 e i dataskyddsförordningen kan därför vanligen tillämpas. Högskolors uppdrag och åligganden framgår av författningar och regeringsbeslut antagna i enlighet med grundlagens bestämmelser om normgivningskompetens. De åtgärder som högskolorna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har där- med i sig en legal grund som har offentliggjorts genom tydliga, pre- cisa och förutsägbara regler. Detta innebär att när högskolorna fullgör sina författningsreglerade uppgifter är frågan vid bedömning av om artikel 6.1 e i dataskyddsförordningen är tillämplig och som den personuppgiftsansvarige måste ta ställning till normalt endast om personuppgiftsbehandlingen är nödvändig för att utföra det

204

SOU 2017:49

Universitets- och högskolesektorn

aktuella uppdraget eller åliggandet. Det bör alltså i en sådan situation endast undantagsvis bli aktuellt att ifrågasätta om högskolan utför en lagligen fastställd uppgift av allmänt intresse.

Enskilda utbildningsanordnare

Ovan gör utredningen bedömningen att det genom bestämmelserna i högskolelagen med anslutande föreskrifter finns en för statliga högskolor fastställd uppgift av allmänt intresse i form av att anordna och bedriva högskoleutbildning. Den nämnda regleringen bedöms vara tydlig och precis och dess tillämpning är förutsägbar för de per- soner som omfattas av den. Frågan är om det för enskilda utbild- ningsanordnare finns en motsvarande reglering som gör att även de kan tillämpa den rättsliga grunden i första ledet i artikel 6.1 e i data- skyddsförordningen, dvs. uppgift av allmänt intresse, för nödvändig personuppgiftsbehandling.

I förarbetena till högskolelagen uttalar regeringen att statligt huvudmannaskap i myndighetsform bara är en av många möjliga verksamhetsformer för universitet och högskolor. Det behövs också alternativ till den statliga verksamheten om mångfald och kon- struktiv konkurrens ska befordras (prop. 1992/93:1 s. 24).

Av 1 § lagen om tillstånd att utfärda vissa examina framgår att enskilda utbildningsanordnare kan få tillstånd att utfärda sådana examina som regeringen, enligt vad som anges i högskolelagen, med- delat föreskrifter om. Tillstånd lämnas enligt 6 § av regeringen men endast om utbildningen uppfyller de krav som uppställs i 2 §.

Enligt 2 § första stycket ska utbildningen vila på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet samt bedrivas så att den i övrigt uppfyller de krav som uppställs på utbildning i 1 kap. högskolelagen. För varje examen som tillståndet avser ska utbild- ningen också svara mot de särskilda krav som enligt förordnings- bestämmelser gäller för denna examen vid de universitet och hög- skolor som omfattas av högskolelagen.

Även för enskilda utbildningsanordnare finns det således bestäm- melser i högskolelagen och högskoleförordningen som preciserar vad anordnande och bedrivande av högskoleutbildning innebär.

Enligt 1 kap. 13 § högskolelagen får ett tillstånd att utfärda exa- mina lämnas bara om utbildningen uppfyller de krav som i detta

205

Universitets- och högskolesektorn

SOU 2017:49

kapitel ställs på utbildningen och de särskilda krav som finns i för- ordning. En ytterligare förutsättning är att det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas.

För att en enskild utbildningsanordnare ska beviljas tillstånd att utfärda examina krävs således att kraven på utbildningen som anges i 1 kap. högskolelagen är uppfyllda samt att det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas. I de fall tillstånd att utfärda examina har lämnats till en enskild utbild- ningsanordnare har det därmed ansetts finnas ett allmänt intresse av sådan utbildning.

I 1 kap. högskolelagen, som i tillämpliga delar gäller för enskilda utbildningsanordnare, preciseras ytterligare vad uppgiften att anord- na och bedriva högskoleutbildning innebär. Av bestämmelserna där framgår bl.a. följande. Utbildning på t.ex. grundnivå ska väsentligen bygga på de kunskaper som eleverna får på nationella program i gymnasieskolan eller motsvarande kunskaper. Utbildningen ska ut- veckla studenternas förmåga att göra självständiga och kritiska be- dömningar samt deras förmåga att självständigt urskilja, formulera och lösa problem. Utbildningen ska även utveckla studenternas beredskap att möta förändringar i arbetslivet. Inom det område som utbildningen avser ska studenterna, utöver kunskaper och färdig- heter, utveckla förmåga att söka och värdera kunskap på vetenskaplig nivå, följa kunskapsutvecklingen och utbyta kunskaper även med personer utan specialkunskaper inom området.

Som angetts ovan finns det i 2 § andra stycket lagen om tillstånd att utfärda vissa examina ytterligare ett krav på utbildningen för att tillstånd att utfärda examina ska beviljas. Utbildningen ska svara mot de särskilda krav som enligt förordningsbestämmelser gäller för den- na examen vid de universitet och högskolor som omfattas av hög- skolelagen. De krav som utbildningen ska uppfylla finns i bilaga 2 till högskoleförordningen, examensordningen, där alla statligt reglerade examina beskrivs. En enskild utbildningsanordnare måste därmed utforma sina utbildningar på sådant sätt att studenterna, genom att fullgöra utbildningarna, kan uppfylla de krav som examensordningen föreskriver för att uppnå aktuella examina. I examensordningen anges för de olika examina att också de preciserade krav som varje högskola själv bestämmer inom ramen för kraven i denna examens- beskrivning ska gälla. Genom sistnämnda bestämmelse överlämnas därmed rätten till såväl statliga högskolor som enskilda utbildnings-

206

SOU 2017:49

Universitets- och högskolesektorn

anordnare att närmare precisera hur kraven i examensordningen ska uppfyllas.3

I den del som gäller utbildning som bedrivs inom ramen för läm- nat tillstånd att utfärda examina har enskilda utbildningsanordnare därmed samma reglering att förhålla sig till som statliga högskolor, dvs. att utbildningen ska vila på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet, att den ska bedrivas så att den uppfyller de krav som uppställs på utbildning i 1 kap. högskolelagen samt att den ska svara mot de särskilda krav som gäller enligt examens- ordningen. Därtill överlämnar examensordningen till såväl statliga högskolor som enskilda utbildningsanordnare att närmare precisera kraven på hur undervisningen ska utformas.

Genom lagen om tillstånd att utfärda vissa examina, med dess hänvisningar till bestämmelser i högskolelagen och högskoleförord- ningen, är det enligt utredningens bedömning följaktligen fastställt att även enskilda utbildningsanordnare utför en uppgift av allmänt intresse när de anordnar och bedriver utbildning inom ramen för det tillstånd som lämnats. Mot bakgrund av att regleringen i aktuella delar är i stort sett densamma som för statliga högskolor, saknas det skäl till annan bedömning än att regleringen är tydlig och precis samt förutsägbar för de personer som omfattas av den. Enskilda utbild- ningsanordnare kan därmed, inom ramen för det tillstånd som läm- nats, tillämpa första ledet i artikel 6.1 e i dataskyddsförordningen för sådan behandling som är nödvändig för att utföra uppgiften att anordna och bedriva högskoleutbildning.

Som angetts i föregående avsnitt anser Dataskyddsutredningen att uppgiften av allmänt intresse inte behöver vara uttryckt i lag eller förordning, utan att den även kan framgå av beslut förutsatt att dessa har medelats med stöd av lag eller annan författning. Detta innebär att även de preciserade krav de enskilda utbildningsanordnarna beslutar fastställer den rättsliga grunden uppgift av allmänt intresse. Utredningen vill dock understryka att detta blir ytterligare preciser- ingar av grunden men att sådana normalt inte är nödvändiga för att uppgiften av allmänt intresse ska anses vara fastställd i nationell rätt i enlighet med dataskyddsförordningen.

3 Se även s. 15 i dåvarande Högskoleverkets Rapport 2008:37 R, Rättssäkerheten för studen- ter hos enskilda utbildningsanordnare med examensrätt.

207

Universitets- och högskolesektorn

SOU 2017:49

Uppgifter och åligganden kan för enskilda utbildningsanordnares del vidare även framgå av regeringens beslut att bevilja tillstånd att utfärda examina. Som exempel på sistnämnda förhållande kan nämnas 4 § lagen om tillstånd att utfärda vissa examina. Enligt den bestäm- melsen får ett sådant tillstånd förenas med villkor om rätt för enskilda att ta del av handlingar hos utbildningsanordnaren. Av 2 kap. 4 § offentlighets- och sekretesslagen (2009:400, OSL) och lagens bilaga framgår att vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos bl.a. Chalmers tekniska högskola aktie- bolag, som är en enskild utbildningsanordnare. Chalmers ska vid till- lämpningen av offentlighets- och sekretesslagen då jämställas med myndigheter.

Stöd för nödvändig behandling för att utföra uppgiften att anord- na och bedriva högskoleutbildning är således inte begränsad till lagen om tillstånd att utfärda vissa examina, med dess hänvisningar till hög- skolelagen och högskoleförordningen, utan kan finnas även i andra författningar och beslut som meddelats i konstitutionell ordning.

Det kan dock konstateras att regleringen av de statliga högskolor- nas verksamhet är mer omfattande än den som finns för de enskilda utbildningsanordnarnas verksamhet. För enskilda utbildningsanord- nare saknas preciserade bestämmelser om t.ex. antagningsförfaran- det, studieadministration, tillgodoräknande av tidigare utbildning och verksamhet, disciplinära åtgärder och avskiljande. Detta uteslu- ter enligt utredningens bedömning inte att artikel 6.1 e i dataskydds- förordningen kan tillämpas även på behandling för sådana uppgifter och ändamål. Enligt Dataskyddsutredningen behöver ändamålet inte framgå av den författning eller det beslut där själva uppgiften fast- ställs. Ändamålet med varje enskild behandling måste dock vara nöd- vändigt för att utföra den fastställda uppgiften. För att illustrera detta förhållande har Dataskyddsutredningen ett exempel om biblio- tekslagen enligt följande (SOU 2017:39, avsnitt 8.3.4).

Som exempel kan nämnas att det enligt 3 § bibliotekslagen (2013:801) fastställs att kommunerna ansvarar för folkbibliotek. I 9 § bibliotekslagen anges att allmänheten avgiftsfritt ska få låna eller på annat sätt få tillgång till litteratur under en viss tid oavsett publiceringsform. Man skulle förstås kunna tänka sig att biblioteken skulle låna ut böcker, utan att veta vilka låntagarna är. Det förefaller dock föga lämpligt, eftersom det kan antas att böcker då inte skulle lämnas tillbaka. Det bör därför kunna anses nödvändigt, i unionsrättslig mening, för biblioteken att samla in

208

SOU 2017:49

Universitets- och högskolesektorn

personuppgifter från dem som lånar böcker, i syfte att föra ett register över låntagare och deras lån. Detta ändamål är därmed nödvändigt för att utföra uppgiften, att bedriva biblioteksverksamhet. Behandlingen av personuppgifter kan således ske enligt artikel 6.1 e, på den rättsliga grund som utgörs av bibliotekslagen.

Bibliotekslagen anger inte att folkbiblioteken ska föra ett register över låntagare och deras lån. Dataskyddsutredningen anser ändå att artikel 6.1 e i dataskyddsförordningen är tillämplig på behandlingar med sådant syfte, eftersom det får anses vara nödvändigt för att utföra uppgiften att bedriva biblioteksverksamhet.

I fråga om enskilda utbildningsanordnare saknas bestämmelser om bl.a. tillträde till utbildning, vilket för statliga högskolors del regleras i 7 kap. högskoleförordningen. För att kunna bedriva hög- skoleutbildning måste av naturliga skäl dock någon form av antag- ning av studenter ske. På motsvarande sätt som i Dataskyddsutred- ningens exempel om bibliotekslagen finns det därmed, enligt utred- ningens uppfattning, en så stark koppling mellan antagning och upp- giften att anordna och bedriva högskoleutbildning att nödvändig personuppgiftsbehandling i samband med antagning måste kunna ske med stöd av artikel 6.1 e.

Enligt utredningens uppfattning är antagning således att betrakta som ett ändamål som är nödvändigt för att utföra uppgiften att an- ordna och bedriva högskoleutbildning. På motsvarande sätt bör det förhålla sig med t.ex. studieadministration, tillgodoräknande av tidi- gare utbildning och verksamhet, disciplinära åtgärder och avskiljande.

När det är tveksamt om den verksamhet som en privaträttslig aktör bedriver är av allmänt intresse i unionsrättslig mening är det, enligt Dataskyddsutredningens bedömning, i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseav- vägning i enlighet med artikel 6.1 f (se avsnitt 5.3.5) eller att inhämta den registrerades samtycke (SOU 2017:39, avsnitt 8.3.4).

Av artikel 5.2 i dataskyddsförordningen följer att det är den per- sonuppgiftsansvarige, dvs. den enskilde utbildningsanordnaren, som ska ansvara för och kunna visa att behandlingen är laglig, dvs. att det finns en rättslig grund som kan tillämpas på behandlingen. Det an- kommer således på lärosätet att bedöma om behandlingen är nöd- vändig för att utföra en uppgift som har sin grund i relevanta beslut och författningar. Om behandlingen saknar koppling till uppgifter och åligganden som har sin grund i för lärosätena relevanta författ-

209

Universitets- och högskolesektorn

SOU 2017:49

ningar och beslut, kan den inte anses nödvändig för att utföra upp- giften att anordna och bedriva högskoleutbildning. Lärosätena måste då i egenskap av personuppgiftsansvariga avgöra om artikel 6.1 e av annat skäl kan vara tillämplig, eller om någon annan av de rättsliga grunderna i artikel 6.1 kan tillämpas på den avsedda behandlingen, t.ex. artikel 6.1 f.

Ändamålet med behandlingen måste vara nödvändigt

Det bör betonas att rättslig grund inte är en tillräcklig förutsättning för att behandling av personuppgifter ska vara tillåten. I artikel 5.1 i dataskyddsförordningen anges bl.a. att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål (led b). Principen om att ändamålen ska vara berättigade ut- gör i likhet med principen om laglighet en direkt koppling till de rättsliga grunderna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte för- enligt med artikel 5.

Kopplingen mellan den rättsliga grunden i artikel 6.1 e och kravet på särskilda, uttryckligt angivna och berättigade ändamål förstärks genom artikel 6.3 andra stycket. Där anges att syftet med behand- lingen i fråga om behandling enligt artikel 6.1 e, dvs. bl.a. uppgift av allmänt intresse, ska vara nödvändigt för att utföra uppgiften.

Enligt Dataskyddsutredningen ställer förordningen inte något krav på att ändamålen ska vara fastställda i författning. Dataskydds- utredningen anser följaktligen att ändamålet med behandlingen inte behöver framgå av det sammanhang där uppgiften av allmänt intresse fastställs. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. Bestämmelsen i artikel 6.3 andra stycket uttrycker således det samband som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de särskilda ändamålen för behandlingen, vilket i normalfallet är den personuppgiftsansvarige (SOU 2017:39, avsnitt 8.3.4).

I föregående avsnitt, i fråga om det för enskilda utbildnings- anordnare finns en i svensk rätt fastställd uppgift av allmänt intresse, gavs några exempel på behandlingar av personuppgifter som enligt

210

SOU 2017:49

Universitets- och högskolesektorn

utredningens uppfattning är nödvändiga för ändamål som i sin tur är nödvändiga för att utföra uppgiften att anordna och bedriva hög- skoleutbildning. Ytterligare exempel är följande.

Så långt det kan ske med hänsyn till kvalitetskravet i 1 kap. 4 § första stycket högskolelagen ska statliga högskolor som studenter ta emot de sökande som uppfyller behörighetskraven för studierna (4 kap. 1 § högskolelagen). Vid urval till tillträde till utbildning på grundnivå och avancerad nivå ska hänsyn tas till de sökandes meriter. Urvalsgrunder är bl.a. betyg och resultat från högskoleprovet (7 kap. 12 § högskoleförordningen). Mot bakgrund av nämnda bestämmel- ser måste det kunna anses nödvändigt, i unionsrättslig mening, för lärosätena att samla in och behandla personuppgifter i syfte att rang- ordna sökandena. Detta ändamål är därmed nödvändigt för att utföra uppgiften att anordna och bedriva högskoleutbildning.

Av 7 kap. 20 § högskoleförordningen framgår att de högskolor som ska använda högskoleprovet som urvalsgrund vid antagning av studenter också ska genomföra provet. Det måste därför kunna anses nödvändigt för lärosätena att samla in personuppgifter från de som vill skriva provet, i syfte att hålla reda på vilka och hur många dessa är. Detta ändamål är därmed nödvändigt för att genomföra högskoleprovet, vilket i sin tur uppenbarligen är en i svensk rätt fastställd uppgift av allmänt intresse.

Som framgått ovan bestäms, för statliga högskolors del, det när- mare innehållet i en kurs, undervisningsformerna och examinations- formen av kursplanen. Av kursplanen kan framgå att det finns obligatoriska moment, t.ex. grupparbeten och självständiga arbeten, som studenten behöver delta i och göra för att få godkänt på kursen. Enligt 6 kap. 18 § högskoleförordningen ska betyg sättas på en genomgången kurs. För att nämnda obligatoriska moment ska kunna bedömas och betyg sättas krävs personuppgiftsbehandling i syfte att kontrollera att obligatoriska moment genomförts samt för att mäta eller värdera studentens prestation och kunskapsnivå. För statliga högskolors del krävs sådan behandling också i syfte att fullgöra dokumentationsskyldigheten enligt förordningen om redovisning av studier m.m. vid universitet och högskolor. Av 2 kap. 3 § framgår att det i ett studieregister för varje student ska dokumenteras uppgifter om bl.a. deltagande i utbildning och prov, studieresultat, betyg och examen. Att behandla personuppgifter för ovan nämnda ändamål är

211

Universitets- och högskolesektorn

SOU 2017:49

därmed nödvändigt för att utföra uppgiften att anordna och bedriva högskoleutbildning.

Vidare ska en student som fått en kurs godkänd eller som upp- fyller fordringarna för en examen få ett kursbevis respektive ett exa- mensbevis (6 kap. 9 och 20 §§ högskoleförordningen). Det måste då kunna anses nödvändigt att behandla personuppgifter i syfte att undersöka om studenten uppfyller villkoren för respektive bevis. Detta ändamål är därmed nödvändigt för att uppfylla åliggandet att utfärda det aktuella beviset och för att utföra uppgiften att bedriva högskoleutbildning. Även här behöver behandling också ske i syfte att fullgöra dokumentationsskyldigheten enligt 2 kap. 3 § förord- ningen om redovisning av studier m.m. vid universitet och högskolor.

Utöver ovan nämnda exempel finns det förstås många fler be- handlingar som är nödvändiga för ändamål som i sin tur är nödvän- diga för att högskolorna ska kunna utföra de uppgifter och uppfylla de åligganden som ryms inom ramen för uppgiften av allmänt intres- se, dvs. att anordna och bedriva högskoleutbildning. En uttömmande uppräkning är av naturliga skäl inte möjlig att presentera.

Avslutningsvis är det viktigt att betona att det är den personupp- giftsansvarige som ska ansvara för och kunna visa att uppgifter behandlas för berättigade och nödvändiga ändamål (artikel 5.2 i data- skyddsförordningen).

5.3.3Myndighetsutövning

Bedömning: Statliga högskolor vidtar vissa åtgärder med stöd av högskolelagen och anslutande föreskrifter som innefattar myn- dighetsutövning gentemot en student, t.ex. vid beslut om antag- ning, tillgodoräknande av utbildning eller yrkesverksamhet, exa- mination och disciplinära åtgärder. Det är i dessa situationer möjligt för högskolorna att tillämpa den rättsliga grunden i andra ledet i artikel 6.1 e i dataskyddsförordningen för sådan behand- ling som är nödvändig som ett led i myndighetsutövningen. Något behov av ytterligare reglering föreligger inte.

För enskilda utbildningsanordnare saknas det i de allra flesta fall en offentligrättslig reglering för nämnda uppgifter. Deras möjligheter att tillämpa andra ledet i artikel 6.1 e för sin person- uppgiftsbehandling är därmed mycket begränsade.

212

SOU 2017:49

Universitets- och högskolesektorn

För uppgifter som är att betrakta som myndighetsutövning kan dock såväl statliga högskolor som enskilda utbildnings- anordnare för nödvändig personuppgiftsbehandling tillämpa den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av all- mänt intresse. Något behov av ytterligare reglering föreligger där- för inte med anledning av enskilda utbildningsanordnares begrän- sade möjligheter att tillämpa andra ledet i artikel 6.1 e.

Enligt andra ledet i artikel 6.1 e i dataskyddsförordningen får person- uppgifter behandlas om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Av artikel 6.3 första stycket framgår att rätten att utöva myndighet ska vara fastställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Dataskyddsutredningen föreslår en bestämmelse i 2 kap. 4 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskydds- förordningen om behandlingen är nödvändig som ett led i den per- sonuppgiftsansvariges myndighetsutövning enligt lag eller annan författning. Enligt artikel 6.3 andra stycket ska syftet med behand- lingen vara nödvändigt som ett led i den personuppgiftsansvariges myndighetsutövning. Ändamålet behöver således inte framgå av det sammanhang där den myndighetsutövande befogenheten fastställs. Ändamålet med behandlingen måste dock vara nödvändigt som ett led i myndighetsutövningen. För tillämpningen av den rättsliga grun- den myndighetsutövning gäller således motsvarande krav som för den rättsliga grunden uppgift av allmänt intresse.

Begreppet myndighetsutövning har en unionsrättslig innebörd. Enligt Dataskyddsutredningen bör man till dess annat framkommer kunna utgå från att det som i Sverige brukar anses som myndighets- utövning faller in under begreppet. Myndighetsutövning karaktäri- seras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befo- genheten till myndighetsutövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyn- diganden från de högsta statsorganen. Utanför begreppet myndig- hetsutövning faller råd, upplysningar och faktiskt handlande som inte innebär tvång mot den enskilde (SOU 2017:39, avsnitt 8.3.3).

Enligt 6 kap. 18 § högskoleförordningen ska betyg sättas på en genomgången kurs, om inte högskolan föreskriver något annat.

213

Universitets- och högskolesektorn

SOU 2017:49

Betyget ska beslutas av en av högskolan särskilt utsedd lärare (exami- nator). En student som har fått en kurs godkänd ska på begäran få kursbevis av högskolan. En student som uppfyller fordringarna för en examen ska på begäran få examensbevis av högskolan (6 kap. 9 och 20 §§ högskoleförordningen). En högskolas beslut att avslå en students begäran att få examensbevis eller kursbevis är överklagbart (12 kap. 2 § 6 högskoleförordningen). Betygsättning och examina- tion är således exempel på statliga högskolors myndighetsutövning som fastställts i svensk rätt. Även beslut om antagning, tillgodo- räknande av utbildning eller yrkesverksamhet samt disciplinpåföljd är för statliga högskolors del myndighetsutövning som är fastställd i svensk rätt. Sådana beslut får överklagas enligt bestämmelserna i 12 kap. 2 § 2 och 3 samt 3 § högskoleförordningen. Statliga högsko- lor kan i dessa fall därmed använda sig av andra ledet i artikel 6.1 e i dataskyddsförordningen som rättslig grund för nödvändig person- uppgiftsbehandling.

Genom regeringens beslut att lämna tillstånd att utfärda examina ingår av naturliga skäl beslut om t.ex. antagning, examination och disciplinära åtgärder också i enskilda utbildningsanordnares verk- samhet. Det finns således inslag som är att likna vid myndighets- utövning även i deras verksamhet.

Av 12 kap. 4 § andra stycket regeringsformen framgår att förvalt- ningsuppgifter kan överlämnas åt juridiska personer och enskilda individer. Innefattar uppgiften myndighetsutövning får ett överläm- nande dock endast göras med stöd av lag. Enligt Dataskydds- utredningens förslag till 2 kap. 4 § 2 dataskyddslagen får personupp- gifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig som ett led i myndighetsutövning enligt lag eller annan författning.

Enligt 1 kap. 17 § första stycket högskolelagen får en högskola som anges i bilaga till lagen utfärda en gemensam examen tillsam- mans med bl.a. en enskild utbildningsanordnare. Av andra stycket framgår att med gemensam examen avses examina som får utfärdas av de lärosäten som tillsammans har anordnat en utbildning som kan leda till dessa examina. Utbildningen ska ha anordnats inom ett ut- bildningssamarbete mellan sådana lärosäten som avses i första stycket. Motsvarande bestämmelse finns i 2 a § lagen om tillstånd att utfärda vissa examina. Av 1 kap. 18 § högskolelagen följer vidare att en högskola som avses i 1 kap. 17 § inom ramen för ett utbildnings-

214

SOU 2017:49

Universitets- och högskolesektorn

samarbete får besluta att i viss utsträckning överlåta förvaltnings- uppgifter i fråga om antagning till och tillgodoräknande av utbild- ning till bl.a. en enskild utbildningsanordnare. I övrigt saknas det offentligrättslig reglering avseende enskilda utbildningsanordnares rätt till myndighetsutövning.

Utöver examinationsrätten, som regeringen kan lämna tillstånd till med stöd av 6 § lagen om tillstånd att utfärda vissa examina, är sådana inslag i enskilda utbildningsanordnares verksamhet som är att likna vid myndighetsutövning således i ytterst liten omfattning offentligrättsligt reglerad. Enskilda utbildningsanordnares möjlig- heter att tillämpa andra ledet i artikel 6.1 e, dvs. myndighetsutöv- ning, är därmed mycket mindre än de är för statliga högskolor.

Att enskilda utbildningsanordnare har begränsade möjligheter att tillämpa andra ledet i artikel 6.1 e är dock inget problem. I fråga om t.ex. antagning, tillgodoräknande och disciplinära åtgärder, som sak- nar offentligrättslig reglering, kan enskilda utbildningsanordnare för nödvändig personuppgiftsbehandling, enligt utredningens bedöm- ning, i stället tillämpa första ledet i artikel 6.1 e, dvs. uppgift av all- mänt intresse. Även statliga högskolor kan förstås tillämpa den rätts- liga grunden uppgift av allmänt intresse i sådana frågor som för deras del utgör offentligrättsligt reglerad myndighetsutövning.

Avslutningsvis bör det betonas att det enligt artikel 5.2 i data- skyddsförordningen är den personuppgiftsansvarige som ska ansvara för och kunna visa bl.a. att behandlingen är laglig och att ändamålet är berättigat och nödvändigt.

5.3.4Rättslig förpliktelse

Bedömning: För statliga högskolor finns det i svensk rätt fast- ställda rättsliga förpliktelser som åvilar högskolorna och som gör det nödvändigt att behandla personuppgifter. Även för vissa en- skilda utbildningsanordnare kan det finnas sådana fastställda rättsliga förpliktelser. Den rättsliga grunden i artikel 6.1 c i data- skyddsförordningen kan då tillämpas. Något behov av ytterligare reglering finns inte.

I dessa fall kan även den rättsliga grunden i första ledet i arti- kel 6.1 e, dvs. uppgift av allmänt intresse, vara tillämplig.

215

Universitets- och högskolesektorn

SOU 2017:49

Enligt artikel 6.1 c i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Av artikel 6.3 första stycket framgår att den rättsliga förpliktelsen ska vara fast- ställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Dataskyddsutredningen gör bedömningen att förpliktelsen inte nödvändigtvis måste framgå av en författning eller liknande. Rätts- liga förpliktelser kan också framgå av exempelvis förelägganden, myndighetsbeslut och domar som har meddelats med stöd av gäl- lande rätt. Dataskyddsutredningen har därför föreslagit en bestäm- melse i 2 kap. 3 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som bl.a. gäller enligt lag eller annan författning eller som följer av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.2). Inom aktuellt område skulle rättsliga förpliktelser därmed kunna föras in i regeringens beslut genom vilket tillstånd att utfärda exa- mina lämnas.

Enligt artikel 6.3 andra stycket första meningen i dataskydds- förordningen ska syftet med behandlingen fastställas i den rättsliga grunden. Syftet med behandlingen ska alltså vara bestämd av den författning, beslut m.m. som anger eller ger stöd för förpliktelsen.

Dataskyddsutredningen anser att en förpliktelse som är alltför svepande och ger den personuppgiftsansvarige en alltför stor hand- lingsfrihet i fråga om hur den ska uppfyllas, inte utgör en rättslig grund för behandling av personuppgifter (SOU 2017:39, av- snitt 8.3.2). Den rättsliga förpliktelsen måste således i sig vara till- räckligt tydlig när det gäller den behandling av personuppgifter som krävs.

Ett exempel på en svepande rättslig förpliktelse finns enligt utred- ningens mening i 4 kap. 1 § högskolelagen. I lagrummet anges att så långt det kan ske med hänsyn till kvalitetskravet i 1 kap. 4 § första stycket ska högskolorna som studenter ta emot de sökande som upp- fyller behörighetskraven för studierna. Stadgandet måste anses utgöra en rättslig förpliktelse men det är oklart vilken personuppgifts- behandling som är nödvändig för att fullgöra den. Det är därmed inte

216

SOU 2017:49

Universitets- och högskolesektorn

fråga om en sådan rättslig förpliktelse som enligt dataskyddsförord- ningen kan läggas till grund för personuppgiftsbehandling.

Ett exempel på en rättslig förpliktelse som enligt utredningens bedömning är tillräckligt tydlig för att ligga till grund för nödvändig personuppgiftsbehandling finns i 6 kap. 20 § första stycket högskole- förordningen. I nämnda bestämmelse anges att en student som har fått en kurs godkänd ska på begäran få kursbevis av högskolan. Ett annat, liknande exempel finns i 6 kap. 9 § högskoleförordningen. I bestämmelsen anges att en student som uppfyller fordringarna för en examen ska på begäran få examensbevis av högskolan. Båda dessa exempel förutsätter att i vart fall namn och personnummer behand- las för att kurs- och examensbeviset ska kunna utfärdas.

Det tydligaste exemplet på en rättslig förpliktelse finns annars i förordningen om redovisning av studier m.m. vid universitet och högskolor. Enligt 2 kap. 1 § ska varje högskola dokumentera upp- gifter om studenter och föra ett studieregister där vissa uppgifter enligt 3 och 5 §§ ska dokumenteras.

Vidare anser Datainspektionen att skyldigheterna för myndig- heter enligt offentlighetsprincipen är en sådan rättslig skyldighet som avses i den bestämmelse i personuppgiftslagen som motsvarar artikel 6.1 c i dataskyddsförordningen, dvs. 10 § b PUL.4 För att fullgöra de rättsliga skyldigheter som följer av offentlighetsprincipen skulle därmed såväl statliga högskolor som enskilda utbildnings- anordnare kunna tillämpa artikel 6.1 c för nödvändig personupp- giftsbehandling. Genom bestämmelserna i 2 kap. 4 § OSL och lagens bilaga omfattas, som nämnts ovan i avsnitt 5.3.2, nämligen även vissa enskilda utbildningsanordnare av offentlighetsprincipen, bl.a. Chalmers tekniska högskola aktiebolag.

Personuppgiftsbehandlingen inom universitets- och högskolesek- torns utbildningsverksamhet bör till största delen dock kunna ske med stöd av första ledet i artikel 6.1 e, dvs. uppgift av allmänt intres- se, eftersom den i stor utsträckning grundas på offentligrättsliga regler. Det torde därför vara i undantagsfall som artikel 6.1 c behöver tillämpas av lärosätena. Även i ovan nämnda situationer kan enligt utredningens mening artikel 6.1 e tillämpas för nödvändig person- uppgiftsbehandling.

4 Datainspektionens rapport Övervakning i arbetslivet, Kontroll av de anställdas Internet- och e-postanvändning m.m. s. 15.

217

Universitets- och högskolesektorn

SOU 2017:49

5.3.5Intresseavvägning

Bedömning: Enskilda utbildningsanordnare kan för sin person- uppgiftsbehandling använda sig av den rättsliga grunden i arti- kel 6.1 f i dataskyddsförordningen, dvs. för sådan behandling som är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registre- rades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.

Nämnda rättsliga grund skulle kunna vara tillämplig när det är tveksamt om den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, är tillämplig. Eftersom det för en- skilda utbildningsanordnare finns en i svensk rätt fastställd upp- gift av allmänt intresse att anordna och bedriva högskoleutbild- ning är det endast i undantagsfall som den rättsliga grunden i arti- kel 6.1 f behöver tillämpas.

Enligt artikel 6.1 f i dataskyddsförordningen är behandling laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (intresseavvägning).

Av artikel 6.1 andra stycket framgår att denna grund inte gäller för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom statliga högskolor är myndigheter som fullgör sina uppgifter när de anordnar och bedriver utbildning enligt högskolelagen med anslutande föreskrifter, är det endast enskilda utbildningsanordnare som kan tillämpa denna grund till stöd för sin personuppgiftsbehandling.

Enligt Dataskyddsutredningen är det, vid tveksamhet om den privaträttsliga aktören kan tillämpa den rättsliga grunden uppgift av allmänt intresse, i stället ofta möjligt att grunda nödvändig behand- ling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen (SOU 2017:39, avsnitt 8.3.4).

Enligt ovan är det utredningens bedömning att anordnande och bedrivande av högskoleutbildning är en i svensk rätt fastställd upp- gift av allmänt intresse, både med staten och med en enskild fysisk eller juridisk person som huvudman. Dataskyddsutredningen bedö- mer att det inte spelar någon roll om verksamheten utförs på direkt

218

SOU 2017:49

Universitets- och högskolesektorn

uppdrag av en myndighet eller på eget initiativ, om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten. Enligt Dataskyddsutredningen finns då en rättslig grund för nödvändig behandling enligt artikel 6.1 e (SOU 2017:39, av- snitt 8.3.4). Enligt utredningens uppfattning bör den rättsliga grun- den i artikel 6.1 f därmed sällan bli aktuell att tillämpa av enskilda utbildningsanordnare i sådan verksamhet som omfattas av tillståndet att utfärda examina.

5.3.6Samtycke

Bedömning: Enskilda utbildningsanordnare och statliga högsko- lor kan i viss utsträckning använda sig av samtycke som rättslig grund för sin personuppgiftsbehandling.

Enligt artikel 6.1 a i dataskyddsförordningen är behandling laglig om den registrerade har lämnat sitt samtycke till att dennes personupp- gifter behandlas för ett eller flera specifika ändamål.

Med samtycke avses enligt artikel 4.11 varje slag av frivillig, speci- fik, informerad och otvetydig viljeyttring, genom vilken den registre- rade, antingen genom ett uttalande eller genom en entydig bekräf- tande handling, godtar behandling av personuppgifter som rör honom eller henne.

Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Det kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (se skäl 32 till förordningen).

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör enligt skäl 42 tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifter- na är avsedda. Ett samtycke bör inte betraktas som frivilligt om den

219

Universitets- och högskolesektorn

SOU 2017:49

registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

Enligt skäl 43 till dataskyddsförordningen bör samtycke inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registre- rade och den personuppgiftsansvarige, särskilt om den personupp- giftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.

Någon sådan skrivning finns inte i skälen till dataskyddsdirekti- vet, men mot bakgrund av att definitionen av samtycke i princip är densamma och de uttalanden som gjorts av bl.a. Artikel 29-gruppen får detta anses gälla enligt befintligt regelverk. Artikel 29-gruppen har yttrat att samtycke i undantagsfall kan vara en giltig grund för stater när de behandlar personuppgifter. Det bör göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig förpliktelse eller utförandet av en arbets- uppgift av allmänt intresse snarare än samtycke.5

Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offent- ligrättsligt reglerade. Om behandlingen grundar sig på samtycke ska den personuppgiftsansvarige, enligt artikel 7.1, kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter. Ett exempel på när såväl en statlig högskola som en enskild utbildnings- anordnare kan använda samtycke som rättslig grund är, enligt utred- ningens bedömning, vid registrering av tidigare studenter i alumn- databaser (se avsnitt 5.2), eftersom det är fråga om en tjänst som är helt frivillig, utan direkt koppling till den lagstadgade rätten att stu- dera för den som uppfyller behörighetskraven.

5 Yttrande 15/2011 om definitionen av begreppet samtycke artikel 29-gruppen s. 16–17.

220

SOU 2017:49

Universitets- och högskolesektorn

5.3.7Sammanfattning

Artikel 5 i dataskyddsförordningen innehåller bestämmelser om prin- ciperna för behandling av personuppgifter. Enligt 5.1 a ska person- uppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållan- de till den registrerade. I artikel 6.1 anges att behandling av person- uppgifter är laglig endast om och i den mån som åtminstone ett av de i bestämmelsen angivna villkoren är uppfyllt.

Utredningen har i de föregående avsnitten kommit fram till att statliga högskolor och enskilda utbildningsanordnare kan tillämpa flera olika rättsliga grunder i artikel 6.1 i dataskyddsförordningen till stöd för sin personuppgiftsbehandling. I vissa situationer kan dess- utom flera rättsliga grunder vara tillämpliga samtidigt var för sig.

De rättsliga grunder som kan vara tillämpliga är samtycke (a), rättslig förpliktelse (c) eller uppgift av allmänt intresse eller myndig- hetsutövning (e). Statliga högskolors möjligheter att tillämpa de rättsliga grunderna rättslig förpliktelse och myndighetsutövning är större än för de enskilda utbildningsanordnarna. Enskilda utbild- ningsanordnare kan dock tillämpa den rättsliga grunden intresseav- vägning (f), vilket inte är möjligt för statliga högskolor när de fullgör sina uppgifter enligt högskolelagen och anslutande föreskrifter. Den rättsliga grund som främst blir aktuell för såväl statliga högskolor som enskilda utbildningsanordnare att tillämpa är dock första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, eftersom uppgiften att anordna och bedriva högskoleutbildning är en i svensk rätt fastställd uppgift av allmänt intresse, både med staten eller med en enskild fysisk eller juridisk person som huvudman.

När dataskyddsförordningen ska börja tillämpas kan en ändamåls- enlig och nödvändig personuppgiftsbehandling, som samtidigt skyd- dar den enskildes fri- och rättigheter, för lärosätenas del därmed ske med stöd av bestämmelserna i artikel 6 i dataskyddsförordningen. Något ytterligare regleringsbehov aktualiseras följaktligen inte för att lärosätena ska kunna tillämpa ovan nämnda rättsliga grunder.

221

Universitets- och högskolesektorn

SOU 2017:49

5.4Känsliga personuppgifter

och uppgifter som rör lagöverträdelser

5.4.1Utredningens uppdrag i denna del

I kommittédirektiven konstateras att det inom utbildningsområdet i vissa fall är nödvändigt att behandla känsliga personuppgifter. Upp- draget i denna del är därför att analysera om det, utöver dataskydds- förordningen och den generella reglering som Dataskyddsutred- ningen föreslår, finns ett behov av kompletterande regleringar för behandling av känsliga personuppgifter inom universitets- och hög- skolesektorn samt att lämna de författningsförslag som behövs.

Utredningen har inte fått något specifikt uppdrag om behandling av personuppgifter som rör lagöverträdelser. Eftersom utredningen ska föreslå kompletterande regleringar som ska möjliggöra en ända- målsenlig behandling som samtidigt skyddar den enskildes fri- och rättigheter, ingår det dock i uppdraget att också analysera behovet av reglering i denna del.

Enligt artikel 10 i dataskyddsförordningen får behandling av pers- onuppgifter som rör bl.a. fällande domar i brottmål endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Det finns således ett förbud för enskilda att behandla uppgifter som rör fällande domar i brottmål, om inte behandlingen kan anses stå under en myndighets kontroll eller den nationella rätten medger sådan behandling.

Även om uppgifter som rör fällande domar i brottmål inte är en känslig uppgift, torde behandling av sådana uppgifter allmänt kunna anses som integritetskänslig. Utredningen anser därför att denna fråga lämpligen behandlas i samma avsnitt som behandling av käns- liga personuppgifter.

5.4.2Behov av att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål

Statliga högskolor och enskilda utbildningsanordnare kan behöva behandla känsliga personuppgifter i ett flertal olika sammanhang. Det är inte möjligt att ge en uttömmande beskrivning av samtliga

222

SOU 2017:49

Universitets- och högskolesektorn

sådana behandlingar. Nedan lämnas därför en redogörelse för de be- handlingar av känsliga personuppgifter som i huvudsak förekommer hos lärosätena. Även behovet av behandling av personuppgifter som rör fällande domar i brottmål redogörs för nedan.

Högskoleprovet

För alla högskolor i Sverige ska det finnas ett gemensamt högskole- prov (7 kap. 20 § högskoleförordningen). Provdeltagare som styrker lässvårigheter och provdeltagare med diagnosen specifik lässvårighet eller blandad inlärningsstörning har rätt till förlängd skrivtid. Prov- deltagare med dokumenterad svag synskada har rätt till förlängd skrivtid och uppförstorat prov i formatet A3. Provdeltagare med dokumenterad grav synskada har rätt att skriva ett speciellt fram- taget prov i punktskrift och Daisy-format och att ta med sig anteck- ningshjälp. Provdeltagare som behöver ta del av anpassning ska styr- ka behovet med utlåtande eller intyg i samband med anmälan. Utlåtandet eller intyget ska ges in till lärosätet som ska genomföra provet eller till UHR, i de fall det är UHR som ska genomföra provet. Högskolan eller UHR meddelar beslut om anpassning (4– 8 §§ Universitets- och högskolerådets föreskrifter [UHRFS 2015:3] om högskoleprovet).

För nämnda provdeltagare behandlas därmed uppgifter om hälsa, dvs. känsliga personuppgifter. Högskoleförordningen, där det anges att det ska finnas ett gemensamt högskoleprov, gäller för statliga högskolor. Även enskilda utbildningsanordnare kan dock genomföra högskoleprov, vilket Stiftelsen högskolan i Jönköping gör.

Studenter med funktionsnedsättning

Enligt 1 § förordningen (2001:526) om de statliga myndigheternas ansvar för genomförande av funktionshinderspolitiken ska myndig- heter under regeringen utforma och bedriva sin verksamhet med beaktande av de funktionshinderspolitiska målen. Myndigheterna ska verka för att personer med funktionsnedsättning ges full delak- tighet i samhällslivet och jämlikhet i levnadsvillkor. Myndigheterna ska särskilt verka för att deras lokaler, verksamhet och information är tillgängliga för personer med funktionsnedsättning.

223

Universitets- och högskolesektorn

SOU 2017:49

Enligt 2 kap. 5 § diskrimineringslagen (2008:567) får den som be- driver verksamhet som avses i skollagen eller annan utbildningsverk- samhet inte diskriminera något barn eller någon elev, student eller studerande som deltar i eller söker till verksamheten.

Annan utbildningsverksamhet syftar på flera olika former av utbildning, bl.a. högskoleutbildning enligt högskolelagen och utbild- ning som kan leda fram till en examen som en enskild utbildnings- anordnare får utfärda enligt lagen om tillstånd att utfärda vissa exa- mina (prop. 2013/14:198 s. 76 f.).

Med diskriminering avses enligt 1 kap. 4 § bl.a. bristande tillgäng- lighet. Med bristande tillgänglighet avses att en person med en funk- tionsnedsättning missgynnas genom att sådana åtgärder för tillgäng- lighet inte har vidtagits för att den personen ska komma i en jäm- förbar situation med personer utan denna funktionsnedsättning som är skäliga utifrån krav på tillgänglighet i lag och annan författning och med hänsyn till de ekonomiska och praktiska förutsättningarna, varaktigheten och omfattningen av förhållandet eller kontakten mel- lan verksamhetsutövaren och den enskilde, samt andra omständig- heter av betydelse.

Förbudet mot diskriminering innebär att även åtgärder i fråga om annat än den fysiska miljön kan krävas. Sådana åtgärder bör kunna handla om stöd eller personlig service samt om information och kommunikation (prop. 2013/14:198 s. 78 f.).

I högskolelagen och högskoleförordningen finns bestämmelser som för statliga högskolors del kompletterar diskrimineringslagen i ovan nämnda delar.

Statliga högskolor ska, så långt det är möjligt, som studenter ta emot de sökande som uppfyller behörighetskraven för studierna. Kan inte alla behöriga sökande till en utbildning tas emot ska ett ur- val göras bland de sökande (4 kap. 1 och 3 §§ högskolelagen). Stat- liga högskolor kan i enstaka fall göra avsteg från de urvalsgrunder som enligt bestämmelserna i 7 kap. högskoleförordningen ska tilläm- pas. Detta framgår av 7 kap. 16, 27 och 32 §§ högskoleförordningen. Göteborgs universitet har en antagningsordning som anger att medi- cinska skäl och permanent eller mycket långvarig funktionsnedsätt- ning kan vara skäl för avsteg under vissa förutsättningar. Stiftelsen högskolan i Jönköping, som är en enskild utbildningsanordnare, har en antagningsordning av vilken det framgår att lärosätet tillämpar en urvalsgrund där en dokumenterad funktionsnedsättning under vissa

224

SOU 2017:49

Universitets- och högskolesektorn

förutsättningar kan beaktas. Såväl statliga högskolor som enskilda ut- bildningsanordnare kan därmed behöva behandla känsliga person- uppgifter i antagningsförfarandet.

Mot bakgrund av ovan angivna bestämmelser i diskriminerings- lagen, som gäller för såväl statliga högskolor som enskilda utbild- ningsanordnare, har studenter med en varaktig funktionsnedsättning vidare möjligheten att ansöka om särskilt pedagogiskt stöd. Exempel på sådant stöd kan vara anteckningsstöd, extra handledning, tecken- språkstolkning och anpassade examinationer. I samband med ansök- ningar om särskilt pedagogiskt stöd och när beslutade stödåtgärder ska verkställas behandlas således också känsliga personuppgifter.

För handläggningen av ansökningar använder vissa lärosäten, både statliga högskolor och enskilda utbildningsanordnare, ett natio- nellt administrations- och informationssystem för samordnare, Nais. Systemet tillhandahålls av UHR men det är respektive lärosäte som är personuppgiftsansvarig. Studenten ska ange namn och kontakt- uppgifter i form av telefonnummer och e-postadress. Därutöver ska studenten ladda upp läkarintyg eller annat professionellt utlåtande som intygar den varaktiga funktionsnedsättningen. Studenten ska även beskriva hur funktionsnedsättningen påverkar studierna. Innan några uppgifter lämnas ska studenten läsa igenom en text om per- sonuppgiftsbehandling och lämna sitt samtycke.

Enligt 2 § andra stycket förordningen (2011:1163) om statsbidrag för särskilt utbildningsstöd får statsbidrag lämnas till universitet och högskolor för kostnader för särskilt utbildningsstöd som erbjuds studerande med svåra rörelsehinder eller psykiska och neuropsykiat- riska funktionsnedsättningar. Av 5 § första stycket framgår att det är Specialpedagogiska skolmyndigheten som prövar frågor om bi- draget. Enligt 6 § är den som har tagit emot statsbidrag skyldig att lämna sådan ekonomisk och annan redovisning till Specialpeda- gogiska skolmyndigheten som myndigheten begär. Av Specialpeda- gogiska skolmyndighetens förteckning över vilka lärosäten som fått statsbidrag under 2016 framgår att ett antal statliga högskolor och Chalmers tekniska högskola, som är en enskild utbildnings- anordnare, fått sådant bidrag. Såväl statliga högskolor som enskilda utbildningsanordnare kan därmed behöva behandla känsliga person- uppgifter i samband med en ansökan om statsbidrag för särskilt ut- bildningsstöd.

225

Universitets- och högskolesektorn

SOU 2017:49

Disciplinära åtgärder och avskiljande

Statliga högskolor

I 2 kap. 7 § diskrimineringslagen anges att om en utbildningsanord- nare får kännedom om att bl.a. en student som deltar i eller söker till utbildningsanordnarens verksamhet anser sig i samband med verk- samheten ha blivit utsatt för trakasserier eller sexuella trakasserier, är utbildningsanordnaren skyldig att utreda omständigheterna kring de uppgivna trakasserierna och i förekommande fall vidta de åtgärder som skäligen kan krävas för att förhindra trakasserier i framtiden. Med utbildningsanordnare avses bl.a. statliga högskolor (prop. 2007/08:95 s. 506 och 509 samt prop. 2013/14:198 s. 76 f.).

Av 1 kap. 4 § diskrimineringslagen framgår att med trakasserier avses ett uppträdande som kränker någons värdighet och som har samband med någon av diskrimineringsgrunderna kön, könsöver- skridande identitet eller uttryck, etnisk tillhörighet, religion eller annan trosuppfattning, funktionsnedsättning, sexuell läggning eller ålder. Av samma lagrum framgår att med sexuella trakasserier avses ett uppträdande av sexuell natur som kränker någons värdighet.

Vidare får, enligt 10 kap. 1 § första stycket och 2 § högskole- förordningen, disciplinära åtgärder i form av varning och avstängning vidtas mot studenter som

1.med otillåtna hjälpmedel eller på annat sätt försöker vilseleda vid prov eller när en studieprestation annars ska bedömas,

2.stör eller hindrar undervisning, prov eller annan verksamhet inom ramen för utbildningen vid högskolan,

3.stör verksamheten vid högskolans bibliotek eller annan särskild inrättning inom högskolan, eller

4.utsätter en annan student eller en arbetstagare vid högskolan för sådana trakasserier eller sexuella trakasserier som avses i 1 kap. 4 § diskrimineringslagen.

Enligt 10 kap. 9 § ska grundad misstanke om sådan förseelse som anges ovan skyndsamt anmälas till rektor. Rektor ska låta utreda ärendet och ge studenten tillfälle att yttra sig över anmälningen. Rek- tor ska därefter, i förekommande fall efter samråd med en lagfaren ledamot, avgöra om omständigheterna är sådana att ärendet ska läm-

226

SOU 2017:49

Universitets- och högskolesektorn

nas utan vidare åtgärd, föranleda varning av rektor, eller hänskjutas till en disciplinnämnd för prövning.

Nu angivna bestämmelser i 10 kap. högskoleförordningen om disciplinära åtgärder gäller även för Sveriges lantbruksuniversitet och Försvarshögskolan (se 5 kap. 4 § förordningen för Sveriges lantbruks- universitet och 4 kap. 7 § förordningen för Försvarshögskolan).

I utredningar och ärenden om disciplinära åtgärder kan statliga högskolor således behöva behandla känsliga personuppgifter, i vart fall i ärenden med anledning av trakasserier eller sexuella trakasserier. I fråga om trakasserier och sexuella trakasserier behöver det dock inte vara fråga om ett ärende om disciplinär åtgärd mot en student. I förarbetena till 2 kap. 7 § diskrimineringslagen uttalas att någon begränsning av utbildningsanordnarens skyldighet med avseende på vem som uppträder trakasserande inte bör ställas upp. Utbildnings- anordnarens skyldighet att utreda och vidta åtgärder mot trakasserier kan exempelvis omfatta det fallet att en student trakasserar en annan student eller att en lärare eller annan anställd trakasserar en elev. Skyldigheten bör också ta sikte på konsulter och andra som utbild- ningsanordnaren anlitar i sin verksamhet (prop. 2007/08:95 s. 299).

Vidare får regeringen enligt 4 kap. 6 § högskolelagen meddela föreskrifter om att en student tills vidare ska avskiljas från utbild- ningen i fall då studenten lider av psykisk störning, missbrukar alko- hol eller narkotika eller har gjort sig skyldig till allvarlig brottslighet. Som ytterligare förutsättning för ett avskiljande gäller att det, till följd av något av sådant förhållande som angetts, bedöms föreligga en påtaglig risk att studenten kan komma att skada annan person eller värdefull egendom under utbildningen.

Regeringen har meddelat sådana föreskrifter i förordningen (2007:989) om avskiljande av studenter från högskoleutbildning. Enligt 1 § gäller förordningens bestämmelser för avskiljande av studenter från högskoleutbildning inom ett universitet eller en hög- skola som har staten som huvudman och som omfattas av högskole- lagen. Av 6 och 7 §§ framgår att frågor om avskiljande prövas av Högskolans avskiljandenämnd och inleds endast efter skriftlig anmä- lan från rektor för ett universitet eller en högskola eller den som rektor har utsett.

Enligt 3 § ska ett beslut om avskiljande alltid innebära att studen- ten tills vidare inte får fortsätta den pågående utbildningen. Ett beslut om avskiljande ska också innebära att studenten tills vidare

227

Universitets- och högskolesektorn

SOU 2017:49

inte får antas till eller fortsätta annan utbildning av samma slag, om inte avskiljandenämnden beslutar något annat. Om det anges i beslutet innebär ett beslut om avskiljande också att studenten tills vidare inte får antas till eller fortsätta någon annan högskole- utbildning.

Även i utredningar och ärenden i fråga om avskiljande kan således statliga högskolor behöva behandla känsliga personuppgifter. I såda- na fall kan personuppgifter som rör fällande domar i brottmål också behöva behandlas, eftersom en av grunderna för avskiljande är att studenten har gjort sig skyldig till allvarlig brottslighet.

Enskilda utbildningsanordnare

Skyldigheten enligt 2 kap. 7 § diskrimineringslagen att utreda upp- givna trakasserier och, i förekommande fall, vidta de åtgärder som skäligen kan krävas för att förhindra trakasserier i framtiden gäller också för enskilda utbildningsanordnare (prop. 2007/08:95 s. 506 och 509 samt prop. 2013/14:198 s. 76 f.). Även enskilda utbildnings- anordnare kan således ha behov av att behandla känsliga personupp- gifter i utredningar och ärenden om disciplinära åtgärder med anled- ning av trakasserier eller sexuella trakasserier. Som konstaterats ovan gäller skyldigheten enligt 2 kap. 7 § också fall där t.ex. en lärare trakasserar en student. Ett ärende med anledning av trakasserier eller sexuella trakasserier behöver således inte avse frågan om det ska vid- tas någon disciplinär åtgärd mot en student.

Vidare finns det inget som hindrar att enskilda utbildnings- anordnare har motsvarande regler om disciplinära åtgärder och avskiljande som den offentligrättsliga reglering som gäller för statliga högskolor. Chalmers tekniska högskola aktiebolag, Handelshögsko- lan i Stockholm och Stiftelsen högskolan i Jönköping är exempel på enskilda utbildningsanordnare som har en disciplinstadga eller ett regelverk för disciplinära åtgärder.

I dessa disciplinstadgar eller regelverk finns det bestämmelser om varning, avstängning och avskiljande eller relegering. De förseelser och omständigheter som kan ligga till grund för en disciplinär åtgärd eller avskiljande är bl.a. sådana som nämns i 10 kap. 1 § högskole- förordningen, 4 kap. 6 § högskolelagen och förordningen om avskil- jande av studenter från högskoleutbildning. Det är således fråga om

228

SOU 2017:49

Universitets- och högskolesektorn

fall där studenten t.ex. använt otillåtna hjälpmedel, stört eller hindrat undervisning, utsatt någon för trakasserier, lider av psykisk störning, missbrukar alkohol eller narkotika eller gjort sig skyldig till allvarlig brottslighet.

Även enskilda utbildningsanordnare har således behov av att kun- na behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål i utredningar och ärenden om disciplinära åtgärder och avskiljande.

Offentlighetsprincipen

Eftersom statliga högskolor är myndigheter omfattas de av offent- lighetsprincipen och bestämmelserna i tryckfrihetsförordningen och offentlighets- och sekretesslagen om rätten att ta del av allmänna handlingar. För att kunna uppfylla detta åliggande kan det förstås bli nödvändigt att behandla känsliga personuppgifter.

För enskilda utbildningsanordnares del får ett tillstånd att utfärda examina förenas med villkor om rätt för enskilda att ta del av hand- lingar hos utbildningsanordnaren. Av 2 kap. 4 § OSL och lagens bilaga framgår att denna skyldighet gäller för bl.a. Chalmers tekniska högskola aktiebolag och Stiftelsen högskolan i Jönköping. Även enskilda utbildningsanordnare kan därmed ha behov av att behandla känsliga personuppgifter i samband med att de uppfyller sina ålig- ganden enligt offentlighetsprincipen.

Hälsovård

Enligt 1 kap. 11 § högskoleförordningen ska statliga högskolor an- svara för att studenterna har tillgång till hälsovård, särskilt före- byggande hälsovård som har till ändamål att främja studenternas fysiska och psykiska hälsa. De som är verksamma inom studenthäl- san registrerar personuppgifter i form av namn, personnummer och kontaktuppgifter. Det skapas också en patientjournal där det förstås behandlas känsliga personuppgifter.

Även om högskoleförordningen gäller för statliga högskolor kan även enskilda utbildningsanordnare erbjuda studenthälsovård, vilket bl.a. Handelshögskolan i Stockholm gör. Den personuppgiftsbehand- ling som sker inom studenthälsans medicinska verksamhet omfattas

229

Universitets- och högskolesektorn

SOU 2017:49

dock och kommer även fortsättningsvis att omfattas av patient- datalagens bestämmelser. Det ingår inte i utredningens uppdrag att se över patientdatalagen utan det ingår i Socialdataskyddsutredningens uppdrag (S 2016:05, dir. 2016:52).

Sammanfattning

Statliga högskolor och enskilda utbildningsanordnare kan behöva behandla känsliga personuppgifter på ett flertal områden. Utöver vad som förekommer inom studenthälsans verksamhet, sker sådana behandlingar huvudsakligen

i samband med högskoleprovet,

i antagningsförfarandet,

vid handläggning av ansökningar om särskilt pedagogiskt stöd och när beslutade stödåtgärder ska verkställas,

i samband med ansökan om statsbidrag för kostnader för sär- skilt utbildningsstöd,

i utredningar och ärenden om trakasserier eller sexuella trakas- serier,

i utredningar och ärenden om disciplinära åtgärder och avskil- jande, och

vid uppfyllandet av de skyldigheter som följer av att omfattas av offentlighetsprincipen.

I utredningar och ärenden om avskiljande kan dessutom person- uppgifter som rör fällande domar i brottmål behöva behandlas.

5.4.3Gällande bestämmelser

I fråga om statliga högskolors skyldigheter enligt offentlighetsprin- cipen kan konstateras att enligt 8 § första stycket PUL tillämpas inte bestämmelserna i personuppgiftslagen i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförord- ningen att lämna ut personuppgifter.

230

SOU 2017:49

Universitets- och högskolesektorn

Vidare får såväl statliga högskolor som enskilda utbildningsanord- nare i dagsläget behandla känsliga personuppgifter i s.k. ostrukturerat material, förutsatt att behandlingen inte innebär en kränkning av den registrerades personliga integritet (5 a § PUL). Därutöver kan statliga högskolor, med stöd av 8 § personuppgiftsförordningen (1998:1191, PUF) behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för hand- läggningen av det. Om dessa bestämmelser inte är tillämpliga på be- handlingen av känsliga personuppgifter måste samtycke inhämtas från den registrerade enligt 15 § PUL för att känsliga personuppgif- ter ska få behandlas.

I fråga om personuppgifter som rör fällande domar i brottmål är det, enligt 21 § första stycket PUL, förbjudet för andra än myn- digheter att behandla personuppgifter om lagöverträdelser som inne- fattar bl.a. brott och domar i brottmål. Förbudet gäller således inte för statliga högskolor utan endast enskilda utbildningsanordnare. Med stöd av 5 a § PUL kan dock även enskilda utbildningsanordnare behandla sådana uppgifter i ostrukturerat material.

Vidare får, enligt 21 § tredje stycket PUL, regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om un- dantag från förbudet i 21 § första stycket. I 9 § PUF har Data- inspektionen bemyndigats att meddela föreskrifter om sådana undantag. Datainspektionen har meddelat sådana föreskrifter genom DIFS 1998:3 (Datainspektionens föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m.), som ändrats genom DIFS 2010:1. Enligt 1 § b i föreskrifterna får, utan hinder av förbudet i 21 § PUL, sådana personuppgifter behandlas om behandlingen avser uppgift i anteck- ningar som förs i fristående skolors elevvårdande verksamhet eller i motsvarande verksamhet hos enskilda anordnare av högskoleut- bildning. Även Datainspektionens föreskrifter ger således en möjlig- het för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål.

231

Universitets- och högskolesektorn

SOU 2017:49

5.4.4Dataskyddsförordningen och dataskyddslagen

Känsliga personuppgifter

Med särskilda kategorier av personuppgifter (känsliga personupp- gifter) avses enligt artikel 9.1 i dataskyddsförordningen personupp- gifter som avslöjar ras eller etniskt ursprung, politiska åsikter, reli- giös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Enligt artikel 9.1 är huvudregeln att det är förbjudet att behandla känsliga personuppgifter. Förbudet är dock förenat med en rad vik- tiga undantag. De som aktualiseras i detta sammanhang är arti- kel 9.2 a och g. Enligt 9.2 a ska förbudet i 9.1 inte tillämpas om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa uppgifter för ett eller flera specifika ändamål. Enligt 9.2 g ska förbudet i 9.1 inte tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Utifrån denna möjlighet för medlemsstaterna att skapa förutsätt- ningar för att möjliggöra behandling av känsliga personuppgifter har Dataskyddsutredningen i dataskyddslagen föreslagit tre generella undantag från förbudet att behandla känsliga personuppgifter för myndigheter (SOU 2017:39, avsnitt 10.6.2).

Det första gäller behandling av uppgifter i löpande text om upp- gifterna har lämnats i ett ärende eller är nödvändiga för handlägg- ningen av ett ärende (3 kap. 3 § 1 dataskyddslagen). Enligt Data- skyddsutredningen bör begränsningen till löpande text inte utesluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande.

Det andra undantaget gäller om uppgifterna har lämnats till myn- digheten och behandlingen krävs enligt lag (3 kap. 3 § 2 dataskydds- lagen). Bestämmelsen möjliggör behandling av känsliga personupp- gifter som är oundviklig i myndigheternas verksamhet som en direkt följd av tryckfrihetsförordningens, offentlighets- och sekretesslagens

232

SOU 2017:49

Universitets- och högskolesektorn

och förvaltningslagens (1986:223) bestämmelser om allmänna hand- lingar, diarieföring och skyldighet att ta emot e-post. Vid tillämp- ningen av nu nämnda undantag ska, enligt Dataskyddsutredningens förslag till bestämmelse i 1 kap. 5 § dataskyddslagen, andra organ än myndigheter jämställas med myndigheter i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen gäller i organets verksamhet.

Utöver detta föreslås myndigheter få behandla känsliga person- uppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt in- trång i den registrerades personliga integritet (3 kap. 3 § 3 data- skyddslagen). Syftet med paragrafen är att möjliggöra behandling av känsliga personuppgifter i enstaka fall även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte direkt krävs enligt annan lag. Så kan exempelvis vara fallet inom en myn- dighet i samband med utvärdering. Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Vid bedömning- en av om behandlingen utgör ett otillbörligt intrång ska vikt läggas vid t.ex. uppgifternas känslighet och den inställning de registrerade kan antas ha till att uppgiften behandlas.

Som skyddsåtgärd, för att säkerställa den registrerades grund- läggande rättigheter och intressen, föreslår Dataskyddsutredningen avslutningsvis, i 3 kap. 4 § dataskyddslagen, ett förbud för myndig- heter att vid behandling som sker enbart med stöd av 3 kap. 3 § använda sökbegrepp som avslöjar känsliga personuppgifter. Vid tillämpningen av bestämmelsen ska, enligt 1 kap. 5 § i den föreslagna dataskyddslagen, dock andra organ än myndigheter jämställas med myndigheter, i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sek- retesslagen gäller i organets verksamhet.

Det bör även nämnas att artikel 9.2 i dataskyddsförordningen innehåller flera bestämmelser förutom samtycke som är direkt till- lämpliga. Vidare har Dataskyddsutredningen genom förslag till bestämmelser i 3 kap. dataskyddslagen möjliggjort behandling av känsliga personuppgifter rörande bl.a. hälso- och sjukvård, arkiv och statistik.

233

Universitets- och högskolesektorn

SOU 2017:49

Personuppgifter som rör fällande domar i brottmål

Enligt artikel 10 i dataskyddsförordningen får behandling av person- uppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämp- liga skyddsåtgärder för de registrerades rättigheter och friheter fast- ställs.

Dataskyddsutredningen har lämnat förslag till bestämmelser om behandling av personuppgifter som rör lagöverträdelser i 3 kap. 9– 12 §§ dataskyddslagen.

I 9 § anges att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångs- medel får enligt artikel 10 i dataskyddsförordningen behandlas av myndigheter.

Enligt Dataskyddsutredningen är det av stor vikt att regleringen i artikel 10 i dataskyddsförordningen, även vad avser myndigheters behandling, tydliggörs så långt möjligt i nationell rätt. Dataskydds- utredningen anser att ett sådant införlivande behövs när det gäller myndigheters behandling av uppgifter om lagöverträdelser, bl.a. för att tydliggöra att myndigheter inte behöver uttryckligt stöd i före- skrifter eller särskilda beslut för att få behandla uppgifter om lag- överträdelser (SOU 2017:39, avsnitt 11.4).

Enligt 3 kap. 10 § får den myndighet som regeringen bestämmer i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §. Ytterligare ett bemyndigande finns i 12 §. Enligt nämnda bestämmelse får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana uppgifter som avses i 9 §.

I 3 kap. 11 § anges att behandling av sådana personuppgifter som avses i 9 § får ske om behandlingen är nödvändig för att den person- uppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.

I 4 och 5 §§ förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning föreslår Dataskyddsutredningen kom- pletterande bestämmelser avseende behandling av personuppgifter som rör lagöverträdelser.

234

SOU 2017:49

Universitets- och högskolesektorn

Enligt 4 § får personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångs- medel behandlas av andra än myndigheter om

1.behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall,

2.behandlingen avser enstaka uppgifter och är nödvändig för att till polisen anmäla misstanke om brott, eller

3.behandlingen avser enstaka uppgifter och är nödvändig för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.

Enligt Dataskyddsutredningens förslag till 5 § första stycket förord- ningen med kompletterande bestämmelser till EU:s dataskyddsför- ordning får Datainspektionen meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. I andra stycket anges att Datainspek- tionen även i enskilda fall får besluta om att tillåta behandling av sådana personuppgifter som avses i första stycket.

5.4.5Behov av särskild reglering

Förslag: I lagen om tillstånd att utfärda vissa examina ska det in- föras en bestämmelse som medger att enskilda utbildningsanord- nare får behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för hand- läggningen av ett ärende.

Vidare ska det införas en bestämmelse som anger att enskilda utbildningsanordnare får behandla känsliga personuppgifter, om uppgifterna har lämnats till den enskilde utbildningsanordnaren och behandlingen krävs enligt lag.

Det ska även införas en bestämmelse som medger att enskilda utbildningsanordnare får behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt in- trång i den registrerades personliga integritet.

Det ska även införas en bestämmelse som möjliggör för en- skilda utbildningsanordnare att i löpande text behandla person-

235

Universitets- och högskolesektorn

SOU 2017:49

uppgifter som rör fällande domar i brottmål i ett ärende om avskil- jande av student från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otill- börligt intrång i den registrerades personliga integritet som be- handlingen kan innebära.

En bestämmelse som anger att en enskild utbildningsanordnare inte får använda sökbegrepp som avslöjar känsliga personuppgifter och uppgifter som rör fällande domar i brottmål ska också införas.

Slutligen ska det införas upplysningsbestämmelser som anger att nämnda bestämmelser kompletterar dataskyddsförordningen samt att bestämmelser om personuppgiftsbehandling också finns i dataskyddslagen.

Bedömning: Statliga högskolor kan finna stöd för nödvändig be- handling av känsliga personuppgifter i Dataskyddsutredningens förslag till dataskyddslag.

Statliga högskolor kan med stöd av artikel 10 i dataskyddsför- ordningen även behandla personuppgifter som rör fällande domar i brottmål. Dataskyddslagen föreslås innehålla en upplysnings- bestämmelse om att myndigheter får behandla sådana uppgifter.

Det finns inget behov av att införa någon ytterligare reglering för statliga högskolors behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.

Ovan har utredningen kommit fram till att statliga högskolor och enskilda utbildningsanordnare kan behöva behandla känsliga person- uppgifter huvudsakligen i samband med högskoleprovet, i antag- ningsförfarandet, vid ansökningar om särskilt pedagogiskt stöd och när beslutade stödåtgärder ska verkställas, i samband med ansökan om statsbidrag för särskilt utbildningsstöd, i utredningar och ären- den om trakasserier, sexuella trakasserier, disciplinära åtgärder och avskiljande samt för att uppfylla de skyldigheter som följer av offent- lighetsprincipen. I fråga om avskiljande kan även personuppgifter som rör fällande domar i brottmål behöva behandlas.

Enligt utredningens bedömning utesluter inte dataskyddsförord- ningen att samtycke kan användas som rättslig grund för behandling av personuppgifter, även känsliga sådana, av både statliga högskolor och enskilda utbildningsanordnare. En bedömning måste dock göras

236

SOU 2017:49

Universitets- och högskolesektorn

av vilken slags behandling som samtycket avser för att avgöra om det är lämpligt.

För den behandling av känsliga personuppgifter som behövs för att lärosätena ska kunna fullgöra uppdraget som ankommer på dem enligt bl.a. högskolelagen och lagen om tillstånd att utfärda vissa exa- mina bör dock lärosätena inte vara beroende av om den registrerade lämnar sitt samtycke till sådan behandling. Detta eftersom det kan ifrågasättas om den registrerade i många fall har något verkligt val i frågan om behandlingen ska ske eller inte och därmed en reell möj- lighet att motsätta sig behandlingen. Därtill är det av naturliga skäl uteslutet att samtycke kan användas som rättslig grund för behand- lingar i samband med utredningar eller ärenden om t.ex. disciplinära åtgärder. Enligt utredningens bedömning bör det för den behandling av känsliga personuppgifter som är nödvändig därför finnas ytter- ligare rättsliga grunder som kan användas som stöd för sådan be- handling.

I fråga om behandling av personuppgifter som rör fällande do- mar i brottmål i utredningar och ärenden om avskiljande omfattas inte statliga högskolor av förbudet i 21 § PUL. Enskilda utbild- ningsanordnare kan i dagsläget behandla sådana uppgifter med stöd av 5 a § PUL. När dataskyddsförordningen ska börja tillämpas kommer den bestämmelsen dock att upphävas. Det kan därför vara nödvändigt att införa en rättslig grund som möjliggör för enskilda utbildningsanordnare att behandla sådana uppgifter i motsvarande utredningar och ärenden som kan leda till att en student tvingas lämna utbildningen.

Behandling i löpande text

Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 1 dataskydds- lagen får myndigheter behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Enligt artikel 9.2 g får känsliga personuppgifter behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. En myndighet kan således inte tillämpa en sådan bestämmelse som Dataskyddsutredningen föreslår i vilken typ av ärende som helst.

237

Universitets- och högskolesektorn

SOU 2017:49

Med stöd av nämnda förslag bedömer utredningen att statliga högskolor även fortsättningsvis kommer att kunna behandla käns- liga personuppgifter i ärenden om anpassning vid högskoleprov, avsteg vid antagning, särskilt pedagogiskt stöd och statsbidrag för särskilt utbildningsstöd. Nämnda ärenden syftar till att personer med funktionsnedsättningar ska kunna söka högskoleutbildningar och studera på samma villkor som personer utan funktionsned- sättning.

Rätten till anpassning vid högskoleprovet framgår av 4–8 §§ i UHR:s föreskrifter om högskoleprovet, vilka utfärdats med stöd av bemyndigande i 7 kap. 22 § högskoleförordningen. Möjligheten till statsbidrag för kostnader för särskilt utbildningsstöd framgår av en förordning. Vad gäller möjligheten att få en funktionsnedsättning beaktad i antagningsförfarandet samt rätten till särskilt pedagogiskt stöd följer det av 2 kap. 5 § diskrimineringslagen att en statlig hög- skola inte får diskriminera någon student som deltar i eller söker till verksamheten (prop. 2013/14:198 s. 76 f.). I bl.a. artikel 2 i FN:s allmänna förklaring om de mänskliga rättigheterna finns ett förbud mot diskriminering. I artikel 26 anges att var och en har rätt till utbildning och att den högre utbildningen ska vara öppen för alla med hänsyn till deras förmåga. I Europeiska unionens stadga om de grundläggande rättigheterna finns ett förbud mot diskri- minering i artikel 21. I artikel 14 anges att var och en har rätt till utbildning och till tillträde till yrkesutbildning och fortbildning. Enligt 1 kap. 2 § femte stycket regeringsformen ska det allmänna motverka diskriminering av människor på grund av kön, hudfärg, nationellt eller etniskt ursprung, språklig eller religiös tillhörighet, funktionshinder, sexuell läggning, ålder eller andra omständigheter som gäller den enskilde som person. Sammantaget anser utred- ningen att möjligheterna till anpassning vid högskoleprovet, avsteg vid antagningsförfarandet, särskilt pedagogiskt stöd och statsbidrag för kostnader för särskilt utbildningsstöd är sådana viktiga allmän- na intressen som avses i artikel 9.2 g i dataskyddsförordningen.

Vidare bedömer utredningen att statliga högskolor även kan till- lämpa Dataskyddsutredningens förslag i ärenden om trakasserier och sexuella trakasserier. Avseende dessa ärenden följer det av 2 kap. 7 § diskrimineringslagen att statliga högskolor ska utreda och, i före- kommande fall, vidta skäliga åtgärder för att förhindra trakasserier i framtiden. Lagstiftaren anser således att det är så viktigt att enskilda

238

SOU 2017:49

Universitets- och högskolesektorn

kan studera i en trygg och säker miljö att nämnda skyldighet att ut- reda trakasserier har införts. Vidare är trakasserier och sexuella tra- kasserier enligt 1 kap. 4 § diskrimineringslagen att betrakta som diskriminering, vilket enligt ovan är förbjudet enligt FN:s allmänna förklaring om de mänskliga rättigheterna och Europeiska unionens stadga om de grundläggande rättigheterna. Regeringsformen anger också att diskriminering ska motverkas. Sammantaget anser utred- ningen att skyldigheten att utreda och vidta åtgärder med anledning av trakasserier och sexuella trakasserier är ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen.

Utredningen bedömer vidare att statliga högskolor kan tillämpa Dataskyddsutredningens förslag även i ärenden om disciplinära åt- gärder och avskiljande. Förutsättningar för sådana beslut har möjlig- gjorts genom olika författningar. Därtill tar disciplinära åtgärder och avskiljande sikte på bl.a. säkerheten och ordningen för övriga studen- ter och högskolornas arbetstagare samt den mänskliga rättigheten att skyddas mot diskriminering i form av bl.a. trakasserier. Enligt utred- ningens bedömning är det även avseende dessa ärenden därmed fråga om sådana viktiga allmänna intressen som avses i artikel 9.2 g i data- skyddsförordningen.

Sammanfattningsvis anser utredningen att statliga högskolor kan tillämpa Dataskyddsutredningens förslag för nödvändig behandling av känsliga personuppgifter i ärenden om anpassning vid högskole- prov, avsteg vid antagning, särskilt pedagogiskt stöd, statsbidrag för särskilt utbildningsstöd, trakasserier, sexuella trakasserier, discipli- nära åtgärder och avskiljande. Någon ytterligare reglering krävs därmed inte för att statliga högskolor, i de fall det är nödvändigt, ska kunna behandla känsliga personuppgifter för nämnda ändamål när dataskyddsförordningen ska börja tillämpas. Vidare kan det inte uteslutas att det finns andra typer av ärenden där statliga högskolor behöver behandla känsliga personuppgifter. Sådan behandling kan då också ske med stöd av Dataskyddsutredningens förslag, förutsatt bl.a. att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse.

Det förhåller sig dock annorlunda med de enskilda utbildnings- anordnarna. Som framgår av avsnitt 5.4.2 kan motsvarande ärenden som nämnts ovan finnas hos enskilda utbildningsanordnare. I dessa fall har enskilda utbildningsanordnare, förutsatt att det är relevant och nödvändigt, således samma behov av att kunna behandla känsliga

239

Universitets- och högskolesektorn

SOU 2017:49

personuppgifter som de statliga högskolorna. I dagsläget kan sådan behandling av känsliga personuppgifter ske i ostrukturerat material med stöd av 5 a § PUL, men den bestämmelsen kommer att upp- hävas när dataskyddsförordningen ska börja tillämpas. Dataskydds- utredningens förslag omfattar inte enskilda utbildningsanordnare. Utredningen anser därför att det finns behov av att införa en bestäm- melse som möjliggör för enskilda utbildningsanordnare att behandla känsliga personuppgifter i ärenden på motsvarande sätt som för statliga högskolor. Eftersom de enskilda utbildningsanordnarna redan i dagsläget har möjlighet att utföra sådana behandlingar av känsliga personuppgifter, bedömer utredningen att integritetsintrånget för den enskilde varken blir större eller mindre genom att en sådan bestämmelse införs. Sammantaget anser utredningen att det ska infö- ras en bestämmelse enligt vilken känsliga personuppgifter, med stöd av artikel 9.2 g i dataskyddsförordningen, får behandlas av enskilda utbildningsanordnare i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Kopp- lingen till artikel 9.2 g innebär, liksom för statliga högskolor som utredningen konstaterar ovan, att känsliga personuppgifter inte kan behandlas i vilken typ av ärende som helst. Det krävs att behandling- en är nödvändig av hänsyn till ett viktigt allmänt intresse. Av arti- kel 5.2 framgår att det är den personuppgiftsansvarige som ska ansva- ra för och kunna visa att man har stöd för de behandlingar man utför.

Behandling som krävs på grund av lag

Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 2 dataskydds- lagen får myndigheter behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag. Enligt Dataskyddsutredningens förslag till 1 kap. 5 § ska vid tillämpning- en av 3 kap. 3 § 2 andra organ än myndigheter jämställas med myn- digheter i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekre- tesslagen gäller i organets verksamhet.

Dataskyddsutredningens förslag i nämnda delar innebär, enligt utredningens bedömning, att både statliga högskolor och, i före- kommande fall, enskilda utbildningsanordnare kommer att kunna

240

SOU 2017:49

Universitets- och högskolesektorn

uppfylla de åligganden enligt bl.a. offentlighetsprincipen som ankom- mer på dem, t.ex. att diarieföra handlingar som innehåller känsliga personuppgifter och att lämna ut allmänna handlingar. Någon ytter- ligare reglering krävs därmed inte för att lärosätena ska kunna upp- fylla sina åligganden enligt offentlighetsprincipen.

Absolut nödvändig behandling i andra fall

Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 3 dataskydds- lagen får myndigheter behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behand- lingen inte innebär ett otillbörligt intrång i den registrerades per- sonliga integritet. Bestämmelsen ska enligt Dataskyddsutredningen möjliggöra behandling av känsliga personuppgifter hos myndigheter i enstaka fall, även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte krävs enligt annan lag. Som exempel på när bestämmelsen kan vara tillämplig anger Dataskyddsutred- ningen bl.a. inom en myndighet i samband med utvärdering (SOU 2017:39, avsnitt 10.6.2).

Bestämmelsen i dataskyddslagen är direkt tillämplig på statliga högskolor. När det gäller statliga högskolors behandling av känsliga personuppgifter kan exempel på när paragrafen kan vara tillämplig, enligt utredningens bedömning, vara när beslut att bevilja anpassning vid högskoleprovet eller särskilt pedagogiskt stöd ska verkställas.

Även för enskilda utbildningsanordnare kan behandling av käns- liga personuppgifter vara berättigad i vissa fall när det saknas kopp- ling till ett visst ärende och då behandlingen inte krävs enligt annan lag. Som framgått ovan förekommer det att enskilda utbildnings- anordnare genomför högskoleprov. Hos enskilda utbildningsanord- nare finns också möjligheten att ansöka om särskilt pedagogiskt stöd. Även för enskilda utbildningsanordnare kan det därmed finnas behov av att behandla känsliga personuppgifter i samband med att beslut att bevilja anpassning vid högskoleprovet eller särskilt peda- gogiskt stöd ska verkställas. Sådan behandling kan i dagsläget ske i ostrukturerat material med stöd av 5 a § PUL. När dataskyddsför- ordningen ska börja tillämpas kommer dock personuppgiftslagen att upphävas.

241

Universitets- och högskolesektorn

SOU 2017:49

Om någon reglering som möjliggör fortsatt sådan behandling inte införs är enskilda utbildningsanordnare hänvisade till att använda sig av samtycke från den registrerade. Att enbart använda sig av samtycke kan vara problematiskt, särskilt i fråga om anpassning vid högskoleprovet, eftersom provdeltagaren då måste skicka in ett sam- tycke till personuppgiftsbehandling i anslutning till att intyg om lässvårigheten, inlärningsstörningen eller synskadan skickas in. Det kan vidare ifrågasättas om samtycke kan användas som rättslig grund för all behandling som krävs i fråga om särskilt pedagogiskt stöd, eftersom det kan vara svårt för den enskilde att överblicka omfatt- ningen och arten av de behandlingar som krävs när beslutade stöd- åtgärder ska verkställas.

I övervägandena till förslaget till 3 kap. 3 § 3 dataskyddslagen anger Dataskyddsutredningen att sådan behandling som bestämmel- sen tar sikte på måste regleras på ett sätt som beaktar dataskydds- förordningens krav på proportionalitet och skyddsåtgärder. Bestäm- melsen innehåller därför rekvisitet ”absolut nödvändigt” för att markera att behandling av känsliga personuppgifter i här aktuella fall bara ska ske efter en noggrann prövning i det enskilda fallet. Data- skyddsutredningen anser vidare att prövningen också bör ske med beaktande av vilket intrång behandlingen utgör för den registrerades integritet. Dataskyddsutredningen har därför formulerat bestämmel- sen på sådant sätt att en avvägning ska göras av om en i och för sig absolut nödvändig behandling av känsliga personuppgifter innebär ett otillbörligt intrång i den registrerades integritet, vilket skulle kunna få till följd att behandlingen inte är tillåten (SOU 2017:39, avsnitt 10.6.2). Bestämmelsen i den föreslagna 3 kap. 3 § 3 data- skyddslagen innehåller således rekvisit som starkt markerar att be- stämmelsen ska tillämpas restriktivt och först efter noggranna avväg- ningar mellan behovet av behandlingen och intrånget i den enskildes integritet.

Utredningen anser sammanfattningsvis att en bestämmelse mot- svarande 3 kap. 3 § 3 dataskyddslagen ska införas även för enskilda utbildningsanordnare. Dessa aktörer har samma behov som statliga högskolor att i vissa fall kunna behandla känsliga personuppgifter även när det saknas koppling till ett visst ärende eller när behand- lingen inte krävs enligt annan lag. En bestämmelse med sådana starkt begränsande rekvisit, tillgodoser, enligt utredningens bedömning,

242

SOU 2017:49

Universitets- och högskolesektorn

dataskyddsförordningens krav på proportionalitet och skyddsåtgär- der.

Behandling av personuppgifter som rör fällande domar i brottmål

Förbudet i artikel 10 för behandling av personuppgifter som rör fällande domar i brottmål gäller inte för myndigheter. Dataskydds- utredningen föreslår att en upplysningsbestämmelse om detta ska finnas i 3 kap. 9 § dataskyddslagen. Även när dataskyddsförord- ningen ska börja tillämpas kommer således statliga högskolor att kunna behandla personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande enligt 4 kap. 6 § högskolelagen och för- ordningen om avskiljande av studenter från högskoleutbildning. Någon ytterligare reglering i denna del krävs därmed inte för de statliga högskolornas behandlingar.

För enskilda utbildningsanordnare är det dock annorlunda. Som framgår ovan har de enskilda utbildningsanordnarna egna regelverk om avskiljande som i stort sett motsvarar de som gäller för statliga högskolor. De har därmed samma behov som statliga högskolor att behandla personuppgifter som rör fällande domar i brottmål. Sådan behandling kan i dagsläget ske i ostrukturerat material med stöd av 5 a § PUL samt Datainspektionens föreskrifter, vilka meddelats med stöd av bemyndigande i 9 § PUF. När dataskyddsförordningen ska börja tillämpas kommer dock personuppgiftslagen att upphävas.

Enligt Dataskyddsutredningens förslag till 4 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning får personuppgifter som rör bl.a. fällande domar i brottmål behandlas av andra än myndigheter om

1.behandlingen är nödvändig för att rättsliga anspråk ska kunna fast- ställas, göras gällande eller försvaras i ett enskilt fall,

2.behandlingen avser enstaka uppgifter och är nödvändig för att till polisen anmäla misstanke om brott, eller

3.behandlingen avser enstaka uppgifter och är nödvändig för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.

243

Universitets- och högskolesektorn

SOU 2017:49

Enligt utredningens bedömning är det inte möjligt för enskilda ut- bildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål i ett är