Korre
EU:s dataskyddsförordning och utbildningsområdet
Betänkande av Utbildningsdatautredningen
Stockholm 2017
SOU 2017:49
SOU och Ds kan köpas från Wolters Kluwers kundservice. Beställningsadress: Wolters Kluwers kundservice, 106 47 Stockholm Ordertelefon:
Webbplats: wolterskluwer.se/offentligapublikationer
För remissutsändningar av SOU och Ds svarar Wolters Kluwer Sverige AB på uppdrag av Regeringskansliets förvaltningsavdelning.
Svara på remiss – hur och varför
Statsrådsberedningen, SB PM 2003:2 (reviderad
En kort handledning för dem som ska svara på remiss.
Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser
Layout: Kommittéservice, Regeringskansliet
Omslag: Elanders Sverige AB
Tryck: Elanders Sverige AB, Stockholm 2017
ISBN
ISSN
Till statsrådet och chefen
för Utbildningsdepartementet
Regeringen beslutade den 30 juni 2016 att tillkalla en särskild utre- dare med uppdrag att föreslå kompletterande regleringar för behand- ling av personuppgifter inom utbildningsområdet, med undantag för forskningsverksamhet (dir. 2016:63).
Till särskild utredare förordnades samma dag chefsjuristen vid Pensionsmyndigheten Mikael Westberg.
Som sakkunnig i utredningen förordnades den 26 september 2016 kanslirådet vid Utbildningsdepartementet Tyri Öhman.
Som experter att biträda utredningen förordnades den 26 septem- ber 2016 ämnesrådet vid Utbildningsdepartementet Anna Barklund, juristen vid Myndigheten för yrkeshögskolan Anna Berg, enhets- chefen vid Luleå tekniska universitet Jenny Blom, departements- sekreteraren vid Utbildningsdepartementet Andreas Bokerud, för- bundsjuristen vid Friskolornas riksförbund Mariette Dennholt, chefsjuristen vid Specialpedagogiska skolmyndigheten Ulrika Ehlin, departementssekreteraren vid Utbildningsdepartementet Hedvig Feltelius, juristen vid Statens skolverk Anna Grebäck, juristen vid Datainspektionen Ulrika Harnesk, chefsjuristen vid Universitets- och högskolerådet Drazenko Jozic, verksjuristen vid Centrala studie- stödsnämnden Johan Lindeberg, förbundsjuristen vid Sveriges Kom- muner och Landsting Kristina Söderberg och handläggaren vid Folk- bildningsrådet Tomas Östlund.
Andreas Bokerud entledigades från sitt uppdrag den 24 januari 2017 och departementssekreteraren vid Utbildningsdepartementet Per Anders Nilsson Strandberg utsågs samma dag i hans ställe.
Som sekreterare anställdes den 1 juli 2016 juristen vid Pensions- myndigheten
Utredningen, som har tagit sig namnet Utbildningsdatautred- ningen, överlämnar härmed betänkandet EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49).
Till betänkandet har fogats ett särskilt yttrande av experten Ulrika Harnesk.
Uppdraget är härmed slutfört.
Stockholm i juni 2017
Mikael Westberg
/
Tommy Fraenkel
Innehåll
Förkortningar..................................................................... |
13 |
|
Sammanfattning ................................................................ |
17 |
|
1 |
Författningsförslag..................................................... |
33 |
1.1Förslag till lag om ändring i lagen (1993:792) om
tillstånd att utfärda vissa examina .......................................... |
33 |
1.2Förslag till lag om ändring i lagen (2009:128) om
yrkeshögskolan ....................................................................... |
35 |
1.3Förslag till lag om ändring i studiestödsdatalagen
(2009:287)................................................................................ |
37 |
1.4 Förslag till lag om ändring i skollagen (2010:800)................ |
42 |
1.5Förslag till förordning om sökbegränsningar vid personuppgiftsbehandling i vissa utbildningsformer och
i hemkommunen ..................................................................... |
46 |
1.6Förslag till förordning om ändring i förordningen
(1993:1153) om redovisning av studier m.m. vid |
|
universitet och högskolor....................................................... |
47 |
1.7Förslag till förordning om ändring i förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för
ungdomar................................................................................. |
50 |
1.8 Förslag till förordning om ändring i |
|
studiestödsdataförordningen (2009:321) .............................. |
52 |
5
Innehåll |
SOU 2017:49 |
1.9Förslag till förordning om ändring i förordningen
(2011:268) om lärar- och förskollärarregister ...................... |
53 |
1.10 Förslag till förordning om ändring i förordningen |
|
(2012:811) med instruktion för Universitets- och |
|
högskolerådet.......................................................................... |
56 |
1.11Förslag till förordning om ändring i förordningen (2013:871) om stöd för konst- och kulturutbildningar
|
och vissa andra utbildningar................................................... |
57 |
|
2 |
Utredningens uppdrag och arbete................................ |
61 |
|
2.1 |
Uppdraget ............................................................................... |
61 |
|
2.2 |
Avgränsning ............................................................................ |
61 |
|
2.3 |
Utredningsarbetet .................................................................. |
63 |
|
3 |
Bakgrund .................................................................. |
65 |
|
3.1 |
Dataskydd i allmänhet............................................................ |
65 |
|
3.2 |
Dataskydd i svensk rätt .......................................................... |
66 |
|
|
3.2.1 |
Regeringsformen ..................................................... |
66 |
|
3.2.2 |
Dataskyddsdirektivets genomförande ................... |
66 |
3.3 |
EU:s dataskyddsförordning................................................... |
67 |
|
3.4 |
Utgångspunkten är Dataskyddsutredningens förslag .......... |
68 |
|
|
3.4.1 |
Dataskyddsutredningens förslag i korthet ............ |
68 |
4 |
Skollagsreglerad utbildningsverksamhet ....................... |
77 |
|
4.1 |
Allmänt |
.................................................................................... |
77 |
|
4.1.1 ............................. |
Skolväsendet för barn och unga |
79 |
4.1.2Särskilda utbildningsformer för barn och
ungdomar enligt 24 kap. skollagen......................... |
86 |
4.1.3Annan pedagogisk verksamhet enligt 25 kap.
|
skollagen .................................................................. |
89 |
4.1.4 |
Skolväsendet för vuxna ........................................... |
90 |
4.1.5Särskilda utbildningsformer för vuxna enligt
|
24 kap. skollagen ..................................................... |
92 |
4.1.6 |
Entreprenad ............................................................. |
93 |
6
SOU 2017:49 |
Innehåll |
4.2Utredningen om offentlighet och sekretess i skolans
syn på skolans personuppgiftsbehandling ............................. |
95 |
4.3Skydd för uppgifter om barn – yttrande av artikel 29-
|
gruppen |
.................................................................................... |
98 |
4.4 |
101 |
||
4.5 |
Personuppgiftsbehandling ....................inom skolväsendet |
103 |
|
4.6 |
Rättslig .....................grund för personuppgiftsbehandling |
107 |
|
|
4.6.1 ....................... |
Utredningens uppdrag i denna del |
107 |
|
4.6.2 ................................... |
Uppgift av allmänt intresse |
111 |
|
4.6.3 ............................................. |
Myndighetsutövning |
130 |
|
4.6.4 ............................................... |
Rättslig förpliktelse |
132 |
|
4.6.5 .................................................. |
Intresseavvägning |
134 |
|
4.6.6 ................................................................ |
Samtycke |
135 |
|
4.6.7 ..................................................... |
Sammanfattning |
138 |
4.7 |
Känsliga ......................................................personuppgifter |
139 |
|
|
4.7.1 ....................... |
Utredningens uppdrag i denna del |
139 |
4.7.2Behov av att behandla känsliga
|
|
personuppgifter ..................................................... |
139 |
|
4.7.3 |
Gällande bestämmelser .......................................... |
143 |
|
4.7.4 |
Dataskyddsförordningen och dataskyddslagen ... |
143 |
|
4.7.5 |
Behov av särskild reglering .................................... |
145 |
4.8 |
Personuppgifter som rör lagöverträdelser........................... |
170 |
|
|
4.8.1 |
Utredningens uppdrag i denna del ....................... |
170 |
|
4.8.2 |
Gällande bestämmelser .......................................... |
170 |
|
4.8.3 |
Dataskyddsförordningen och dataskyddslagen ... |
171 |
|
4.8.4 |
Behov av särskild reglering .................................... |
172 |
4.9 |
Behov av ytterligare reglering............................................... |
176 |
|
4.10 |
Uppförandekod för skolväsendet ........................................ |
187 |
|
5 |
Universitets- och högskolesektorn ............................. |
189 |
|
5.1 |
Allmänt |
.................................................................................. |
189 |
5.2 |
Högskolornas ...........................personuppgiftsbehandling |
191 |
|
5.3 |
Rättslig .....................grund för personuppgiftsbehandling |
196 |
7
Innehåll |
SOU 2017:49 |
5.3.1 |
Utredningens uppdrag i denna del ....................... |
196 |
5.3.2 |
Uppgift av allmänt intresse................................... |
199 |
5.3.3 |
Myndighetsutövning............................................. |
212 |
5.3.4 |
Rättslig förpliktelse............................................... |
215 |
5.3.5 |
Intresseavvägning .................................................. |
218 |
5.3.6 |
Samtycke................................................................ |
219 |
5.3.7 |
Sammanfattning .................................................... |
221 |
5.4Känsliga personuppgifter och uppgifter som rör
lagöverträdelser..................................................................... |
222 |
|
5.4.1 |
Utredningens uppdrag i denna del ....................... |
222 |
5.4.2Behov av att behandla känsliga personuppgifter och uppgifter som rör
|
fällande domar i brottmål ..................................... |
222 |
5.4.3 |
Gällande bestämmelser ......................................... |
230 |
5.4.4 |
Dataskyddsförordningen och dataskyddslagen .. |
232 |
5.4.5 |
Behov av särskild reglering ................................... |
235 |
5.5 Behov av ytterligare reglering .............................................. |
249 |
5.6Förordningen om redovisning av studier m.m. vid
universitet och högskolor .................................................... |
253 |
|
5.6.1 |
Utredningens uppdrag i denna del ....................... |
253 |
5.6.2 |
Rättslig grund för personuppgiftsbehandling ..... |
254 |
5.6.3Behov av ändringar med anledning av
dataskyddsförordningen ....................................... |
259 |
5.6.4Behov av översyn utifrån andra skäl än
|
|
dataskyddsförordningen ....................................... |
282 |
6 |
Yrkeshögskolan och andra eftergymnasiala |
|
|
|
utbildningar ............................................................ |
285 |
|
6.1 |
Allmänt |
.................................................................................. |
285 |
6.2 |
Utbildningsanordnarnas ....behandling av personuppgifter |
287 |
|
|
6.2.1 ..................................................... |
Yrkeshögskolan |
288 |
6.2.2Konst- och kulturutbildningar och vissa andra
|
utbildningar ........................................................... |
290 |
6.3 Rättslig grund för personuppgiftsbehandling..................... |
291 |
|
6.3.1 |
Utredningens uppdrag i denna del ....................... |
291 |
6.3.2 |
Uppgift av allmänt intresse................................... |
293 |
8
SOU 2017:49 |
|
Innehåll |
6.3.3 |
Myndighetsutövning ............................................. |
305 |
6.3.4 |
Rättslig förpliktelse ............................................... |
308 |
6.3.5 |
Intresseavvägning .................................................. |
310 |
6.3.6 |
Samtycke ................................................................ |
311 |
6.3.7 |
Sammanfattning..................................................... |
313 |
6.4Känsliga personuppgifter och uppgifter som rör
lagöverträdelser ..................................................................... |
314 |
|
6.4.1 |
Utredningens uppdrag i denna del ....................... |
314 |
6.4.2Behov av att behandla känsliga
|
|
personuppgifter och uppgifter som rör |
|
|
|
fällande domar i brottmål...................................... |
315 |
|
6.4.3 |
Gällande bestämmelser.......................................... |
320 |
|
6.4.4 |
Dataskyddsförordningen och dataskyddslagen ... |
321 |
|
6.4.5 |
Behov av särskild reglering.................................... |
324 |
6.5 |
Behov av ytterligare reglering............................................... |
338 |
|
6.6 |
MYH:s register...................................................................... |
341 |
|
|
6.6.1 |
Utredningens uppdrag i denna del ....................... |
341 |
6.6.2MYH:s register över studerande i
yrkeshögskolan ...................................................... |
342 |
6.6.3MYH:s register över studerande i konst- och kulturutbildningar och vissa andra
|
|
utbildningar |
............................................................ 345 |
7 |
Folkbildning............................................................ |
349 |
|
7.1 |
Folkhögskolorna ................................................................... |
349 |
|
|
7.1.1 |
Allmänt................................................................... |
349 |
7.1.2Behandling av personuppgifter inom
|
folkhögskolorna..................................................... |
350 |
7.1.3 |
Utredningens uppdrag i denna del ....................... |
351 |
7.1.4 |
Rättslig grund för personuppgiftsbehandling...... |
352 |
7.1.5 |
Känsliga personuppgifter ...................................... |
357 |
7.1.6 |
Behov av reglering i övrigt .................................... |
359 |
7.2 Studieförbunden.................................................................... |
360 |
|
7.2.1 |
Allmänt................................................................... |
360 |
7.2.2Behandling av personuppgifter inom
studieförbunden..................................................... |
362 |
9
Innehåll |
SOU 2017:49 |
|
7.2.3 |
Utredningens uppdrag i denna del ....................... |
362 |
|
7.2.4 |
Rättslig grund för personuppgiftsbehandling ..... |
364 |
|
7.2.5 |
Känsliga personuppgifter ...................................... |
366 |
|
7.2.6 |
Behov av reglering i övrigt .................................... |
368 |
7.3 |
Register över deltagare i studieförbundens verksamhet .... |
368 |
|
|
7.3.1 |
Allmänt .................................................................. |
368 |
|
7.3.2 |
Utredningens uppdrag i denna del ....................... |
371 |
|
7.3.3 |
Behov av reglering ................................................. |
372 |
8 |
CSN:s studiestödsverksamhet ................................... |
381 |
|
8.1 |
Utredningens uppdrag i denna del ...................................... |
381 |
|
8.2 |
Rättslig grund för personuppgiftsbehandling..................... |
381 |
|
8.3 |
Behov av ändringar i studiestödsdatalagen ......................... |
385 |
|
8.4 |
Behov av ändringar i studiestödsdataförordningen ............ |
403 |
|
9 |
Betygsdatabasen BEDA ............................................ |
411 |
|
9.1 |
Allmänt |
.................................................................................. |
411 |
9.2 |
Utredningens ......................................uppdrag i denna del |
412 |
|
9.3 |
Behov av ...................................................särskild reglering |
413 |
|
|
9.3.1 ........... |
Behandlingar av personuppgifter i BEDA |
413 |
|
9.3.2 ..... |
Skolhuvudmännens utlämnande av uppgifter |
413 |
9.3.3Registrering i BEDA, utlämnande till SCB och
lagring .................................................................... |
416 |
9.3.4Överföring av uppgifter till
|
antagningssystemet NyA ..................................... |
418 |
9.3.5 |
Utlämnande av uppgifter till kommuner............. |
420 |
9.4 Behov av ytterligare reglering .............................................. |
421 |
10
SOU 2017:49 |
Innehåll |
|
10 |
Lärar- och förskollärarregistret .................................. |
425 |
10.1 |
Allmänt .................................................................................. |
425 |
10.2 |
Utredningens uppdrag i denna del....................................... |
426 |
10.3 |
Rättslig grund för personuppgiftsbehandling ..................... |
426 |
10.4 |
Behov av ändringar................................................................ |
430 |
11 |
Kommunernas register över ungdomar som de har |
|
|
aktivitetsansvar för .................................................. |
447 |
11.1 |
Allmänt .................................................................................. |
447 |
11.2 |
Utredningens uppdrag i denna del....................................... |
448 |
11.3 |
Rättslig grund för personuppgiftsbehandling ..................... |
448 |
11.4 |
Behov av ändringar................................................................ |
452 |
12 |
Övriga myndigheter med anknytning till |
|
|
utbildningsområdet.................................................. |
465 |
12.1 |
Utredningens uppdrag.......................................................... |
465 |
12.2 |
Utredningens bedömning..................................................... |
466 |
13 |
Konsekvenser.......................................................... |
471 |
13.1 |
Utredningens uppdrag.......................................................... |
471 |
13.2 |
Problembeskrivning.............................................................. |
472 |
13.3 |
Utredningens förslag till nya eller ändrade regler............... |
473 |
13.4 |
Ekonomiska konsekvenser ................................................... |
475 |
|
13.4.1 Konsekvenser för staten, kommuner och |
|
|
landsting ................................................................. |
475 |
|
13.4.2 Konsekvenser för enskilda huvudmän som |
|
|
anordnar utbildningsverksamhet .......................... |
476 |
13.5 |
Konsekvenser för den personliga integriteten .................... |
479 |
13.6 |
Konsekvenser i övrigt ........................................................... |
479 |
11
Innehåll |
SOU 2017:49 |
14 |
Ikraftträdande och övergångsbestämmelser ................ |
481 |
14.1 |
Ikraftträdande ....................................................................... |
481 |
14.2 |
Övergångsbestämmelser ...................................................... |
482 |
15 |
Författningskommentar ............................................ |
485 |
15.1 |
Förslaget till lag om ändring i lagen (1993:792) om |
|
|
tillstånd att utfärda vissa examina........................................ |
485 |
15.2 |
Förslaget till lag om ändring i lagen om yrkeshögskolan |
|
|
(2009:128) ............................................................................. |
489 |
15.3 |
Förslaget till lag om ändring i studiestödsdatalagen |
|
|
(2009:287) ............................................................................. |
493 |
15.4 |
Förslaget till lag om ändring i skollagen (2010:800) .......... |
496 |
Särskilt yttrande............................................................... |
507 |
|
Bilaga |
|
|
Kommittédirektiv 2016:63 ............................................................. |
513 |
12
Förkortningar
Artikel |
Artikel |
|
av personuppgifter |
BEDA |
nationell databas för betygsuppgifter |
|
från gymnasieskolan och kommunal |
|
vuxenutbildning på gymnasial nivå |
CSN |
Centrala studiestödsnämnden |
dataskyddsdirektivet |
Europaparlamentets och rådets |
|
direktiv 95/46/EG av den 24 oktober |
|
1995 om skydd för enskilda personer |
|
med avseende på behandling av |
|
personuppgifter och om det fria |
|
flödet av sådana uppgifter |
dataskyddsförordningen |
Europaparlamentets och rådets |
|
förordning (EU) 2016/679 av den |
|
27 april 2016 om skydd för fysiska |
|
personer med avseende på |
|
behandling av personuppgifter och |
|
om det fria flödet av sådana |
|
uppgifter och om upphävande av |
|
direktiv 95/46/EG (allmän |
|
dataskyddsförordning) |
dataskyddslagen |
Dataskyddsutredningens förslag till |
|
lag (2018:xx) med kompletterande |
|
bestämmelser till EU:s dataskydds- |
|
förordning |
|
13 |
Förkortningar |
SOU 2017:49 |
DIFS |
Datainspektionens författningssamling |
dir. |
direktiv |
EES |
Europeiska ekonomiska samarbets- |
|
området |
EU |
Europeiska unionen |
Europeiska unionens domstol/ |
|
|
Europeiska gemenskapernas domstol |
f. |
följande sida/sidor |
FBR |
Folkbildningsrådet |
kommissionen |
Europeiska kommissionen |
MYH |
Myndigheten för yrkeshögskolan |
MYHFS |
Myndigheten för yrkeshögskolans |
|
författningssamling |
OSL |
offentlighets- och sekretesslagen |
|
(2009:400) |
prop. |
regeringens proposition |
PUF |
personuppgiftsförordningen |
|
(1998:1191) |
PUL |
personuppgiftslagen (1998:204) |
SCB |
Statistiska centralbyrån |
SiS |
Statens institutionsstyrelse |
SKOLFS |
Skolverkets författningssamling |
14
SOU 2017:49 Förkortningar
Skolinspektionen |
Statens skolinspektion |
Skolverket |
Statens skolverk |
SOU |
Statens offentliga utredningar |
UHR |
Universitets- och högskolerådet |
UHRFS |
Universitets- och högskolerådets |
|
författningssamling |
UKÄ |
Universitetskanslersämbetet |
VHS |
Verket för högskoleservice |
15
Sammanfattning
Utredningens uppdrag
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning). Utredningen har i detta betänkande valt att benämna den nya rättsakten dataskyddsförordningen. Dataskyddsförord- ningen är direkt tillämplig i medlemsstaterna och ska börja tillämpas den 25 maj 2018. Genom dataskyddsförordningen upphävs Europa- parlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av per- sonuppgifter och om det fria flödet av sådana uppgifter (dataskydds- direktivet), vilket innebär att personuppgiftslagen (1998:204, PUL) måste upphävas.
En särskild utredare fick den 25 februari 2016 regeringens uppdrag att lämna förslag till upphävande av den nuvarande generella per- sonuppgiftsregleringen (dir. 2016:15). Utredningen, som tog sig namnet Dataskyddsutredningen (Ju 2016:04), fick även i uppdrag att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter. I Dataskyddsutredningens uppdrag ingick också bl.a. att överväga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter som bör finnas i den generella regleringen. I Dataskyddsutredningens uppdrag ingick dock inte att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som finns i bl.a. särskilda registerförfattningar.
Utredningen har fått i uppdrag att föreslå kompletterande regler- ingar för behandling av personuppgifter inom utbildningsområdet,
17
Sammanfattning |
SOU 2017:49 |
med undantag för forskningsverksamhet. Syftet är att regleringen ska möjliggöra en ändamålsenlig behandling av personuppgifter inom utbildningsområdet samtidigt som den ska skydda den enskildes fri- och rättigheter.
I utredningens uppdrag ingår att undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom utbildningsområ- det som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå.
Uppdraget omfattar även att analysera om det utöver dataskydds- förordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå finns ett behov av kompletterande regleringar för behandling av känsliga personuppgifter inom utbildningsområdet.
I utredningens uppdrag ingår vidare att se över vilka anpassningar av studiestödsdatalagen (2009:287), studiestödsdataförordningen (2009:321), förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor, förordningen (2011:268) om lärar- och förskollärarregister och förordningen (2006:39) om regis- ter och dokumentation vid fullgörandet av kommunernas aktivitets- ansvar för ungdomar som behövs med anledning av dataskyddsför- ordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag som utredningen kan kom- ma att lämna.
Slutligen ingår det även i utredningens uppdrag att analysera om det behövs något författningsstöd – utöver dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredningen kan komma att lämna – för att personuppgifter även fortsättningsvis ska kunna behandlas i betygsdatabasen BEDA, i de register som Myndigheten för yrkes- högskolan (MYH) svarar för samt i registret över deltagare i studie- cirklar och annan folkbildningsverksamhet hos studieförbunden.
Skollagsreglerad utbildningsverksamhet
Utredningen bedömer att det för huvudmän inom skolväsendet och aktörer enligt 24 och 25 kap. skollagen (2010:800) finns en i svensk rätt fastställd uppgift av allmänt intresse att tillhandahålla, anordna och bedriva utbildning och annan pedagogisk verksamhet. Även en
18
SOU 2017:49 |
Sammanfattning |
kommuns åligganden enligt skollagen är en i svensk rätt fastställd uppgift av allmänt intresse. För sådan personuppgiftsbehandling som är nödvändig för utförandet av dessa uppgifter är den rättsliga grun- den i första ledet i artikel 6.1 e i dataskyddsförordningen tillämplig. Därutöver kan dessa organ i viss utsträckning samtidigt använda sig av de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och andra ledet i 6.1 e (myndighetsutövning). Dessa kan även i viss utsträckning använda sig av samtycke som rättslig grund (arti- kel 6.1 a). Vidare kan enskilda huvudmän även tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning).
Beträffande behandling av känsliga personuppgifter bedömer ut- redningen att kommuner, landsting och staten, även som huvudmän inom skolväsendet, kan finna stöd för viss sådan behandling i Data- skyddsutredningens förslag till bestämmelser i 3 kap. 3 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskydds- förordning (dataskyddslagen). Enligt utredningens bedömning har enskilda huvudmän – när de anordnar utbildning enligt skollagen – samma behov av att kunna behandla känsliga personuppgifter som offentliga huvudmän. De enskilda huvudmännen kan dock inte grun- da sådan behandling i dataskyddslagen annat än i den mån offent- lighetsprincipen och sekretesslagstiftningen enligt författning gäller i ett organs verksamhet. I dessa fall möjliggör 3 kap. 3 § 2 dataskydds- lagen sådan behandling av känsliga personuppgifter som är oundviklig i organets verksamhet som en direkt följd av bland annat tryckfrihets- förordningens och offentlighets- och sekretesslagens (2009:400) bestämmelser om allmänna handlingar och diarieföring.
Vissa skolformer och anordnare av vissa utbildningar har dess- utom ett behov av att kunna behandla känsliga personuppgifter mer systematiskt, bl.a. grundsärskolan och sameskolan, som det inte finns stöd för i dataskyddslagen. Detsamma gäller för kommunerna när de ska utföra vissa uppgifter som de är ålagda enligt skollagen.
Utredningen bedömer därför att det finns behov av att möjlig- göra sådan behandling. För tydlighets skull föreslår utredningen att det i ett nytt 28 a kapitel i skollagen ska införas bl.a. motsvarande bestämmelser som Dataskyddsutredningen föreslår i 3 kap. 3 och 4 §§ dataskyddslagen. Kapitlet ska tillämpas vid den personuppgifts- behandling som både offentliga och enskilda huvudmän, hemkom- munen och aktörer enligt 24 och 25 kap. skollagen utför.
19
Sammanfattning |
SOU 2017:49 |
Vidare föreslås att huvudmän för vissa skolformer, bl.a. grund- särskolan och specialskolan, och för vissa utbildningar, bl.a.
Hemkommunen föreslås få behandla uppgifter om hälsa i vissa fall och uppgift om hälsa och etniskt ursprung när det är nödvändigt för att fullgöra skyldighet enligt 7 kap. 21 § skollagen.
För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläg- gande rättigheter och intressen föreslår utredningen att det ska införas bestämmelser om förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. Huvudmän för de skolformer och utbildningar som föreslås få behandla uppgifter om hälsa respektive etniskt ursprung under vissa förutsättningar undantas dock från för- budet för just sökbegrepp som avslöjar hälsa respektive etniskt ur- sprung. Detsamma gäller för hemkommunen i de fall den getts sär- skild möjlighet att behandla vissa känsliga personuppgifter. Reger- ingen föreslås få meddela föreskrifter om begränsningar av möjlig- heten att använda de sökbegrepp som tillåts.
Vidare föreslås regeringen få meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt skollagen eller föreskrifter som har meddelats med stöd av skollagen.
Förslaget till dataskyddslag innehåller en upplysningsbestämmel- se som tydliggör att förbudet i artikel 10 mot behandling av person- uppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel inte gäller för myndigheter. Utredningen bedömer att i förskolor, skolor och vuxenutbildningsenheter vars huvudmän är staten, en kommun eller ett landsting kommer personuppgifter som rör fällande domar i brottmål och liknande i de enskilda fall sådan behandling bedöms nödvändig kunna behandlas med stöd av dataskyddsförordningen.
Utredningen bedömer att det för fristående skolor finns skäl att möjliggöra behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffproces- suella tvångsmedel i elevhälsan i löpande text om det är absolut nöd-
20
SOU 2017:49 |
Sammanfattning |
vändigt för ändamålet med behandlingen och i skriftlig dokumenta- tion som ska föras enligt 5 kap. 24 § skollagen om det är absolut nödvändigt för ändamålet med behandlingen.
Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för huvudmän inom skolväsendet, hemkommunen och aktörer enligt 24 och 25 kap. skollagen kan ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser att det enligt bestämmelserna i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2 regeringsformen inte krävs en särskild lag för den person- uppgiftsbehandling som utförs av huvudmännen inom skolväsendet. Utredningen anser att det inte heller finns något annat skäl för ytter- ligare reglering än den som utredningen föreslår.
Utredningen anser att goda skäl talar för att det ska tas fram en uppförandekod för skolväsendets personuppgiftsbehandling. Utred- ningen föreslår därför att regeringen ger lämplig myndighet i upp- drag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet.
Universitets- och högskolesektorn
Behov av reglering
Utredningen bedömer att det för statliga högskolor och enskilda utbildningsanordnare med examenstillstånd enligt lagen (1993:792) om tillstånd att utfärda vissa examina finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva högskoleutbild- ning. För sådan personuppgiftsbehandling som är nödvändig för utförandet av denna uppgift är den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen tillämplig. Därutöver kan läro- sätena i viss utsträckning samtidigt använda sig av de rättsliga grun- derna i artikel 6.1 c (rättslig förpliktelse) och andra ledet i 6.1 e (myndighetsutövning). Lärosätena kan i viss utsträckning även an- vända sig av samtycke som rättslig grund (artikel 6.1 a). Enskilda utbildningsanordnare kan dessutom tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning).
Beträffande behandling av känsliga personuppgifter bedömer utredningen att statliga högskolor kan finna stöd för sådan behand-
21
Sammanfattning |
SOU 2017:49 |
ling i Dataskyddsutredningens förslag till bestämmelser i 3 kap. 3 § dataskyddslagen. Dataskyddsutredningens förslag, med undantag för behandling av känsliga personuppgifter med anledning av offentlig- hetsprincipen, gäller endast för myndigheter. Eftersom utredningen bedömer att enskilda utbildningsanordnare har samma behov som statliga högskolor att behandla känsliga personuppgifter föreslår utredningen att det i lagen om tillstånd att utfärda vissa examina ska införas bestämmelser med motsvarande innebörd som de som Data- skyddsutredningen föreslår.
Vidare bedömer utredningen att enskilda utbildningsanordnare, i ärenden om avskiljande av studenter från utbildning, har samma be- hov som statliga högskolor att behandla personuppgifter som rör fällande domar i brottmål. Utredningen föreslår därför en bestäm- melse som möjliggör sådan behandling, eftersom dataskyddsförord- ningen och dataskyddslagen endast medger att statliga högskolor behandlar sådana uppgifter.
För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grund- läggande rättigheter och intressen föreslår utredningen att det ska införas en bestämmelse om förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.
Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för lärosätenas del kan ske med stöd av bestämmel- serna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser inte att det enligt bestämmelserna i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2 regeringsformen krävs en särskild lag för statliga högsko- lors personuppgiftsbehandling. Utredningen anser att det inte heller finns något annat skäl för ytterligare reglering än den som utred- ningen föreslår.
Förordningen om redovisning av studier m.m. vid universitet och högskolor
Utredningen bedömer att bestämmelserna i förordningen om redo- visning av studier m.m. vid universitet och högskolor utgör i enlighet med artikel 6.1 c i dataskyddsförordningen fastställda rättsliga för-
22
SOU 2017:49 |
Sammanfattning |
pliktelser för statliga högskolor att föra ett studieregister och för Statistiska centralbyrån att föra ett universitets- och högskoleregister samt ett register för sammanställning av statistik över högskolornas personal. Förandet av nämnda register är dessutom fastställda upp- gifter av allmänt intresse i enlighet med första ledet i artikel 6.1 e. För Universitets- och högskolerådets (UHR) del finns det genom bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor en fastställd uppgift av allmänt intresse att föra ett antagningsregister.
Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behand- ling för att efterleva artikel 6.1 c och e. Förordningen om redovis- ning av studier m.m. vid universitet och högskolor är därmed i sig förenlig med dataskyddsförordningen.
För att anpassa förordningens bestämmelser till dataskyddsför- ordningen föreslår utredningen att hänvisningen till personuppgifts- lagen i 1 kap. 1 § andra stycket ska utgå och ersättas med nya bestämmelser i en ny paragraf. I den nya paragrafen, 1 a §, ska det upplysas om att förordningen kompletterar dataskyddsförordning- en. Därtill ska förhållandet till dataskyddslagen regleras. Utred- ningen föreslår vidare att bestämmelserna om information, rättelse och skadestånd samt intern kontroll över studieregistret som finns i 1 kap. 4 och 5 §§ samt 2 kap. 1 § tredje stycket ska upphävas, efter- som det finns direkt tillämpliga bestämmelser i dataskyddsförord- ningen med motsvarande innehåll. Bestämmelsen om överklagande i 1 kap. 6 § föreslår utredningen också ska upphävas, eftersom det finns bestämmelser om överklagande i dataskyddslagen. Avslut- ningsvis föreslår utredningen att hänvisningarna till 13 § PUL, som finns i 2 kap. 5 a § och 4 kap. 3 §, ska ändras på så sätt att de hänvisar till artikel 9.1 i dataskyddsförordningen i stället. I artikel 9.1 finns motsvarande förbud mot behandling av känsliga personuppgifter som finns i 13 § PUL.
Utredningen lyfter även fram att den tekniska utvecklingen och den praktiska hanteringen av personuppgifter när det gäller redo- visning m.m. vid universitet och högskolor har gjort att det finns ett behov av en omfattande översyn av förordningen. En sådan översyn som utredningen bedömer är påkallad krävs dock inte för att anpassa
23
Sammanfattning |
SOU 2017:49 |
förordningen till dataskyddsförordningen och den reglering som Dataskyddsutredningen har föreslagit. Utredningen lämnar därför inga förslag i dessa delar.
Yrkeshögskolan och andra eftergymnasiala utbildningar
Behov av reglering
Utredningen bedömer att det för anordnare av utbildningar inom yrkeshögskolan och sådana utbildningar som avses i förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva sådana utbildningar. För sådan personuppgiftsbehandling som är nödvändig för utförandet av denna uppgift är den rättsliga grunden i första ledet i artikel 6.1 e i data- skyddsförordningen tillämplig. Därutöver kan utbildningsanord- narna i viss utsträckning samtidigt använda sig av de rättsliga grun- derna i artikel 6.1 c (rättslig förpliktelse) och, beträffande utbild- ningsanordnarna inom yrkeshögskolan, andra ledet i artikel 6.1 e (myndighetsutövning). Utbildningsanordnarna kan i viss utsträck- ning även använda sig av samtycke som rättslig grund (artikel 6.1 a). Enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan dessutom tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning).
Beträffande behandling av känsliga personuppgifter inom yrkes- högskolan bedömer utredningen att offentliga utbildningsanordnare kan finna stöd för sådan behandling i Dataskyddsutredningens för- slag till bestämmelser i 3 kap. 3 § dataskyddslagen. För tydlighets skull föreslår utredningen dock att det i lagen (2009:128) om yrkes- högskolan, som gäller för både offentliga och enskilda utbildnings- anordnare, ska införas motsvarande bestämmelser som Dataskydds- utredningen föreslår och att dessa ska gälla för både offentliga och enskilda utbildningsanordnare, eftersom dessa har samma behov av att behandla känsliga personuppgifter. Ett undantag finns dock, en- skilda utbildningsanordnare inom yrkeshögskolan omfattas inte av offentlighetsprincipen. Utredningens förslag i denna del omfattar så- ledes endast offentliga utbildningsanordnare.
24
SOU 2017:49 |
Sammanfattning |
Utredningen föreslår att motsvarande bestämmelser om behand- ling av känsliga personuppgifter också ska föras in i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. De som anordnar sådana utbildningar har samma behov som anord- nare av utbildningar inom yrkeshögskolan att behandla känsliga per- sonuppgifter. Eftersom de som anordnar utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar inte omfattas av offentlighetsprincipen ska det dock inte föras in någon bestämmelse som möjliggör behandling av känsliga personuppgifter som krävs enligt lag.
Vidare bedömer utredningen att det för enskilda utbildnings- anordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns skäl att möjliggöra behandling av per- sonuppgifter som rör fällande domar i brottmål i ärenden om av- skiljande av studerande från utbildning. Utredningen föreslår därför sådana bestämmelser, eftersom dataskyddsförordningen och data- skyddslagen endast medger att offentliga utbildningsanordnare inom yrkeshögskolan behandlar sådana uppgifter.
För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grund- läggande rättigheter och intressen föreslår utredningen att det i lagen om yrkeshögskolan och förordningen om stöd för konst- och kultur- utbildningar och vissa andra utbildningar ska införas bestämmelser om förbud mot att använda sökbegrepp som avslöjar känsliga per- sonuppgifter. Motsvarande sökförbud ska även gälla för personupp- gifter som rör fällande domar i brottmål i fråga om enskilda utbild- ningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kul- turutbildningar och vissa andra utbildningar.
Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för utbildningsanordnarnas del kan ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser inte att det enligt bestämmelserna i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2 regeringsformen krävs en särskild lag för den per- sonuppgiftsbehandling som utförs av de offentliga utbildningsanord- narna inom yrkeshögskolan. Utredningen anser att det inte heller
25
Sammanfattning |
SOU 2017:49 |
finns något annat skäl för ytterligare reglering än den som utred- ningen föreslår.
MYH:s register
Utredningen bedömer att det för MYH finns en i svensk rätt fast- ställd rättslig förpliktelse och uppgift av allmänt intresse att svara för ett register över uppgifter om de studerande i utbildningarna inom yrkeshögskolan och i de utbildningar inom yrkeshögskolan som bedrivs som uppdragsutbildningar. Utredningen bedömer att mot- svarande gäller för det register över uppgifter om de studerande i utbildningarna enligt förordningen om stöd för konst- och kultur- utbildningar och vissa andra utbildningar som MYH också ska svara för. MYH kan därmed tillämpa de rättsliga grunderna i artikel 6.1 c och första ledet i artikel 6.1 e i dataskyddsförordningen för sådan personuppgiftsbehandling som är nödvändig vid förandet av regist- ren. Utredningen bedömer att det inte finns något ytterligare regle- ringsbehov.
Vidare bedömer utredningen att utbildningsanordnarna inom yrkeshögskolan kan tillämpa samma rättsliga grunder när de lämnar uppgifter om de studerande till MYH. Något ytterligare reglerings- behov finns därmed inte heller för deras del.
För att säkerställa att anordnarna av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har en rättslig grund att tillämpa när de ska lämna uppgifter till MYH, föreslår utredningen att MYH ska bemyndigas att meddela föreskrifter om uppgiftslämningen på motsvarande sätt som i 2 kap. 17 § förordningen (2009:130) om yrkeshögskolan.
Folkbildning
Folkhögskolorna
Utredningen bedömer att folkhögskolorna, som stöd för sin person- uppgiftsbehandling när dataskyddsförordningen ska börja tillämpas, kan använda främst samtycke, dvs. artikel 6.1 a i dataskyddsförord- ningen, som rättslig grund för sin behandling av personuppgifter. Folkhögskolor som anordnar utbildning motsvarande kommunal
26
SOU 2017:49 |
Sammanfattning |
vuxenutbildning i svenska för invandrare kan behandla personuppgif- ter om studerande i den verksamheten även med stöd av första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse. Känsliga personupp- gifter kan behandlas med stöd av samtycke enligt artikel 9.2 a.
Utredningen bedömer att nämnda rättsliga grunder är tillräckliga för att nödvändig behandling av personuppgifter inom folkhögsko- lorna ska kunna ske på ett ändamålsenligt sätt samtidigt som enskil- das fri- och rättigheter skyddas. Något behov av ytterligare reglering finns inte.
Studieförbunden
Utredningen bedömer att studieförbunden, som stöd för sin person- uppgiftsbehandling när dataskyddsförordningen ska börja tillämpas, kan använda främst samtycke, dvs. artikel 6.1 a i dataskyddsförord- ningen, som rättslig grund för sin behandling av personuppgifter. Känsliga personuppgifter kan behandlas med stöd av samtycke enligt artikel 9.2 a.
Utredningen bedömer att den rättsliga grunden samtycke är till- räcklig för att nödvändig behandling av personuppgifter inom studie- förbunden ska kunna ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas. Något behov av ytterligare reglering finns inte.
Register över deltagare i studieförbundens verksamhet
Utredningen bedömer att Folkbildningsrådet och studieförbunden kan använda samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för behandling av personuppgifter i Folkbildnings- rådets centrala uppgiftssamlingar över deltagare i studiecirkel och annan folkbildningsverksamhet när dataskyddsförordningen ska börja tillämpas. Utredningen anser att varken 2 kap. 6 § andra stycket regeringsformen eller något annat skäl fordrar att det införs någon särskild reglering.
27
Sammanfattning |
SOU 2017:49 |
CSN:s studiestödsverksamhet
Utredningen bedömer att Centrala studiestödsnämnden (CSN) har en i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet. Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 e. Studiestödsdata- lagen med tillhörande förordning är därmed i sig förenliga med data- skyddsförordningen.
För att anpassa studiestödsdatalagens bestämmelser till data- skyddsförordningen föreslår utredningen att hänvisningen till per- sonuppgiftslagen i 2 § ska ersättas med en upplysningsbestämmelse om dataskyddsförordningen samt, i andra stycket, en reglering om förhållandet till dataskyddslagen. Det nuvarande andra stycket, som reglerar studiestödsdatalagens förhållande till lagen (2001:99) om den officiella statistiken, ska flyttas till ett nytt tredje stycke. Be- stämmelserna i 6 och 8 §§, vilka reglerar begränsningar i rätten att behandla personuppgifter respektive användningen av sökbegrepp, föreslår utredningen ska ändras på så sätt att de ska omfatta samtliga kategorier av personuppgifter som räknas upp i artikel 9.1 i data- skyddsförordningen. Bestämmelsen i 7 § tredje stycket om åter- kallande av samtycke och 15 §, vilken reglerar rättelse och skade- stånd, ska upphävas, eftersom det i dessa delar finns direkt tillämp- liga bestämmelser i dataskyddsförordningen. Avslutningsvis ska bestämmelserna i 16 § tredje stycket och 16 § studiestödsdataför- ordningen ändras på så sätt att formuleringen ”historiska, statistiska eller vetenskapliga ändamål” ändras till ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statis- tiska ändamål”.
Betygsdatabasen BEDA
Utredningen föreslår att UHR:s uppgift att ansvara för en nationell databas för betygsuppgifter från gymnasieskolan och den kom- munala vuxenutbildningen på gymnasial nivå, betygsdatabasen BEDA, ska fastställas genom att den förs in i en bestämmelse i för- ordningen (2012:811) med instruktion för Universitets- och hög-
28
SOU 2017:49 |
Sammanfattning |
skolerådet. Såväl ändamålet med registret att användas vid antagning av studenter till studier vid universitet och högskolor som det sta- tistiska ändamål uppgifterna i registret används för ska fastställas i bestämmelsen.
Utredningen bedömer vidare att Statens skolverk (Skolverket) behöver komplettera sina föreskrifter (SKOLFS 2011:142) om upp- giftsinsamling från huvudmännen inom skolväsendet m.m. för att huvudmännen som bedriver kommunal vuxenutbildning på gym- nasial nivå ska ha en rättslig grund att tillämpa när de fullgör sin skyldighet att lämna uppgifter om gymnasieexamen genom att lämna uppgifterna till UHR.
Om utredningens förslag genomförs och om Skolverket kom- pletterar sina föreskrifter bedömer utredningen att ändamålsenliga behandlingar i BEDA, som samtidigt skyddar den enskildes fri- och rättigheter, kan göras även när dataskyddsförordningen ska börja tillämpas. Utredningen anser att det inte finns något ytterligare regleringsbehov med anledning av regeringsformens bestämmelser. Utredningen anser inte heller att det finns anledning att med stöd av artikel 89.2 i dataskyddsförordningen föreskriva om undantag från den registrerades rättigheter som avses i artiklarna 15, 16, 18 och 21, dvs. rätt till information om personuppgifter som behandlas, rätt att få felaktiga personuppgifter rättade, rätt att kräva begränsning av behandling och rätt att göra invändningar mot behandling.
Lärar- och förskollärarregistret
Utredningen bedömer att bestämmelserna i förordningen om lärar- och förskollärarregister utgör i enlighet med artikel 6.1 c i data- skyddsförordningen en fastställd rättslig förpliktelse för Skolverket att föra ett register över legitimerade och tidigare legitimerade lärare och förskollärare. Förandet av registret är dessutom en för Skolver- ket fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e.
Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket är tillåtet att behålla eller införa mer specifika bestäm- melser för att anpassa tillämpningen av bestämmelserna i dataskydds- förordningen med hänsyn till behandling för att efterleva artikel 6.1 c
29
Sammanfattning |
SOU 2017:49 |
och e. Förordningen om lärar- och förskollärarregister är därmed i sig förenlig med dataskyddsförordningen.
För att anpassa förordningens bestämmelser till dataskyddsför- ordningen föreslår utredningen att hänvisningen till personuppgifts- lagen i 2 § ska utgå och ersättas med en upplysning om att förord- ningen kompletterar dataskyddsförordningen. Därtill ska förhål- landet till dataskyddslagen regleras. Utredningen föreslår vidare att det i ett nytt tredje stycke i 6 § ska finnas en hänvisning till arti- kel 5.1 b i dataskyddsförordningen. Hänvisningen ersätter den nuva- rande hänvisningen till finalitetsprincipen i 9 § PUL som finns i 6 § andra stycket. Bestämmelserna om information i 10 § föreslås ändras på så sätt att de endast reglerar den informationsskyldighet som gäl- ler utöver den informationsskyldighet som kommer att gälla enligt dataskyddsförordningen. Slutligen föreslår utredningen att bestäm- melserna om rättelse och skadestånd i 11 § ska upphävas, eftersom det finns motsvarande bestämmelser i dataskyddsförordningen som är direkt tillämpliga.
Kommunernas register över ungdomar som de har aktivitetsansvar för
Utredningen bedömer att det i svensk rätt finns en i enlighet med artikel 6.1 c i dataskyddsförordningen fastställd rättslig förpliktelse för kommunerna att föra ett register över de ungdomar som om- fattas av kommunens aktivitetsansvar enligt 29 kap. 9 § skollagen. Förandet av registren är dessutom en för kommunerna fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e.
Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket är tillåtet att behålla eller införa mer specifika bestäm- melser för att anpassa tillämpningen av bestämmelserna i data- skyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 c och e. Förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar är där- med i sig förenlig med dataskyddsförordningen.
För att anpassa förordningens bestämmelser till dataskyddsför- ordningen föreslår utredningen att hänvisningen till personupp- giftslagen i 2 § ska utgå och ersättas med en upplysning om att förordningen kompletterar dataskyddsförordningen. Därtill ska för- hållandet till dataskyddslagen regleras. Vidare föreslår utredningen
30
SOU 2017:49 |
Sammanfattning |
att bestämmelsen i 5 § om förbud mot att behandla känsliga person- uppgifter ska hänvisa till artikel 9.1 i stället för 13 § PUL. Bestäm- melsen i 5 § om förbud mot att behandla uppgifter om lagöver- trädelser m.m. ska ändras så att den när dataskyddsförordningen och dataskyddslagen ska börja tillämpas kommer att ha samma materiella innebörd som i dagsläget. Slutligen föreslår utredningen att bestäm- melserna om rättelse och skadestånd i 6 § ska upphävas, eftersom det finns motsvarande bestämmelser i dataskyddsförordningen som är direkt tillämpliga.
Övriga myndigheter med anknytning till utbildningsområdet
Direktiven anger inte att det ska göras en analys av om det behöver införas kompletterande regleringar för personuppgiftsbehandlingen hos sådana myndigheter vars verksamhet anknyter till utbildnings- området t.ex. Statens skolinspektion, Skolverket och UHR. Enligt utredningens uppfattning omfattas därför inte den personuppgifts- behandling som sker vid dessa myndigheter av utredningens upp- drag, annat än i de fall det särskilt har angivits att utredningen ska analysera behovet av reglering av särskilda register som förs av en myndighet eller behovet av anpassningar av författningar som styr en myndighets personuppgiftsbehandling.
Då det finns ett intresse av vägledning har utredningen dock fun- nit anledning att göra en generell och övergripande analys av myn- digheternas möjligheter att behandla personuppgifter sett i ljuset av dataskyddsförordningen och den av Dataskyddsutredningen före- slagna dataskyddslagen.
Utredningen bedömer att statliga och kommunala myndigheters verksamhet inom utbildningsområdet i allt väsentligt är en uppgift av allmänt intresse. Denna verksamhet framgår normalt av uppdrag och åligganden i författningar, regeringsbeslut och kommunala regle- menten, antagna i enlighet med grundlagens bestämmelser. Uppgif- ten av allmänt intresse är fastställd genom dessa författningar, beslut och kommunala reglementen. Myndigheterna kan därigenom grunda nödvändig behandling av personuppgifter på första ledet i artikel 6.1 e i dataskyddsförordningen.
Utredningen konstaterar dock att det ankommer på myndighe- terna att själva gå igenom all personuppgiftsbehandling som sker
31
Sammanfattning |
SOU 2017:49 |
inom myndigheten och säkerställa att den har stöd i och är förenlig med dataskyddsförordningens och dataskyddslagens bestämmelser.
Konsekvenser
Utredningen bedömer att utredningens förslag till regleringar inte kommer att innebära någon kostnadsökning för stat, kommuner, landsting och enskilda huvudmän som tillhandahåller och anordnar utbildningsverksamhet. Vidare bedömer utredningen att förslagen är neutrala rörande integritetsskyddet och att förslagen inte förväntas få några andra konsekvenser.
Ikraftträdande och övergångsbestämmelser
Utredningen föreslår att den nya förordningen – förordningen om sökbegränsningar vid personuppgiftsbehandling i vissa utbildnings- former och i hemkommunen – och ändringsförfattningarna ska träda i kraft den 25 maj 2018.
Vidare föreslår utredningen tre övergångsbestämmelser för studie- stödsdatalagen, förordningen om lärar- och förskollärarregister, för- ordningen om register och dokumentation vid fullgörandet av kom- munernas aktivitetsansvar för ungdomar samt förordningen om redovisning av studier m.m. vid universitet och högskolor. Enligt den första ska äldre föreskrifter fortfarande gälla för ärenden hos Datainspektionen eller aktuell myndighet som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet. Den andra övergångsbestämmelsen ska ange att äldre föreskrifter fortfarande gäller för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet. Enligt den sista övergångsbestämmelsen ska äldre föreskrifter om skadestånd fort- farande gälla för skada som har orsakats före ikraftträdandet.
32
1 Författningsförslag
1.1Förslag till
lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina
Härigenom föreskrivs att det i lagen (1993:792) om tillstånd att utfärda vissa examina ska införas fyra nya paragrafer,
10 § Bestämmelserna i
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid enskilda utbildningsanordnares behandling av personuppgifter, om inte annat följer av
11 § Känsliga personuppgifter får med stöd av artikel 9.2 g i data- skyddsförordningen behandlas av en enskild utbildningsanordnare
1.i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,
2.om uppgifterna har lämnats till den enskilde utbildnings- anordnaren och behandlingen krävs enligt lag, eller
3.i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
33
Författningsförslag |
SOU 2017:49 |
12 § Personuppgifter som rör fällande domar i brottmål får behand- las av en enskild utbildningsanordnare i löpande text i ett ärende om avskiljande av student från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbör- ligt intrång i den registrerades personliga integritet som behandlingen kan innebära.
13 § Vid behandling enligt 11 och 12 §§ får en enskild utbildnings- anordnare inte använda sökbegrepp som avslöjar känsliga personupp- gifter eller uppgifter som rör fällande domar i brottmål.
Denna lag träder i kraft den 25 maj 2018.
34
SOU 2017:49 |
Författningsförslag |
1.2Förslag till
lag om ändring i lagen (2009:128) om yrkeshögskolan
Härigenom föreskrivs att det i lagen (2009:128) om yrkeshögsko- lan ska införas sju nya paragrafer, 19
Behandling av personuppgifter
19 a § Bestämmelserna i 19
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid utbildningsanordnares behandling av personuppgifter, om inte annat följer av 19
19 b § Känsliga personuppgifter får med stöd av artikel 9.2 g i data- skyddsförordningen behandlas av en utbildningsanordnare i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.
19 c § Statliga universitet och högskolor samt andra statliga myn- digheter, kommuner och landsting som anordnar utbildning får med stöd av artikel 9.2 g i dataskyddsförordningen behandla känsliga per- sonuppgifter om uppgifterna har lämnats till universitetet, högskolan, myndigheten, kommunen eller landstinget och behandlingen krävs enligt lag.
19 d § Utöver vad som följer av 19 b och 19 c §§ får känsliga per- sonuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en utbildningsanordnare i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte
35
Författningsförslag |
SOU 2017:49 |
innebär ett otillbörligt intrång i den registrerades personliga integ- ritet.
19 e § Utbildningsanordnare med en enskild fysisk eller juridisk person som huvudman får behandla personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande av stude- rande från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan inne- bära.
19 f § Vid behandling enligt 19
Vid behandling enligt 19 e § får en enskild utbildningsanordnare inte använda sökbegrepp som avslöjar personuppgifter som rör fäl- lande domar i brottmål.
19 g § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt denna lag eller föreskrifter som har meddelats med stöd av denna lag.
Denna lag träder i kraft den 25 maj 2018.
36
SOU 2017:49 |
Författningsförslag |
1.3Förslag till
lag om ändring i studiestödsdatalagen (2009:287)
Härigenom föreskrivs i fråga om studiestödsdatalagen (2009:287) dels att 15 § ska upphävas,
dels att rubriken närmast före 15 § ska utgå,
dels att 2,
Nuvarande lydelse |
Föreslagen lydelse |
|
|
|
Förhållandet till personupp- |
Förhållandet till annan data- |
|||
giftslagen och lagen om den officiel- |
skyddsreglering |
|
|
|
la statistiken |
|
|
|
|
2 § |
|
|
|
|
I den mån personuppgiftslagen |
Denna |
lag |
kompletterar |
|
(1998:204) innehåller bestämmel- |
Europaparlamentets och rådets för- |
|||
ser om behandling av personupp- |
ordning (EU) 2016/679 av den |
|||
gifter som saknar motsvarighet i |
27 april 2016 om skydd för fysiska |
|||
denna lag, ska personuppgiftslagen |
personer med avseende på be- |
|||
tillämpas vid behandling av per- |
handling av personuppgifter och om |
|||
sonuppgifter i Centrala studiestöds- |
det fria flödet av sådana uppgifter |
|||
nämndens studiestödsverksamhet. |
och om upphävande av direktiv |
|||
|
95/46/EG |
(allmän |
dataskydds- |
|
|
förordning). |
|
|
|
|
Lagen (2018:xx) med komplet- |
|||
|
terande bestämmelser till |
EU:s |
||
|
dataskyddsförordning |
gäller |
vid |
|
|
behandling av personuppgifter en- |
|||
|
ligt denna lag, om inte annat följer |
|||
|
av denna lag eller föreskrifter som |
|||
|
har meddelats med stöd av lagen |
|||
|
eller lagen |
med kompletterande |
||
|
bestämmelser till EU:s data- |
|||
|
skyddsförordning. |
|
|
Vid Centrala studiestödsnämndens behandling av personupp- gifter för att framställa statistik ska lagen (2001:99 ) om den offici-
37
Författningsförslag |
SOU 2017:49 |
ella statistiken och anslutande författningar tillämpas i stället för denna lag.
|
|
|
6 § |
|
|
|
|
|
|
Särskilda |
begränsningar gäller |
Särskilda begränsningar |
gäller |
||||||
för behandling av personuppgif- |
för behandling av personuppgif- |
||||||||
ter som |
|
|
|
ter som avslöjar ras eller etniskt |
|||||
1. avslöjar |
|
ras, etniskt |
ur- |
ursprung, politiska åsikter, reli- |
|||||
sprung, politiska åsikter, religiös |
giös |
eller filosofisk |
övertygelse |
||||||
eller filosofisk |
övertygelse |
eller |
eller medlemskap i |
fackförening |
|||||
medlemskap i fackförening, |
|
samt för behandling av genetiska |
|||||||
2. avser |
lagöverträdelser |
som |
uppgifter, biometriska uppgifter för |
||||||
innefattar brott, domar i brottmål, |
att entydigt identifiera en fysisk |
||||||||
straffprocessuella tvångsmedel |
eller |
person, uppgifter om hälsa eller |
|||||||
administrativa |
frihetsberövanden, |
uppgifter om en fysisk persons |
|||||||
eller |
|
|
|
sexualliv eller sexuella läggning. |
|
||||
3. rör hälsa eller sexualliv. |
|
|
|
|
|
|
|
||
|
|
|
|
Särskilda begränsningar gäller |
|||||
|
|
|
|
även för behandling av person- |
|||||
|
|
|
|
uppgifter som avser lagöverträ- |
|||||
|
|
|
|
delser |
som |
innefattar |
brott, |
||
|
|
|
|
domar i brottmål, straffproces- |
|||||
|
|
|
|
suella tvångsmedel eller admi- |
|||||
|
|
|
|
nistrativa frihetsberövanden. |
|
||||
Uppgifter enligt första stycket |
Uppgifter |
enligt |
första |
och |
|||||
får behandlas bara för ändamål |
andra stycket får behandlas bara |
||||||||
som avses i 4 § första stycket 1, |
för ändamål som avses i 4 § första |
||||||||
om uppgifterna har lämnats i ett |
stycket 1, om uppgifterna har |
||||||||
ärende i studiestödsverksamheten |
lämnats i ett ärende i studiestöds- |
||||||||
eller behövs |
för handläggningen |
verksamheten |
eller |
behövs |
för |
||||
av ett sådant ärende, eller för |
handläggningen av |
ett |
sådant |
||||||
ändamål som avses i 4 § första |
ärende, eller för ändamål som av- |
||||||||
stycket 6 och andra stycket. |
|
ses i 4 § första stycket 6 och andra |
|||||||
|
|
|
|
stycket. |
|
|
|
|
38
SOU 2017:49 |
Författningsförslag |
7 §
Trots 4 § första stycket får personuppgifter behandlas i Centrala studiestödsnämndens studiestödsverksamhet med den registrerades samtycke. Uppgifter som avses i 6 § får behandlas för andra ändamål än som anges i paragrafen bara med den registrerades uttryckliga samtycke.
Uppgifter som behandlas med samtycke enligt första stycket får också behandlas enligt 4 § andra stycket.
I de fall då behandling av per- sonuppgifter i Centrala studiestöds- nämndens studiestödsverksamhet bara är tillåten när den registrerade har lämnat sitt samtycke, har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Yt- terligare personuppgifter om den registrerade får därefter inte be- handlas.
8 § Som sökbegrepp får inte användas
1. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,
2. genetiska uppgifter, biomet- riska uppgifter för att entydigt identifiera en fysisk person, upp- gifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexu- ella läggning,
3. uppgifter som avser lagöver- trädelser som innefattar brott, domar i brottmål, straffpro- cessuella tvångsmedel eller admi- nistrativa frihetsberövanden,
4. uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott, eller
5. uppgift om att det allmänna
39
Författningsförslag SOU 2017:49
helt eller till en väsentlig del |
helt eller till en väsentlig del |
bekostat en persons uppehälle. |
bekostat en persons uppehälle. |
Vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sökbegrepp som anges i första stycket användas. Som sökbegrepp får också användas upp- gifter som rör
1.hälsa för att ge behörig personal elektronisk tillgång till på- gående ärenden där sjukdom har betydelse, och
2.inkomst och förmögenhet för att ge behörig personal elektro- nisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.
16 §
Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska person- uppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha bety- delse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras för- rän de inte längre kan ha sådan betydelse.
Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gall-
ras senast ett år efter det att uppgifterna registrerades. |
|
|||||||
Regeringen eller den myn- |
Regeringen eller den myn- |
|||||||
dighet som regeringen bestäm- |
dighet som regeringen bestäm- |
|||||||
mer får meddela föreskrifter om |
mer får meddela föreskrifter om |
|||||||
att |
personuppgifter får |
bevaras |
att personuppgifter |
får bevaras |
||||
för |
historiska, statistiska |
eller |
för arkivändamål av allmänt in- |
|||||
vetenskapliga |
ändamål eller |
för |
tresse, vetenskapliga eller historiska |
|||||
redovisningsändamål, |
även |
om |
forskningsändamål eller statistiska |
|||||
föreskrifterna kommer att avvika |
ändamål eller för redovisnings- |
|||||||
från |
första |
stycket. |
Centrala |
ändamål, även om föreskrifterna |
||||
studiestödsnämnden |
får |
också, |
kommer att avvika från första |
|||||
trots första stycket, i enstaka fall |
stycket. |
Centrala |
studiestöds- |
|||||
besluta att personuppgifterna i ett |
nämnden |
får också, |
trots första |
40
SOU 2017:49 |
Författningsförslag |
ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.
stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på pap- per eller annat medium som inte är elektroniskt.
1.Denna lag träder i kraft den 25 maj 2018.
2.Äldre föreskrifter gäller fortfarande för ärenden hos Data- inspektionen eller Centrala studiestödsnämnden som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.
3.Äldre föreskrifter gäller fortfarande för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.
4.Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.
41
Författningsförslag |
SOU 2017:49 |
1.4Förslag till
lag om ändring i skollagen (2010:800)
Härigenom föreskrivs att det i skollagen (2010:800) ska införas ett nytt kapitel, 28 a kap., av följande lydelse.
28 a kap. Behandling av personuppgifter
1 § Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som utförs med stöd av denna lag eller föreskrifter som meddelats med stöd av lagen och de bestämmelser för utbildningen som kan finnas i andra författningar samt beslut som meddelats med stöd av dessa av
1.en huvudman inom skolväsendet enligt 2 kap.,
2.en hemkommun enligt denna lag, eller
3.en aktör enligt 24 och 25 kap.
Förhållandet till annan dataskyddsreglering
2 § Bestämmelserna i detta kapitel kompletterar Europaparlamen- tets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av per- sonuppgifter och om det fria flödet av sådana uppgifter och om upp- hävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter, om inte annat följer av bestämmelserna i detta kapitel eller föreskrifter som har meddelats med stöd av 9 § tredje stycket eller 10 § eller lagen med kompletterande bestämmelser till EU:s dataskyddsför- ordning.
Detta kapitel ska inte tillämpas på vårdgivares behandling av per- sonuppgifter inom hälso- och sjukvården eller Kriminalvårdens verk- samhet enligt 24 kap. 10 §.
42
SOU 2017:49 |
Författningsförslag |
Känsliga personuppgifter
3 § Känsliga personuppgifter får med stöd av artikel 9.2 g i data- skyddsförordningen behandlas av ett sådant organ som avses i 1 §
1.i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, eller
2.om uppgifterna har lämnats till organet och behandlingen krävs enligt lag.
4 § I grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna får med stöd av artikel 9.2 g i dataskydds- förordningen uppgifter om hälsa behandlas om det är nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vad som föreskrivs i första stycket gäller även
1.i gymnasieskolan med
2.i utbildning i gymnasieskolan för elever som är döva, hörsel- skadade eller dövblinda eller har en språkstörning,
3.i fristående förskoleklass som begränsats till att avse elever som är i behov av särskilt stöd för sin utveckling enligt 9 kap. 17 §,
4.i fristående grundskola som begränsats till att avse elever som är i behov av särskilt stöd enligt 10 kap. 35 § 2, och
5.i fristående gymnasieskola som begränsats till att avse elever som är i behov av särskilt stöd enligt 15 kap. 33 § 1.
5 § I sameskolan får med stöd av artikel 9.2 g i dataskyddsför- ordningen uppgifter om etniskt ursprung behandlas om det är nöd- vändigt för ändamålet med behandlingen och behandlingen inte inne- bär ett otillbörligt intrång i den registrerades personliga integritet.
6 § En hemkommun får med stöd av artikel 9.2 g i dataskydds- förordningen behandla uppgifter om hälsa om det är nödvändigt för handläggningen av
1.ett ärende om mottagande i grundsärskolan enligt 7 kap. 5 § andra stycket,
2.ett ärende om en sökande tillhör målgruppen för gymnasie- särskolan enligt 18 kap. 5 §, eller
3.ett ärende om tilläggsbelopp för en elev som har ett omfat- tande behov av särskilt stöd.
43
Författningsförslag |
SOU 2017:49 |
För att behandlingen enligt första stycket ska vara tillåten krävs dessutom att den inte innebär ett otillbörligt intrång i den regi- strerades personliga integritet.
7 § En hemkommun får med stöd av artikel 9.2 g i dataskydds- förordningen behandla uppgifter om etniskt ursprung och hälsa i form av elevens namn, personnummer, samordningsnummer, adress och vårdnadshavare om det är nödvändigt för att fullgöra skyldig- heter enligt 7 kap. 21 §.
8 § Utöver vad som följer av
9 § Vid behandling enligt
Förbudet i första stycket gäller inte användning av sökbegrepp som avslöjar
1.hälsa i de utbildningsformer som anges i 4 §,
2.etniskt ursprung i sameskolan som anges i 5 §,
3.hälsa i hemkommunen i ärenden som anges i 6 §, och
4.hälsa eller etniskt ursprung i form av namn, personnummer, samordningsnummer och adress i hemkommunen som anges i 7 §.
Regeringen får meddela föreskrifter om begränsningar av möjlig- heten att använda de sökbegrepp som anges i andra stycket.
10 § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbild- ning enligt denna lag eller föreskrifter som har meddelats med stöd av denna lag.
44
SOU 2017:49 |
Författningsförslag |
Personuppgifter som rör lagöverträdelser
11 § Fristående skolor får behandla personuppgifter som rör fäl- lande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel
1.i elevhälsan i löpande text om det är absolut nödvändigt för ändamålet med behandlingen, och
2.i skriftlig dokumentation som ska föras enligt 5 kap. 24 § om det är absolut nödvändigt för ändamålet med behandlingen.
Denna lag träder i kraft den 25 maj 2018.
45
Författningsförslag |
SOU 2017:49 |
1.5Förslag till
förordning om sökbegränsningar vid personuppgiftsbehandling i vissa utbildningsformer och i hemkommunen
Härigenom föreskrivs följande.
1 § I denna förordning finns kompletterande bestämmelser till
28 a kap. 9 § skollagen (2010:800).
2 § Vid personuppgiftsbehandling i de utbildningsformer som anges i 28 a kap. 4 och 5 §§ skollagen (2010:800) får endast följande sökbegrepp användas
1.namn,
2.personnummer, samordningsnummer eller födelsedatum,
3.klassbeteckning,
4.skolenhet, och
5.hemkommun.
3 § Vid personuppgiftsbehandling som sker med stöd av 28 a kap. 6 § skollagen (2010:800) i hemkommunen får endast följande sök- begrepp användas
1.elevens namn,
2.personnummer, samordningsnummer eller födelsedatum,
3.adress,
4.skolenhet, och
5.diarienummer.
Denna förordning träder i kraft den 25 maj 2018.
46
SOU 2017:49 |
Författningsförslag |
1.6Förslag till
förordning om ändring i förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor
Härigenom föreskrivs i fråga om förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor
dels att 1 kap.
dels att rubrikerna närmast före 1 kap. 1, 4, 5 och 6 §§ ska utgå, dels att 1 kap. 1 §, 2 kap. 1 och 5 a §§ samt 4 kap. 3 § ska ha föl-
jande lydelse,
dels att det i förordningen ska införas en ny paragraf, 1 kap. 1 a §, av följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
1 kap.
1 §1
I denna förordning finns det bestämmelser om
1.registrering av uppgifter om studier inom utbildning på grund- nivå, avancerad nivå och forskarnivå vid statliga universitet och högskolor (2 kap.),
2.rapportering av uppgifter till Statistiska centralbyrån (SCB) om studenter för officiell statistik (3 kap.),
3.framställning av personalstatistik vid SCB (3 kap.), och
4.registrering av uppgifter om studie- och yrkesmeriter vid Uni- versitets- och högskolerådet (4 kap.).
Denna förordning gäller ut- |
Denna |
förordning gäller vid |
|
över |
personuppgiftslagen |
helt eller |
delvis automatiserad |
(1998:204) vid helt eller delvis |
behandling av personuppgifter. |
||
automatiserad |
behandling av |
|
|
personuppgifter. |
|
|
Ett universitet, en högskola, SCB och Universitets- och högskole- rådet är personuppgiftsansvariga för behandling av personuppgifter i sin verksamhet.
1 Senaste lydelse 2012:713.
47
Författningsförslag |
SOU 2017:49 |
1 a §
Denna förordning kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning), nedan kallad data- skyddsförordningen.
Lagen (2018:xx) med komplet- terande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter en- ligt denna förordning, om inte annat följer av denna förordning eller föreskrifter som har meddelats med stöd av lagen med kom- pletterande bestämmelser till EU:s dataskyddsförordning.
2 kap.
1 §2
Varje högskola ska dokumentera uppgifter om studenter.
Varje högskola ska föra ett studieregister och där ange uppgifterna individuellt för varje student. Registret får föras med hjälp av auto- matiserad behandling.
En högskola ska upprätthålla en god intern kontroll över registret, och det ska finnas en beskrivning av hur registret förs.
Om en högskola avser att införa ett nytt system för att föra registret eller göra väsentliga förändringar i ett befintligt system, ska högskolan samråda dels med Ekonomistyrningsverket i syfte att säkerställa att de uppgifter i registret som ligger till grund för resurs-
2 Senaste lydelse 2012:713.
48
SOU 2017:49 |
Författningsförslag |
tilldelningen blir tillförlitliga, dels med Universitetskanslersämbetet och Universitets- och högskolerådet i syfte att säkerställa att uppgif- terna i registret uppfyller krav på kvalitet och jämförbarhet mellan olika högskolor.
|
|
|
5 a §3 |
|
En |
högskola |
får behandla |
En högskola får behandla |
|
känsliga personuppgifter som av- |
känsliga personuppgifter som av- |
|||
ses i |
13 § |
personuppgiftslagen |
ses i artikel 9.1 i dataskydds- |
|
(1998:204) i |
antagningsärenden, |
förordningen i antagningsärenden, |
||
om den enskilde har lämnat sam- |
om den enskilde har lämnat sam- |
|||
tycke till detta. |
|
tycke till detta. |
||
|
|
|
4 kap. |
|
|
|
|
3 §4 |
|
Universitets- och högskole- |
Universitets- och högskole- |
|||
rådet får behandla känsliga per- |
rådet får behandla känsliga per- |
|||
sonuppgifter |
som |
avses i 13 § |
sonuppgifter som avses i artikel |
|
personuppgiftslagen |
(1998:204) i |
9.1 i dataskyddsförordningen i an- |
||
antagningsärenden, om den en- |
tagningsärenden, om den enskilde |
|||
skilde har lämnat samtycke till |
har lämnat samtycke till det. |
|||
det. |
|
|
|
|
1.Denna förordning träder i kraft den 25 maj 2018.
2.Äldre föreskrifter gäller fortfarande för ärenden hos Data- inspektionen, en högskola, SCB eller Universitets- och högskole- rådet som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.
3.Äldre föreskrifter gäller fortfarande för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.
4.Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.
3Senaste lydelse 2005:665.
4Senaste lydelse 2012:713.
49
Författningsförslag |
SOU 2017:49 |
1.7Förslag till
förordning om ändring i förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar
Härigenom föreskrivs i fråga om förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas akti- vitetsansvar för ungdomar
dels att 6 § ska upphöra att gälla,
dels att rubriken närmast före 6 § ska utgå,
dels att 2 och 5 §§, samt rubriken närmast före 2 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
|
|
|
|
Förhållandet till personupp- |
Förhållandet till annan data- |
||||
giftslagen |
skyddsreglering |
|
|
|
|
2 §5 |
|
|
|
|
|
Personuppgiftslagen (1998:204) |
Denna förordning kompletterar |
||||
gäller vid den behandling av per- |
Europaparlamentets |
och |
rådets |
||
sonuppgifter som en kommun vid- |
förordning (EU) 2016/679 av den |
||||
tar i sin verksamhet enligt 29 kap. |
27 april 2016 om skydd för fysiska |
||||
9 § skollagen (2010:800) om inte |
personer med avseende på behand- |
||||
annat följer av denna förordning. |
ling av personuppgifter och om det |
||||
|
fria flödet av sådana uppgifter och |
||||
|
om upphävande |
av |
direktiv |
||
|
95/46/EG |
(allmän |
dataskydds- |
||
|
förordning), nedan kallad data- |
||||
|
skyddsförordningen. |
|
|
|
|
|
Lagen (2018:xx) med komplet- |
||||
|
terande bestämmelser till |
EU:s |
|||
|
dataskyddsförordning |
gäller |
vid |
||
|
behandling |
av personuppgifter |
|||
|
enligt denna förordning, om inte |
||||
|
annat följer av denna förordning |
||||
|
eller föreskrifter som har meddelats |
5 Senaste lydelse 2011:530.
50
SOU 2017:49 |
Författningsförslag |
med stöd av denna förordning eller med stöd av lagen med komplet- terande bestämmelser till EU:s dataskyddsförordning.
5 §
Personuppgifter som omfat- tas av 13 och 21 §§ personupp- giftslagen (1998:204) får inte behandlas.
1.Denna förordning träder i kraft den 25 maj 2018.
2.Äldre föreskrifter gäller fortfarande för ärenden hos Datain- spektionen eller en kommun som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraft- trädandet.
3.Äldre föreskrifter gäller fortfarande för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.
4.Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.
51
Författningsförslag |
SOU 2017:49 |
1.8Förslag till
förordning om ändring
i studiestödsdataförordningen (2009:321)
Härigenom föreskrivs att 16 § studiestödsdataförordningen (2009:321) ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
16 §
Riksarkivet får meddela före- skrifter om att personuppgifter får bevaras för historiska, statis- tiska och vetenskapliga ändamål samt för redovisningsändamål, även om föreskrifterna kommer att avvika från bestämmelserna om gallring i 16 § första stycket studiestödsdatalagen (2009:287). Riksarkivet ska inför beslut om att meddela föreskrifter samråda med Datainspektionen.
Denna förordning träder i kraft den 25 maj 2018.
52
SOU 2017:49 |
Författningsförslag |
1.9Förslag till
förordning om ändring i förordningen (2011:268) om lärar- och förskollärarregister
Härigenom föreskrivs i fråga om förordningen (2011:268) om lärar- och förskollärarregister
dels att 11 § ska upphöra att gälla,
dels att rubriken närmast före 11 § ska utgå, dels att 2, 6 och 10 §§ ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
2 §
Personuppgiftslagen (1998:204) gäller vid behandlingen av person- uppgifter i registret om inte annat följer av denna förordning.
Författningsförslag |
SOU 2017:49 |
6 §6
Personuppgifterna i registret får, utöver det som anges i 5 §, behandlas om det behövs för att
1.handlägga ärenden om legitimation enligt 2 kap. 16 § skol- lagen (2010:800), enligt föreskrifter som har meddelats med stöd av 2 kap. 16 b § andra stycket skollagen eller enligt 27 kap. 4 § skol- lagen,
2.lämna uppgifter till utländska myndigheter i enlighet med för- ordningen (2016:157) om erkännande av yrkeskvalifikationer,
3.utöva tillsyn av skolväsendet och dess personal, och
4.kontrollera identitet och behörighet i samband med tjänste- tillsättning av lärare och förskollärare.
Personuppgifterna i registret får också behandlas för att full- göra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Personuppgifterna i registret får också behandlas för att full- göra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Att personuppgifter som be- handlas för ändamål som anges i första och andra styckena och 5 § även får behandlas för andra ända- mål framgår av artikel 5.1 b i data- skyddsförordningen.
10 §
Statens skolverk ska på lämp- |
Statens skolverk ska utöver |
ligt sätt informera den registrerade |
vad som följer av dataskyddsför- |
om registret. Informationen ska ge |
ordningen informera den registre- |
upplysning om vem som är person- |
rade om vilken typ av uppgifter |
uppgiftsansvarig och redovisa |
som registret får innehålla och ge |
ändamålet med registret och vilken |
upplysning om |
typ av uppgifter som registret får |
|
innehålla samt ge upplysning om |
|
6 Senaste lydelse 2016:184.
54
SOU 2017:49 |
Författningsförslag |
1. de sekretess- och säkerhetsbestämmelser som gäller för regist- ret,
2. rätten att få information och rättelse enligt personuppgiftslagen (1998:204),
3. rätten till skadestånd vid behandling av personuppgifter i strid med denna förordning och personuppgiftslagen,
4.vad som gäller i fråga om sökbegrepp, direktåtkomst och utläm- nande av uppgifter på medium för automatiserad behandling, och
5.om registreringen är frivillig eller inte.
1.Denna förordning träder i kraft den 25 maj 2018.
2.Äldre föreskrifter gäller fortfarande för ärenden hos Data- inspektionen eller Statens skolverk som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.
3.Äldre föreskrifter gäller fortfarande för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.
4.Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.
55
Författningsförslag |
SOU 2017:49 |
1.10Förslag till
förordning om ändring i förordningen (2012:811) med instruktion för Universitets- och högskolerådet
Härigenom föreskrivs att det i förordningen (2012:811) med instruktion för Universitets- och högskolerådet ska införas en ny paragraf, 2 a §, av följande lydelse.
2 a § För de ändamål som anges i 2 § första stycket 1 ska myndig- heten med hjälp av automatiserad behandling föra ett register över uppgifter om elevers slutbetyg, examensbevis eller motsvarande från gymnasieskolan och den kommunala vuxenutbildningen på gymnasial nivå.
Uppgifterna i registret ska lämnas till statistikansvarig myndighet för skolväsendet eller till den myndighet eller det organ som den sta- tistikansvariga myndigheten bestämmer.
Denna förordning träder i kraft den 25 maj 2018.
56
SOU 2017:49 |
Författningsförslag |
1.11Förslag till
förordning om ändring i förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar
Härigenom föreskrivs i fråga om förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar
dels att det ska införas fyra nya paragrafer, 39
dels att 40 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
|
|
|||
|
Behandling av personuppgifter |
|||||
|
39 a § |
|
|
|
|
|
|
Bestämmelserna i 39 |
|||||
|
kompletterar |
Europaparlamentets |
||||
|
och |
rådets |
förordning (EU) |
|||
|
2016/679 av den 27 april 2016 om |
|||||
|
skydd för fysiska personer med av- |
|||||
|
seende på behandling av person- |
|||||
|
uppgifter och om det fria flödet av |
|||||
|
sådana uppgifter och om upp- |
|||||
|
hävande |
av |
direktiv |
95/46/EG |
||
|
(allmän |
dataskyddsförordning), |
||||
|
nedan |
kallad dataskyddsförord- |
||||
|
ningen. |
|
|
|
|
|
|
Lagen (2018:xx) med komplet- |
|||||
|
terande |
bestämmelser |
till |
EU:s |
||
|
dataskyddsförordning |
gäller |
vid |
|||
|
utbildningsanordnares |
behandling |
||||
|
av personuppgifter, om inte annat |
|||||
|
följer |
av |
39 |
eller |
före- |
|
|
skrifter som har meddelats med |
|||||
|
stöd av lagen med kompletterande |
bestämmelser till EU:s dataskydds- förordning.
57
Författningsförslag |
SOU 2017:49 |
39 b §
Känsliga personuppgifter får med stöd av artikel 9.2 g i data- skyddsförordningen behandlas av en utbildningsanordnare
1. i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, eller
2. i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behand- lingen inte innebär ett otillbörligt intrång i den registrerades person- liga integritet.
39 c §
Personuppgifter som rör fällan- de domar i brottmål får behandlas av en utbildningsanordnare i löpande text i ett ärende om av- skiljande av studerande från ut- bildning, om det är absolut nöd- vändigt för ändamålet med be- handlingen och om intresset av att skydda andra personer och värde- full egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära.
39 d §
Vid behandling enligt 39 b och 39 c §§ får en utbildningsanord- nare inte använda sökbegrepp som avslöjar känsliga personupp- gifter eller uppgifter som rör fäl- lande domar i brottmål.
58
SOU 2017:49 Författningsförslag
40 §
Myndigheten för yrkeshögskolan får meddela föreskrifter om
1. utbildningsplaner och kursplaner, |
|
|
|
|
||
2. betyg, intyg och |
utbild- |
2. betyg, |
intyg |
och |
utbild- |
|
ningsbevis, och |
|
ningsbevis, |
|
|
|
|
|
|
3. att den ansvariga |
utbild- |
|||
|
|
ningsanordnaren ska lämna upp- |
||||
|
|
gifter till myndigheten om de stude- |
||||
|
|
rande |
och |
deras |
studieresultat, |
|
|
|
betyg, |
intyg |
och utbildningsbevis |
||
|
|
samt på vilket sätt och när upp- |
||||
|
|
gifterna ska lämnas, och |
|
|||
3. verkställigheten av |
denna |
4. verkställigheten av |
denna |
|||
förordning. |
|
förordning. |
|
|
|
Denna förordning träder i kraft den 25 maj 2018.
59
2Utredningens uppdrag och arbete
2.1Uppdraget
Utredningens uppdrag har varit att för utbildningsområdet, med undantag för forskningsverksamhet, föreslå regleringar för behand- ling av personuppgifter som ska komplettera dataskyddsförord- ningen och den generella reglering som Dataskyddsutredningen (Ju 2016:04, dir. 2016:15) haft i uppdrag att föreslå.
I kommittédirektiven anges även att utredningen ska analysera om det utöver dessa regleringar finns behov av kompletterande regler- ingar för behandling av känsliga personuppgifter inom utbildnings- området. Utredningen ska också analysera behovet av reglering för vissa särskilt angivna register och vilka ändringar som behöver göras i vissa särskilt angivna författningar.
Den reglering som föreslås ska möjliggöra en ändamålsenlig behandling av personuppgifter inom utbildningsområdet samtidigt som den skyddar den enskildes fri- och rättigheter.
Utredningens direktiv finns i bilaga 1.
2.2Avgränsning
Utredningens uppdrag har spänt över ett heterogent område – utbild- ningsområdet såsom det angetts i kommittédirektiven – samtidigt som den i direktiven givna tidsramen måste hållas. För att kunna hålla tidsramen har utredningen ansett det nödvändigt att tolka uppdraget tämligen strikt. Utredningen har därför inte, med något undantag, tagit sig an uppgifter som inte klart framgår av de direktiv som läm- nats.
61
Utredningens uppdrag och arbete |
SOU 2017:49 |
Som angetts ovan har utredningens uppdrag varit att för utbild- ningsområdet utreda och föreslå de nödvändiga anpassningar av nationell rätt som dataskyddsförordningen och den generella regler- ing som Dataskyddsutredningen haft i uppdrag att föreslå ger anled- ning till. Syftet är att utbildningsanordnarna även fortsättningsvis ska kunna utföra nödvändiga behandlingar av personuppgifter om barnen i förskolan, eleverna i t.ex. grundskolan, gymnasieskolan och kom- munal vuxenutbildning, studenterna i högskola och universitet, studerande i t.ex. folkhögskola, yrkeshögskola, konst- och kultur- utbildningar samt deltagarna i studiecirklar och annan folkbildnings- verksamhet. Den personuppgiftsbehandling som behöver vidtas med anledning av att utbildningsanordnaren även är arbetsgivare omfattas inte av direktiven.
Enligt utredningens bedömning omfattas vidare inte heller den personuppgiftsbehandling som sker vid statliga myndigheter vars verksamhet anknyter till utbildningsområdet, t.ex. Statens skolinspek- tion, Statens skolverk och Universitets- och högskolerådet (UHR), av direktiven, annat än i de fall det särskilt har angivits att utredningen ska analysera behovet av reglering av särskilda register som förs av en myndighet eller behovet av anpassningar av författningar som styr en myndighets personuppgiftsbehandling. Beträffande dessa aktörers personuppgiftsbehandling har dock utredningen funnit anledning att övergripande analysera deras möjligheter att behandla personupp- gifter sett i ljuset av dataskyddsförordningen och den av Dataskydds- utredningen föreslagna lagen (2018:xx) med kompletterande bestäm- melser till EU:s dataskyddsförordning (se avsnitt 12).
Utredningen har strävat efter att sådan personuppgiftsbehandling som är tillåten i dagsläget i möjligaste mån ska kunna fortsätta. Ut- redningens arbete har således inte syftat till att vare sig utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring.
Utredningen har inte haft i uppdrag att analysera eller beskriva vilka förändringar som dataskyddsförordningen i sig innebär för utbildningsanordnarnas (personuppgiftsansvarigas) möjligheter att behandla och skyldigheter att skydda personuppgifter. Det har inte heller varit utredningens uppgift att bedöma konsekvenserna av data- skyddsförordningens bestämmelser eller av de förändringar som dessa innebär för utbildningsområdet.
62
SOU 2017:49 |
Utredningens uppdrag och arbete |
2.3Utredningsarbetet
Arbetet påbörjades i juli 2016. Som framgår ovan av beskrivningen av utredningens uppdrag har utredningen varit beroende av Dataskydds- utredningens bedömningar och förslag. Något färdigt betänkande från Dataskyddsutredningen har dock inte förelegat i sådan tid under utredningens arbete att det kunnat beaktas. När det i betänkandet hänvisas till Dataskyddsutredningens bedömningar och förslag är det således till de preliminära texter som utredningen getts möjlighet att ta del av och lämna synpunkter på under hand. Utredningsarbetet har annars bedrivits på sedvanligt sätt med regelbundna expert- gruppssammanträden. Utredningen har haft fem sammanträden med sakkunnig och experter. Utredningsarbetet har även i övrigt bedrivits i nära samarbete med experterna.
Under hösten 2016 har 13 möten hållits med företrädare för myn- digheter och andra organisationer för att inhämta kunskap om den personuppgiftsbehandling som sker inom utbildningsområdet. Enskilda möten har hållits med respektive Datainspektionen, Statens skolinspektion, Folkbildningsrådet, Statens skolverk, Friskolornas riksförbund, Sveriges Kommuner och Landsting, Statistiska central- byrån (SCB), Myndigheten för yrkeshögskolan, Sameskolstyrelsen, Specialpedagogiska skolmyndigheten och Centrala studiestödsnämn- den. Ett gemensamt möte har hållits med företrädare för UHR och Ladokkonsortiet. Vidare har ytterligare ett gemensamt möte med företrädare för UHR, Ladokkonsortiet, Sveriges universitets- och högskoleförbund och Datainspektionen hållits.
Under våren 2017 har ett gemensamt möte med företrädare för UHR och Statens skolverk hållits. Vidare har texter med utredning- ens bedömningar och förslag beretts med Universitetskanslers- ämbetet, SCB och Sameskolstyrelsen.
Parallellt med utredningen har ett flertal andra utredningar också haft i uppdrag att anpassa svensk rätt till dataskyddsreformen. Utred- ningen tog tillsammans med Forskningsdatautredningen (U 2016:04) initiativ till att en informell samordningsgrupp bildades i september 2016. I den informella samordningsgruppen har även bl.a. Data- skyddsutredningen och Utredningen om 2016 års dataskyddsdirek- tiv (Ju 2016:06) ingått. Under utredningstiden har det hållits tio möten i denna samordningsgrupp.
63
Utredningens uppdrag och arbete |
SOU 2017:49 |
Utredningen har även samrått med Integritetskommittén (Ju 2014:09).
64
3 Bakgrund
3.1Dataskydd i allmänhet
I dagens samhälle behandlas stora mängder personuppgifter elektro- niskt av både privata och offentliga aktörer. Det är nödvändigt för att företag ska kunna bedriva en konkurrenskraftig affärsverksamhet och för att offentliga organ ska kunna utföra sina uppdrag på ett effektivt och rättssäkert sätt. Denna hantering är dock förenad med påtagliga risker. Om de personuppgifter som samlats in utnyttjas för andra syften än avsett eller annars behandlas på ett otillbörligt sätt, eller om uppgifterna på grund av säkerhetsbrister hamnar i fel hän- der, kan det leda till allvarlig skada för enskildas personliga integritet. För att skydda enskildas integritet har det därför ansetts finnas ett behov av bestämmelser som begränsar hur, när och varför person- uppgifter får behandlas och som reglerar hur otillåten behandling ska förhindras och beivras.
Det finns flera internationella överenskommelser som innehåller reglering till skydd för den personliga integriteten. En kortfattad genomgång av den övergripande rättsliga regleringen till skydd för den personliga integriteten i den mån denna reglering är av relevans med avseende på behandling av personuppgifter finns i Dataskydds- utredningens betänkande Ny dataskyddslag – Kompletterande be- stämmelser till EU:s dataskyddsförordning, SOU 2017:39, avsnitt 3.2 Internationella överenskommelser.
65
Bakgrund |
SOU 2017:49 |
3.2Dataskydd i svensk rätt
3.2.1Regeringsformen
Grundläggande bestämmelser till skydd för den personliga integrite- ten finns i regeringsformen. I 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt för bl.a. den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv.
Enligt 2 kap. 6 § andra stycket regeringsformen, som trädde i kraft den 1 januari 2011, är var och en gentemot det allmänna skyd- dad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
Skyddet mot integritetsintrång kan dock enligt 2 kap. 20 § första stycket 2 regeringsformen begränsas genom lag. Det krävs därmed särskilt författningsstöd för åtgärder från det allmännas sida som innefattar betydande intrång i den personliga integriteten, om in- trånget sker utan samtycke och innebär övervakning eller kartlägg- ning av den enskildes personliga förhållanden.
I förarbetena till 2 kap. 6 § andra stycket regeringsformen utta- las bl.a. följande (prop. 2009/10:80 s. 250).
Vid bedömning av vilka åtgärder som kan anses utgöra ett ”betydande intrång” ska både åtgärdens omfattning och arten av det intrång åtgär- den innebär beaktas. Även åtgärdens ändamål och andra omständigheter kan ha betydelse vid bedömningen. Bestämmelsen omfattar endast såda- na intrång som på grund av åtgärdens intensitet eller omfattning eller av hänsyn till uppgifternas integritetskänsliga natur eller andra omstän- digheter innebär ett betydande ingrepp i den enskildes privata sfär.
3.2.2Dataskyddsdirektivets genomförande
Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avse- ende på behandling av personuppgifter och om det fria flödet av så- dana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garan- tera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av
66
SOU 2017:49 |
Bakgrund |
personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.
Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204, PUL). Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgiftslagen kompletteras av bestämmelser i personuppgifts- förordningen (1998:1191). Dataskyddsutredningens betänkande SOU 2017:39 innehåller en utförligare beskrivning av personupp- giftslagen, se avsnitt 3.4.2.
3.3EU:s dataskyddsförordning
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning). I dagligt tal används ofta den vedertagna förkortningen, GDPR. Dataskyddsutredningen har dock valt att i sitt betänkande benämna den nya rättsakten dataskyddsförordningen. Utredningen har därför valt att göra detsamma.
Dataskyddsförordningen kommer från och med den 25 maj 2018 att ersätta det nuvarande dataskyddsdirektivet och utgöra grunden för generell personuppgiftsbehandling inom EU. Enligt artikel 288 andra stycket i Fördraget om Europeiska unionens funktionssätt ska en
Även om dataskyddsförordningen är direkt tillämplig i medlems- staterna, till skillnad från dataskyddsdirektivet, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär. I skäl 8 till förordningen an- ges också att om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas natio-
67
Bakgrund |
SOU 2017:49 |
nella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av den- na förordning i nationell rätt.
Dataskyddsutredningen beskriver i sitt betänkande SOU 2017:39 dataskyddsförordningens syfte, tillämpningsområde och sakliga för- ändringar med förordningen, se avsnitt
3.4Utgångspunkten är Dataskyddsutredningens förslag
Utredningen har fått i uppdrag att undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom utbildningsområ- det, med undantag för forskningsverksamhet, som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå. Utredningen har således att utgå från den generella reglering som Dataskyddsutred- ningen kommer att föreslå och de bedömningar den utredningen gör. Något färdigt betänkande från Dataskyddsutredningen har dock inte förelegat i sådan tid under utredningens arbete att det kunnat beaktas. När det i det följande hänvisas till Dataskyddsutredningens bedömningar och förslag är det således till de preliminära texter som utredningen getts möjlighet att ta del av och lämna synpunkter på under hand.
Här nedan redovisas i korthet relevanta delar av Dataskydds- utredningens förslag till nytt svenskt regelverk för dataskydd.
3.4.1Dataskyddsutredningens förslag i korthet
Dataskyddsutredningen föreslår att en lag, lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (data- skyddslagen), med tillhörande förordning, som kompletterar data- skyddsförordningen på ett generellt plan, ska träda i kraft den 25 maj 2018 samtidigt som personuppgiftslagen och personuppgiftsförord- ningen ska upphävas. Sektorsspecifika författningsbestämmelser om behandling av personuppgifter ska ha företräde framför den nya lagen.
68
SOU 2017:49 |
Bakgrund |
Rättslig grund för behandling av personuppgifter
I artikel 5 i dataskyddsförordningen anges ett antal principer för be- handling av personuppgifter, bl.a. att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (5.1 a). Vad som krävs för att en behandling ska vara laglig framgår av artikel 6. Enligt artikel 6.1 är behandling endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a)Den registrerade har lämnat sitt samtycke till att dennes person- uppgifter behandlas för ett eller flera specifika ändamål.
b)Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
c)Behandlingen är nödvändig för att fullgöra en rättslig förpliktel- se som åvilar den personuppgiftsansvarige.
d)Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
e)Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndig- hetsutövning.
f)Behandlingen är nödvändig för ändamål som rör den person- uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Artikel 6.1 i dataskyddsförordningen motsvarar i stora drag artikel 7 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 10 § PUL. Den största skillnaden är att det enligt förordningen inte är tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan den person- uppgiftsansvariges berättigade intressen och den registrerades rättig- heter och intressen (jfr 10 § f PUL). Den möjligheten kvarstår där- emot för privata aktörer som behandlar personuppgifter. I andra stycket av artikel 6.1 anges nämligen att led f i första stycket inte ska
69
Bakgrund |
SOU 2017:49 |
gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.
Som framgår ovan måste en behandling av personuppgifter vara nödvändig för att den ska vara tillåten enligt artikel 6.1
Uppräkningen i artikel 6.1 är uttömmande. Om inget av dessa villkor är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behand- ling. Den omständigheten att behandlingen är laglig enligt artikel 6.1, dvs. att den är rättsligt grundad, innebär inte att behandling kan ske av vilka uppgifter som helst eller på valfritt sätt. Den personupp- giftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen, t.ex. de allmänna principerna i artikel 5.
I utredningens direktiv anges att när dataskyddsförordningen ska börja tillämpas kommer möjliga grunder för behandling av person- uppgifter inom utbildningsområdet huvudsakligen att vara att den registrerade har lämnat sitt samtycke till att hans eller hennes per- sonuppgifter behandlas för ett eller flera specifika ändamål (6.1 a) eller att behandlingen är nödvändig för att fullgöra en rättslig för- pliktelse (6.1 c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (6.1 e).
Av artikel 6.3 framgår att den grund för behandlingen som avses i 6.1 c och e ska fastställas i enlighet med unionsrätten eller en med- lemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Dataskyddsutredningen bedömer att med grunden för behand- lingen i artikel 6.1 c och e avses den rättsliga förpliktelsen, uppgiften
70
SOU 2017:49 |
Bakgrund |
av allmänt intresse respektive myndighetsutövningen (SOU 2017:39, avsnitt 8.3.1).
Dataskyddsutredningen anser att det i dataskyddslagen ska finnas en bestämmelse som tydliggör att personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som gäller enligt lag eller annan författning eller som följer av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.2).
Vidare föreslås en bestämmelse som tydliggör att personuppgifter får behandlas om behandlingen är nödvändig som ett led i myndig- hetsutövning som den personuppgiftsansvarige utövar enligt lag eller annan författning (SOU 2017:39, avsnitt 8.3.3).
Slutligen föreslås en bestämmelse som tydliggör att personupp- gifter får behandlas om behandlingen är nödvändig för att den per- sonuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.4).
Barns samtycke
I artikel 8 i dataskyddsförordningen finns villkor som gäller barns samtycke till personuppgiftsbehandling vid erbjudande av informa- tionssamhällets tjänster direkt till ett barn. Enligt Dataskyddsutred- ningen omfattar begreppet informationssamhällets tjänster bl.a. olika sociala medier, t.ex. bloggar, internetforum, webbplatser för video- klipp, chattprogram och sociala nätverk. Även onlinespel och olika applikationer (appar) med spel eller annat innehåll kan omfattas av definitionen (SOU 2017:39, avsnitt 9.4.3).
I artikel 8.1 anges att om barnet är under 16 år ska sådan behand- ling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet. Data- skyddsförordningen tillåter att en lägre åldersgräns föreskrivs i med- lemsstaternas nationella rätt, dock lägst 13 år. Dataskyddsutred- ningen föreslår att barn som har fyllt 13 år själva ska kunna samtycka till personuppgiftsbehandling i samband med att informationssam- hällets tjänster erbjuds direkt till barn. Om barnet är under 13 år ska
71
Bakgrund |
SOU 2017:49 |
sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet (SOU 2017:39, avsnitt 9.5).
Känsliga personuppgifter
I artikel 9 i dataskyddsförordningen regleras behandling av särskilda kategorier av personuppgifter. Enligt artikel 9.1 ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening och behandling av genetiska uppgifter, biometriska upp- gifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden. Dataskyddsutredningen anser att begreppet känsliga personuppgifter är ett tydligare begrepp för de uppgifter som omfat- tas av artikel 9.1 och har, eftersom begreppet även anses inarbetat på
I artikel 9.2 finns ett antal undantag från förbudet i artikel 9.1. Vissa av bestämmelserna innehåller hänvisningar till medlemsstater- nas nationella rätt och innehåller också krav på någon form av skyddsåtgärder. Enligt Dataskyddsutredningens bedömning innebär kravet på stöd i nationell rätt att vissa av undantagen i sig bör före- skrivas i nationell rätt antingen i generell eller i sektorsspecifik regler- ing (SOU 2017:39, avsnitt 10.3).
Dataskyddsutredningen föreslår en bestämmelse i dataskydds- lagen som möjliggör behandling av känsliga personuppgifter om det är nödvändigt för att den personuppgiftsansvarige eller den registre- rade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten. Uppgifter ska få lämnas ut till tredje part bara om det finns en skyldighet inom arbetsrätten för den per- sonuppgiftsansvarige att göra det eller om den registrerade uttryck- ligen har samtyckt till utlämnandet (SOU 2017:39, avsnitt 10.5.2).
Dataskyddsutredningen föreslår även bestämmelser med särskilda undantag från förbudet mot behandling av känsliga personuppgifter för myndigheter (SOU 2017:39, avsnitt 10.6.2). Myndigheter ska få behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Vidare ska myndigheter och andra organ som omfattas av
72
SOU 2017:49 |
Bakgrund |
offentlighetsprincipen få behandla känsliga personuppgifter om des- sa har lämnats till myndigheten eller organet och behandlingen krävs enligt lag. Dessutom ska myndigheter få behandla känsliga person- uppgifter i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt in- trång i den registrerades personliga integritet.
Ett förbud för myndigheter att använda sökbegrepp som avslö- jar känsliga personuppgifter föreslås, då behandlingen sker enbart med stöd av de nämnda undantagen.
Regeringen föreslås få meddela föreskrifter om ytterligare undan- tag från förbudet mot behandling av känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse.
Dataskyddsutredningen föreslår även bestämmelser som innebär att känsliga personuppgifter ska få behandlas för sådana ändamål relaterade till hälso- och sjukvård samt social omsorg som avses i dataskyddsförordningen, under förutsättning att förordningens krav på tystnadsplikt är uppfyllt (SOU 2017:39, avsnitt 10.7.2).
Personuppgifter som rör lagöverträdelser
Dataskyddsutredningen föreslår att behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel som huvudregel ska få utföras endast av myndigheter. Vissa bestämmelser som tillåter andra än myndigheter att behandla motsvarande uppgifter ska föras in i den kompletterande förordningen. I den kompletterande förord- ningen ska även Datainspektionen bemyndigas att meddela ytterli- gare föreskrifter och besluta om sådana behandlingar (SOU 2017:39, avsnitt 11.4).
Personnummer och samordningsnummer
Uppgifter om personnummer eller samordningsnummer föreslås ska få behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identi- fiering eller något annat beaktansvärt skäl. Regeringen ska få med- dela ytterligare föreskrifter om i vilka fall behandling av personnum- mer och samordningsnummer är tillåten (SOU 2017:39, avsnitt 12.4).
73
Bakgrund |
SOU 2017:49 |
Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen
Dataskyddsutredningen föreslår med stöd av artikel 23 i dataskydds- förordningen att skyldigheten att ge den registrerade information om och tillgång till de personuppgifter som behandlas inte ska gälla uppgifter som på grund av sekretess eller tystnadsplikt inte får läm- nas ut till den registrerade (SOU 2017:39, avsnitt 13.4.1).
Den registrerades rätt att på begäran få information om pågående personuppgiftsbehandling ska inte omfatta uppgifter som behandlas i löpande text som utgör utkast eller minnesanteckning. Undantaget ska dock inte gälla om uppgifterna har lämnats ut till tredje part, om uppgifterna behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål eller, när det gäller utkast, om uppgifter- na har behandlats under mer än ett år (SOU 2017:39, avsnitt 13.4.2).
Regeringen ska få meddela föreskrifter om ytterligare undantag från vissa av förordningens skyldigheter och rättigheter (SOU 2017:39, avsnitt 13.4.4).
Dataskyddsutredningen gör bedömningen att rätten att göra invändningar inte bör inskränkas genom ett undantag i dataskydds- lagen. Sådana undantag bör i stället övervägas på sektorspecifik nivå, om villkoren för behandling av personuppgifter specificeras genom författning (SOU 2017:39, avsnitt 13.4.3).
Arkivändamål av allmänt intresse
Enligt Dataskyddsutredningens bedömning har myndigheter och andra organ som omfattas av arkivlagstiftningen redan enligt gällan- de rätt rättslig grund för behandling av personuppgifter för arkiv- ändamål av allmänt intresse. Vidarebehandling av personuppgifter för arkivändamål av allmänt intresse ska enligt dataskyddsförord- ningen inte anses vara oförenlig med de ursprungliga ändamålen. Nå- gon rättslig grund behöver inte fastställas för sådan vidarebehandling (SOU 2017:39, avsnitt 14.4.2).
Dataskyddsutredningen föreslår att känsliga personuppgifter och uppgifter om lagöverträdelser ska få behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv (SOU 2017:39, av- snitt 14.4.3).
74
SOU 2017:49 |
Bakgrund |
Vidare föreslås att personuppgifter som behandlas enbart för arkivändamål av allmänt intresse inte ska få användas för att vidta åtgärder i fråga om den registrerade annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning ska inte hindra en myndighet från att använda person- uppgifter som finns i allmänna handlingar (SOU 2017:39, av- snitt 14.4.4).
Vidare föreslås undantag från vissa av den registrerades rättig- heter (SOU 2017:39, avsnitt 14.4.5).
Slutligen föreslås att bestämmelserna i dataskyddslagen om be- handling av personuppgifter för arkivändamål av allmänt intresse i tillämpliga delar också ska gälla andra organ än myndigheter, i den mån organets verksamhet omfattas av offentlighetsprincipen och sekretesslagstiftningen (SOU 2017:39, avsnitt 14.4.6).
Statistiska ändamål
Den officiella statistiken och annan reglerad statistik framställs av sär- skilt utpekade myndigheter, som genom författning har tilldelats en uppgift av allmänt intresse. Personuppgifter kan enligt Dataskydds- utredningens bedömning samlas in och i övrigt behandlas för detta ändamål, utan samtycke från de registrerade, med stöd av artikel 6.1 e i dataskyddsförordningen (SOU 2017:39, avsnitt 14.5.2).
Dataskyddsutredningen föreslår en bestämmelse i dataskydds- lagen som möjliggör behandling av känsliga personuppgifter för statistiska ändamål om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära (SOU 2017:39, avsnitt 14.5.3).
Vidare föreslås att personuppgifter som enbart behandlas för sta- tistiska ändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen (SOU 2017:39, avsnitt 14.5.4).
75
Bakgrund |
SOU 2017:49 |
Processuella frågor
Dataskyddsutredningen föreslår att dataskyddslagen ska innehålla vissa processuella bestämmelser (SOU 2017:39, avsnitt 19.3.3). Om den personuppgiftsansvarige är en myndighet, ska myndighetens beslut avseende behandlingen av personuppgifter i vissa fall få över- klagas av den registrerade till allmän förvaltningsdomstol.
Vidare ska det förtydligas i dataskyddslagen att rätten till ersätt- ning enligt dataskyddsförordningen även gäller vid överträdelser av bestämmelser som kompletterar dataskyddsförordningen.
Dataskyddsutredningen bedömer att den registrerades rätt till ett effektivt rättsmedel mot den personuppgiftsansvarige eller biträdet tillgodoses genom möjligheten att föra talan om skadestånd i allmän domstol.
Ikraftträdande- och övergångsbestämmelser
Dataskyddsutredningen föreslår att dataskyddslagen ska träda i kraft den 25 maj 2018 och att personuppgiftslagen samtidigt ska upphöra att gälla. Enligt Dataskyddsutredningens förslag ska personuppgifts- lagen dock fortfarande gälla i den utsträckning som det i en annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den. Vidare föreslår Dataskyddsutredningen att äldre föreskrifter, dvs. personuppgiftslagen, personuppgiftsförordningen och föreskrif- ter som har meddelats med stöd av dessa, fortfarande ska gälla för ärenden som har inletts hos Datainspektionen men inte avgjorts före ikraftträdandet. Äldre föreskrifter ska också gälla för överklagande av beslut som har meddelats med stöd av dessa föreskrifter liksom för överträdelser som har skett före ikraftträdandet. Slutligen föreslår Dataskyddsutredningen att bestämmelserna om skadestånd i 48 § PUL ska gälla för skada som har orsakats före ikraftträdandet (SOU 2017:39, avsnitt 20.3).
76
4Skollagsreglerad utbildningsverksamhet
4.1Allmänt
Skolväsendet består enligt 1 kap. 1 § skollagen (2010:800) av skolfor- merna
förskola,
förskoleklass,
grundskola,
grundsärskola,
specialskola,
sameskola,
gymnasieskola,
gymnasiesärskola,
kommunal vuxenutbildning, och
särskild utbildning för vuxna.
I skolväsendet ingår också fritidshem som kompletterar utbildning- en i förskoleklassen, grundskolan, grundsärskolan, specialskolan, sameskolan och vissa särskilda utbildningsformer.
Skollagen reglerar förutom skolväsendet vissa särskilda utbild- ningsformer och annan pedagogisk verksamhet som bedrivs i stället för utbildning inom skolväsendet (24 och 25 kap. skollagen). Dessa utbildningsformer är
internationella skolor,
77
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
utbildning vid särskilda ungdomshem,
utbildning för intagna i kriminalvårdsanstalt,
utbildning vid folkhögskola som motsvarar utbildning i svenska för invandrare,
utbildning för barn och elever som vårdas på sjukhus eller annan motsvarande institution,
utbildning i hemmet eller på annan lämplig plats,
pedagogisk omsorg som erbjuds i stället för förskola eller fritids- hem,
öppen förskola,
öppen fritidsverksamhet, och
omsorg under tid då förskola eller fritidshem inte erbjuds (t.ex. s.k. nattis).
Dessa uppräknade utbildningsformer ingår således inte i skolväsen- det.
Kommunerna ansvarar som huvudregel för att utbildning kom- mer till stånd eller erbjuds de barn, ungdomar eller vuxna som har rätt till utbildning inom skolväsendet.
Utbildning inom skolväsendet anordnas av såväl det allmänna som av enskilda. Kommunerna kan vara huvudmän för förskola, för- skoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesär- skola, kommunal vuxenutbildning, särskild utbildning för vuxna och fritidshem. Staten är huvudman för specialskolan och sameskolan samt förskoleklass och fritidshem vid en skolenhet med specialskola och sameskola.
Landsting får vara huvudman för gymnasieskola, gymnasiesär- skola, kommunal vuxenutbildning och särskild utbildning för vuxna i den utsträckning som anges i skollagen. Enskilda får efter ansökan, som beroende av vilken skolform det är frågan om prövas av Statens skolinspektion (Skolinspektionen) respektive av kommunen där ut- bildningen ska bedrivas, godkännas som huvudmän för förskola, för- skoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesär- skola och fritidshem (2 kap. 5 och 7 §§ skollagen).
78
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
Till det kommunala ansvaret att tillhandahålla utbildning inom skolväsendet tillkommer uppgifter som har nära koppling till skol- väsendet. Kommunerna har t.ex. ansvar för att bevaka att alla skol- pliktiga barn hemmahörande i kommunen får föreskriven utbildning (7 kap. 21 § skollagen). Kommunerna har dessutom skyldighet att erbjuda eleverna som bor i kommunen skolskjuts under vissa förut- sättningar inom grundskolan, grundsärskolan och gymnasiesärskolan (t.ex. 10 kap. 32 § och 11 kap. 31 § skollagen). Kommunerna har också ansvar för att lämna bidrag till enskilda huvudmän som tar emot elever hemmahörande i kommunen (t.ex. 8 kap. 21 §, 9 kap. 19 §, 10 kap. 37 §, 11 kap. 36 § och 14 kap. 15 § skollagen).
I 23 kap. skollagen finns bestämmelser som reglerar entrepre- nader. En kommun, ett landsting eller en enskild huvudman får med bibehållet huvudmannaskap avtala med någon annan att utföra upp- gifter inom utbildning eller annan verksamhet enligt skollagen (entre- prenad).
En grundprincip enligt skollagen är att alla, oberoende av geo- grafisk hemvist och sociala och ekonomiska förhållanden, ska ha lika tillgång till utbildning i skolväsendet. En annan princip är att utbild- ningen inom skolväsendet ska vara likvärdig inom varje skolform och inom fritidshemmet oavsett var i landet den anordnas.
Huvudmannen ansvarar för att utbildningen genomförs i enlighet med bestämmelserna i skollagen, föreskrifter som har meddelats med stöd av skollagen och de bestämmelser för utbildningen som kan finnas i andra författningar.
4.1.1Skolväsendet för barn och unga
Förskolan
Barn som är bosatta i Sverige och som inte har börjat i förskoleklass eller i någon utbildning för fullgörande av skolplikten ska av sin hemkommun erbjudas förskola. Barn ska från och med ett års ålder erbjudas förskola i den omfattning det behövs med hänsyn till för- äldrarnas förvärvsarbete eller studier eller om barnet har ett eget behov av familjens situation i övrigt. Från och med höstterminen det år barnet fyller tre år ska förskola erbjudas med ett minsta antal tim- mar om året.
79
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
Förskolan ska stimulera barns utveckling och lärande samt erbju- da barnen en trygg omsorg. Verksamheten ska utgå från en helhets- syn på barnet och barnets behov och utformas så att omsorg, ut- veckling och lärande bildar en helhet.
Kommunerna ansvarar för att utbildning i förskola kommer till stånd för alla barn i kommunen som ska erbjudas förskola och vars vårdnadshavare önskar det. Även enskilda kan vara huvudman för förskola.
Bestämmelserna om förskolan finns främst i 8 kap. skollagen och 1998 års läroplan för förskolan (Lpfö 98, SKOLFS 1998:16).
Förskoleklassen
Varje barn som är bosatt i Sverige ska av sin hemkommun erbjudas en plats i förskoleklass från och med höstterminen det år då de fyller sex år. Rättigheten gäller till dess att barnet ska fullgöra sin skolplikt, dvs. då han eller hon ska börja i grundskolan eller i motsvarande skolform.
Förskoleklassen ska stimulera elevers utveckling och lärande och förbereda dem för fortsatt utbildning. Utbildningen ska utgå från en helhetssyn på eleven och elevens behov.
Hemkommunen ansvarar för att utbildning i förskoleklass kom- mer till stånd för alla barn i kommunen som önskar sådan. Staten är dock huvudman för förskoleklasser vid specialskola eller sameskola. Enskilda kan vara huvudman för fristående förskoleklass. Huvud- regeln är att dessa ska vara öppna för alla elever som ska erbjudas ut- bildning i förskoleklassen. Utbildningen får dock begränsas till att avse elever som är i behov av särskilt stöd för sin utveckling. Dessa skolor benämns ibland fristående resursskolor.
Bestämmelser om förskoleklasserna finns huvudsakligen i 9 kap. skollagen och läroplanen för grundskolan, förskoleklassen och fri- tidshemmet (SKOLFS 2010:37).
Grundskolan
För barn gäller normalt skolplikt från och med höstterminen det kalenderår de fyller sju år till utgången av vårterminen det nionde året därefter. Skolplikten ska som huvudregel fullgöras i grundskolan
80
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
eller i någon av de i skollagen angivna motsvarande utbildningsfor- merna, t.ex. grundsärskola, specialskola eller sameskola.
Grundskolan, som ska vara avgiftsfri, har nio årskurser och ska ge eleverna kunskaper och värden samt utveckla elevernas förmåga att tillägna sig dessa. Utbildningen ska utformas så att den bidrar till per- sonlig utveckling samt förbereder eleverna för aktiva livsval och ligger till grund för fortsatt utbildning. Utbildningen ska även främja allsi- diga kontakter och social gemenskap och ge en god grund för ett aktivt deltagande i samhällslivet.
Kommunerna ansvarar för att utbildning i grundskolan kommer till stånd för alla som enligt skollagen har rätt att gå i grundskolan och som inte fullgör sin skolgång på annat sätt. Huvudregeln är att fristående grundskolor ska vara öppna för alla elever som har rätt till utbildning i grundskolan. Utbildningen får dock begränsas till att avse t.ex. elever som är i behov av särskilt stöd. Dessa skolor be- nämns ibland fristående resursskolor.
Bestämmelser om grundskolan finns huvudsakligen i 10 kap. skollagen, skolförordningen (2011:185) och läroplanen för grund- skolan, förskoleklassen och fritidshemmet.
Grundsärskolan
Grundsärskolan är ett alternativ till grundskolan för elever som inte bedöms kunna nå upp till grundskolans kunskapskrav därför att de har en utvecklingsstörning. Syftet är att ge alla elever med utveck- lingsstörning en för dem anpassad utbildning som ger kunskaper och värden och utvecklar elevernas förmåga att tillägna sig dessa. Utbild- ningen ska utformas så att den bidrar till personlig utveckling, för- bereder eleverna för aktiva livsval och ligger till grund för fortsatt utbildning. Utbildningen ska främja allsidiga kontakter och social gemenskap och ge en god grund för aktivt deltagande i samhällslivet. Frågan om mottagande i grundsärskolan prövas av hemkommunen.
Grundsärskolan, som är avgiftsfri, ska ha nio årskurser. Inom grundsärskolan finns en särskild inriktning som benämns tränings- skola, som är avsedd för elever som inte kan tillgodogöra sig hela eller delar av utbildningen i ämnen.
Hemkommunen ansvarar för att utbildning inom grundsärskolan kommer till stånd för alla som har rätt att gå i grundsärskolan och
81
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
inte fullgör sin skolgång på annat sätt. Fristående grundsärskolor ska vara öppna för alla elever som har rätt till utbildning i grundsär- skolan. Utbildningen får dock begränsas till att avse t.ex. elever som är i behov av särskilt stöd. Dessa skolor benämns ibland fristående resursskolor.
Bestämmelser om grundsärskolan finns huvudsakligen i 11 kap. skollagen, skolförordningen och läroplanen för grundsärskolan (SKOLFS 2010:255).
Specialskolan
Barn och ungdomar som på grund av sin funktionsnedsättning eller andra särskilda skäl inte kan gå i grundskolan eller grundsärskolan ska tas emot i specialskolan om de är dövblinda, har en synnedsätt- ning och ytterligare funktionsnedsättning, är döva, är hörselskadade eller har en grav språkstörning. Frågan om mottagande i specialskola prövas av Specialpedagogiska skolmyndigheten.
Specialskolan ska ge dessa barn och ungdomar en utbildning som är anpassad till varje elevs förutsättningar och som så långt det är möjligt motsvarar den utbildning som ges i grundskolan. Special- skolan, som är avgiftsfri, ska ha tio årskurser.
Utbildningen i specialskolan anordnas av Specialpedagogiska skol- myndigheten och bedrivs vid flera skolenheter. Det finns fem regio- nala specialskolor och tre riksskolor som finns vid fyra skolenheter.
Bestämmelser om specialskolan finns huvudsakligen i 12 kap. skollagen, skolförordningen och läroplanen för specialskolan samt för förskoleklassen och fritidshemmet i vissa fall (SKOLFS 2010:250). Grundsärskolans kursplaner får tillämpas för en elev i specialskolan om eleven har en utvecklingsstörning och elevens vårdnadshavare lämnar sitt samtycke (12 kap. 8 § skollagen).
Sameskolan
Sameskolan ska ge en utbildning med samisk inriktning som i övrigt motsvarar utbildningen i årskurserna
82
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
anordnas av Sameskolstyrelsen och bedrivs vid fem skolor. Bestäm- melser om sameskolan finns huvudsakligen i 13 kap. skollagen, skol- förordningen och läroplanen för sameskolan samt för förskoleklassen och fritidshemmet i vissa fall (SKOLFS 2010:251).
Fritidshemmet
Fritidshemmet utgör en för eleverna frivillig verksamhet som kom- pletterar utbildningen i förskoleklassen, grundskolan och motsva- rande skolformer. Fritidshemmet ska erbjuda eleverna en menings- full fritid samt stimulera deras utveckling och lärande. Utbildningen ska utgå från en helhetssyn på eleven och elevens behov.
Hemkommunen ansvarar för att eleverna erbjuds fritidshem. Sta- ten ska dock erbjuda utbildning i fritidshem för elever i specialskola och sameskola. Enskilda får efter ansökan godkännas som huvudmän för fritidshem.
Fritidshem ska erbjudas till och med vårterminen det år då eleven fyller 13 år. Från och med höstterminen det år då eleven fyller 10 år får öppen fritidsverksamhet erbjudas i stället för fritidshem. Bestäm- melser om fritidshemmet finns huvudsakligen i 14 kap. skollagen och läroplanen för grundskolan, förskoleklassen och fritidshemmet (SKOLFS 2010:37).
Gymnasieskolan
För ungdomars vidareutbildning efter fullgjord skolplikt i grund- skola eller motsvarande finns den, som huvudregel, treåriga gymna- sieskolan. Huvudmän för gymnasieskolan, som ska vara avgiftsfri, är kommuner, landsting eller enskilda. Gymnasieskolan ska ge eleverna en grund för yrkesverksamhet och fortsatta studier på högskolenivå samt för personlig utveckling och ett aktivt deltagande i samhälls- livet. Utbildningen kan fullgöras dels vid nationella program, som är yrkesprogram eller högskoleförberedande, dels vid introduktions- program och vidareutbildning i form av ett fjärde tekniskt år. Det finns 18 nationella program, varav 12 är yrkesförberedande och 6 är högskoleförberedande, och 5 introduktionsprogram för elever som inte är behöriga till ett nationellt program.
83
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
För ungdomar med ett svårt rörelsehinder får de kommuner som regeringen beslutar anordna speciellt anpassad utbildning (gym- nasieskola med
Örebro kommun får i sin gymnasieskola anordna utbildning för döva och gravt hörselskadade från hela landet (Riksgymnasiet för döva och hörselskadade).
Huvudregeln är att huvudmannen för fristående gymnasieskola ska ta emot alla ungdomar som har rätt till den sökta utbildningen i gymnasieskolan. Mottagandet till en viss utbildning får dock begrän- sas till att avse t.ex. elever som är i behov av särskilt stöd. Dessa sko- lor benämns ibland fristående resursskolor.
Bestämmelser om gymnasieskolan finns huvudsakligen i 15– 17 a kap. skollagen, gymnasieförordningen (2010:2039) och läropla- nen för gymnasieskolan (SKOLFS 2011:144) samt examensmål för gymnasieskolans nationella program (SKOLFS 2010:14).
Gymnasiesärskolan
Gymnasiesärskolan riktar sig till ungdomar vars skolplikt har upp- hört och som inte bedöms ha förutsättningar att nå upp till gymna- sieskolans kunskapskrav därför att de har en utvecklingsstörning. Gymnasiesärskolan ska ge elever med utvecklingsstörning en för dem anpassad utbildning som ska ge en god grund för yrkesverk- samhet och fortsatta studier samt för personlig utveckling och ett aktivt deltagande i samhällslivet. Hemkommunen prövar frågan om en sökande tillhör målgruppen. Utbildningen i gymnasiesärskolan består av nationella och individuella program. Varje kommun ansva- rar för att alla ungdomar i kommunen som tillhör gymnasiesärsko- lans målgrupp erbjuds utbildning av god kvalitet i gymnasiesärsko- lan. Även landsting och enskilda kan vara huvudmän för gymna- siesärskolan. Bestämmelser om gymnasiesärskolan finns huvudsak- ligen i 18 och 19 kap. skollagen, gymnasieförordningen och läropla- nen för gymnasiesärskolan (SKOLFS 2013:148).
84
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
Elevhälsan
I skollagen anges att det för eleverna i förskoleklassen, grundskolan, grundsärskolan, sameskolan, specialskolan, gymnasieskolan och gym- nasiesärskolan ska finnas elevhälsa (2 kap. 25 § skollagen). Kravet gäller såväl offentliga som fristående skolor. Elevhälsan ska omfatta medicinska, psykologiska, psykosociala och specialpedagogiska insat- ser. Elevhälsan ska främst vara förebyggande och hälsofrämjande. Elevernas utveckling mot utbildningens mål ska stödjas.
För medicinska, psykologiska och psykosociala insatser ska det finnas tillgång till skolläkare, skolsköterska, psykolog och kurator. Vidare ska det finnas tillgång till personal med sådan kompetens att elevernas behov av specialpedagogiska insatser kan tillgodoses.
Varje elev i grundskolan, grundsärskolan och specialskolan ska erbjudas minst tre hälsobesök som innefattar allmänna hälsokontrol- ler. Varje elev i sameskolan ska erbjudas minst två hälsobesök som innefattar allmänna hälsokontroller. Eleven ska dessutom mellan hälsobesöken erbjudas undersökning av syn och hörsel och andra begränsade hälsokontroller. I gymnasieskolan och gymnasiesärsko- lan ska minst ett hälsobesök som innefattar en allmän hälsokontroll erbjudas. Elever får vid behov anlita elevhälsan för enkla sjukvårds- insatser.
Skolbiblioteken
Eleverna i grundskolan, grundsärskolan, specialskolan, sameskolan, gymnasieskolan och gymnasiesärskolan ska ha tillgång till skolbiblio- tek (2 kap. 36 § skollagen). Kravet på att elever ska ha tillgång till skolbibliotek gäller för såväl offentliga som fristående skolor. Skol- biblioteken är en pedagogisk resurs för undervisning och skolarbete.
Av 1 § bibliotekslagen (2013:801) framgår att skolbibliotek ingår i det allmänna biblioteksväsendet.
85
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
4.1.2Särskilda utbildningsformer för barn och ungdomar enligt 24 kap. skollagen
I 24 kap. skollagen finns bestämmelser om bl.a. internationella sko- lor, utbildning vid särskilda ungdomshem, utbildning för barn och elever som vårdas på sjukhus eller en institution som är knuten till ett sjukhus och utbildning i hemmet eller på annan lämplig plats.
Internationella skolor
Med en internationell skola avses enligt skollagen en skola där utbildningen inte följer en sådan läroplan som avses i 1 kap. 11 § skollagen, utan ett annat lands läroplan eller en internationell läro- plan och som i första hand riktar sig till elever som är bosatta i Sverige för en begränsad tid.
Skolinspektionen prövar ansökningar från enskilda om att få god- kännas som huvudman för en internationell skola på grundskolenivå. Vidare kan Skolinspektionen efter ansökan av en kommun besluta att kommunen får vara huvudman för en internationell skola på grundskolenivå. Hemkommunen för en elev i en internationell skola på grundskolenivå ska, om inte hemkommunen och huvudmannen är samma kommun, lämna bidrag till huvudmannen för skolan.
Ett barn får fullgöra sin skolplikt i en internationell skola på grundskolenivå om huvudmannen har godkänts eller fått medgi- vande av Skolinspektionen och barnet t.ex. är bosatt i Sverige under en begränsad tid eller har gått i skola utomlands under en längre tid och vill avsluta sin utbildning i Sverige.
Internationella skolor på gymnasienivå med enskild huvudman behöver enligt gällande rätt inte godkännas av Skolinspektionen, men för att få rätt till bidrag från elevernas hemkommuner krävs att huvudmannen ansökt om och av Skolinspektionen förklarats berät- tigad till bidrag. För att en förklaring om rätt till bidrag ska lämnas krävs bl.a. att det kan antas att det kommer att finnas ett tillräckligt elevunderlag för att driva en stabil verksamhet.
86
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
Utbildning vid särskilda ungdomshem
Utbildning kan i vissa fall ske vid särskilda ungdomshem. Under vistelse i ett sådant hem som avses i 12 § lagen (1990:52) med sär- skilda bestämmelser om vård av unga (avseende särskilt ungdoms- hem) ska skolpliktiga barn, som inte lämpligen kan fullgöra sin skol- plikt på annat sätt, fullgöra den genom att delta i utbildning vid hem- met. Statens institutionsstyrelse (SiS) är huvudman för all utbildning som sker vid särskilda ungdomshem.1 Utbildningen ska motsvara utbildningen i grundskolan eller i förekommande fall grundsärskolan eller specialskolan. För sådan utbildning ska relevanta bestämmelser i skollagen tillämpas med de nödvändiga avvikelser som följer av att barnet vistas i ett sådant hem.
Den som inte längre är skolpliktig och vistas i ett särskilt ung- domshem och som inte lämpligen kan fullgöra skolgång på annat sätt ska genom huvudmannens försorg ges möjlighet att delta i utbild- ning som motsvarar sådan utbildning som erbjuds i gymnasieskolan eller gymnasiesärskolan.
Utbildning på sjukhus
Om ett barn vårdas på sjukhus eller en institution som är knuten till ett sjukhus, ska huvudmannen för institutionen svara för att barnet får tillfälle att delta i utbildning som så långt det är möjligt motsvarar den som erbjuds i förskola, förskoleklass eller fritidshem (24 kap. 16 §). För elever i grundskolan, grundsärskolan, specialskolan, same- skolan, gymnasieskolan och gymnasiesärskolan, som på grund av sjukdom eller liknande skäl inte kan delta i vanligt skolarbete och som vårdas på sjukhus eller en institution som är knuten till ett sjuk- hus, ska särskild undervisning anordnas på sjukhuset eller institu- tionen om det inte är obehövligt för elevens inhämtande av kunska- per (24 kap. 17 §). Sådan undervisning ska så långt det är möjligt mot- svara den undervisning som eleven inte kan delta i. Särskild under- visning anordnas av den kommun där institutionen är belägen (24 kap. 19 §). Statens skolverk (Skolverket) har tagit fram allmänna råd (SKOLFS 2016:64) med kommentarer om utbildning på sjukhus.
1 SOU 2016:62 s. 94 och 125.
87
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
Särskild undervisning i hemmet
För elever i grundskolan, grundsärskolan, specialskolan, sameskolan, gymnasieskolan och gymnasiesärskolan, som på grund av sjukdom eller liknande skäl inte kan delta i vanligt skolarbete under längre tid men som inte vårdas på sjukhus eller en institution som är knuten till ett sjukhus, ska särskild undervisning anordnas i hemmet eller på annan lämplig plats. Sådan undervisning ska så långt det är möjligt motsvara den undervisning som eleven inte kan delta i (24 kap. 20 §). Särskild undervisning får ges i hemmet endast om eleven eller ele- vens vårdnadshavare samtycker. Sådan särskild undervisning anord- nas av den som är huvudman för den utbildning som eleven annars deltar i (24 kap. 22 §).
Annat sätt att fullgöra skolplikten
Ett skolpliktigt barn får medges rätt att fullgöra skolplikten på annat sätt än som anges i skollagen. Medgivande ska lämnas om verksam- heten framstår som ett fullgott alternativ till den utbildning som annars står barnet till buds enligt föreskrifter i skollagen, behovet av insyn i verksamheten kan tillgodoses och det finns synnerliga skäl (24 kap. 23 §).
I förarbetena till bestämmelsen (prop. 2009/10:165 s. 885) anges två exempel på situationer när synnerliga skäl kan förekomma. Den ena är en elev som nyss flyttat till Sverige från något av våra grann- länder som har mycket starka skäl för att gå kvar i det gamla landets skola under återstoden av terminen. Även situationer då en elev under längre tid önskar vara från skolan på grund av resor eller film- inspelning skulle kunna utgöra synnerliga skäl för att under en tid få medgivande att fullgöra skolplikten på annat sätt om det finns mycket starka skäl i det enskilda fallet. Det betonas att bestämmel- sen ska tillämpas med stor restriktivitet.
Medgivande får lämnas för upp till ett år i sänder. Frågor om med- givande prövas som huvudregel av barnets hemkommun.
88
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
4.1.3Annan pedagogisk verksamhet enligt 25 kap. skollagen
Pedagogisk omsorg som erbjuds i stället för förskola eller fritids- hem, öppen förskola, öppen fritidsverksamhet och omsorg under tid då förskola eller fritidshem inte erbjuds regleras i 25 kap. skol- lagen.
Verksamheten kan bedrivas i kommunal och enskild regi.
Pedagogisk omsorg som erbjuds i stället för förskola eller fritidshem
Kommunen ska sträva efter att i stället för förskola eller fritidshem erbjuda ett barn pedagogisk omsorg om barnets vårdnadshavare önskar det (25 kap. 2 §). Pedagogisk omsorg ska genom pedagogisk verksamhet stimulera barns utveckling och lärande. Med pedagogisk omsorg avses bl.a. familjedaghem, flerfamiljslösningar och andra verksamheter där det bedrivs pedagogisk verksamhet i annan form än förskola eller fritidshem (prop. 2009/10:165 s. 886). Förskolans läroplan är vägledande för pedagogisk omsorg. Skolverket har tagit fram allmänna råd (SKOLFS 2012:90) med kommentarer om peda- gogisk omsorg.
Öppen förskola
En kommun får anordna öppen förskola som komplement till för- skola och pedagogisk omsorg. Den öppna förskolan ska erbjuda barn en pedagogisk verksamhet i samarbete med de till barnen medföl- jande vuxna samtidigt som de vuxna ges möjlighet till social gemen- skap (25 kap. 3 §).
Öppen fritidsverksamhet
Från och med höstterminen det år då eleven fyller tio år får öppen fri- tidsverksamhet erbjudas i stället för fritidshem, om eleven inte på grund av fysiska, psykiska eller andra skäl är i behov av sådant särskilt stöd i sin utveckling som endast kan erbjudas i fritidshem (14 kap. 7 §). En huvudman kan erbjuda dessa elever öppen fritidsverksamhet i stället för fritidshem. Den öppna fritidsverksamheten ska genom
89
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
pedagogisk verksamhet komplettera utbildningen i grundskolan, grundsärskolan, specialskolan, sameskolan och andra särskilda utbild- ningsformer i vilka skolplikt kan fullgöras. Verksamheten ska erbjuda barnen möjlighet till utveckling och lärande samt en meningsfull fritid och rekreation.
Omsorg under tid då förskola eller fritidshem inte erbjuds
Kommunen ska sträva efter att erbjuda omsorg för barn under tid då förskola eller fritidshem inte erbjuds i den omfattning det behövs med hänsyn till föräldrars förvärvsarbete och familjens situation i övrigt. Som exempel på omständigheter som är hänförliga till famil- jens situation i övrigt anförs i förarbetena (prop. 2009/10:165 s. 888) att en förälder fullgör värnplikt eller är intagen på behandlingshem eller i kriminalvårdsanstalt.
4.1.4Skolväsendet för vuxna
Skolväsendet för vuxna utgörs enligt 1 kap. 1 § skollagen av skol- formerna kommunal vuxenutbildning och särskild utbildning för vuxna. Målet med dessa utbildningsformer är att vuxna ska stödjas och stimuleras i sitt lärande. Individerna ska ges möjlighet att ut- veckla sina kunskaper och sin kompetens i syfte att bl.a. stärka sin ställning i arbetslivet.
Kommunal vuxenutbildning
Kommunal vuxenutbildning ska tillhandahållas på grundläggande nivå, gymnasial nivå och som utbildning i svenska för invandrare. Utbildning på grundläggande nivå motsvarar i huvudsak grundskolan och syftar till att ge vuxna sådana kunskaper som de behöver för att delta i samhälls- och arbetslivet. Den syftar också till att möjliggöra fortsatta studier. Vuxna som saknar kunskaper motsvarande grund- skolan har rätt att fr.o.m. 20 års ålder delta i den grundläggande vuxenutbildningen.
Utbildning på gymnasial nivå syftar till att ge vuxna kunskaper på en nivå som motsvarar den som utbildningen i gymnasieskolan
90
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
ska ge. Den som fått minst utbildning ska prioriteras till kommunal vuxenutbildning på gymnasial nivå. Från och med den 1 januari 2017 gäller en utökad rätt att delta i kommunal vuxenutbildning på gymnasial nivå i syfte att antingen uppnå grundläggande och sär- skild behörighet till högskoleutbildning som påbörjas på grundnivå och som vänder sig till nybörjare, eller uppnå grundläggande behö- righet eller särskilda kunskaper för utbildning inom yrkeshögsko- lan (prop. 2016/17:5).
Utbildning i svenska för invandrare syftar till att ge vuxna invand- rare grundläggande kunskaper i svenska språket, men också till att ge vuxna invandrare som saknar grundläggande läs- och skrivfärdigheter möjlighet att förvärva sådana färdigheter.
Kommunerna ska tillhandahålla kommunal vuxenutbildning. Landsting får vara huvudmän för sådan utbildning på gymnasial nivå inom områdena naturbruk och omvårdnad och efter avtal med en kommun även inom andra områden. Utbildningen ska som huvud- regel vara avgiftsfri.
Bestämmelser om kommunal vuxenutbildning finns huvudsakli- gen i 20 kap. skollagen, förordningen (2011:1108) om vuxenutbild- ning och läroplanen för vuxenutbildningen (SKOLFS 2012:101).
Särskild utbildning för vuxna
För vuxna med utvecklingsstörning eller förvärvad hjärnskada finns särskild utbildning för vuxna i stället för kommunal vuxenutbild- ning. Målet med utbildningen är att vuxna med utvecklingsstörning ska stödjas och stimuleras i sitt lärande. De ska ges möjlighet att ut- veckla sina kunskaper och sin kompetens i syfte att stärka sin ställ- ning i arbets- och samhällslivet samt att främja sin personliga utveck- ling. Utbildningen på grundläggande nivå syftar till att ge vuxna kunskaper på en nivå som motsvarar den som utbildningen i grund- särskolan ska ge. På motsvarande sätt syftar utbildningen på gymna- sial nivå till att ge kunskaper motsvarande utbildningen på nationella program i gymnasiesärskolan.
Kommunerna är huvudmän för särskild utbildning för vuxna, men landstingen kan efter överenskommelse ansvara för viss utbildning. Utbildningen ska tillhandahållas på grundläggande nivå och gym- nasial nivå samt vara avgiftsfri. Bestämmelser om särskild utbildning
91
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
för vuxna finns huvudsakligen i 21 kap. skollagen, förordningen (2011:1108) om vuxenutbildning och läroplanen för vuxenutbild- ningen (SKOLFS 2012:101).
Elevhälsan
En huvudman för kommunal vuxenutbildning eller särskild utbild- ning för vuxna får för sina elever anordna elevhälsa motsvarande så- dan som ska anordnas för eleverna i bl.a. grundskolan och gymnasie- skolan (2 kap. 25 och 26 §§ skollagen).
4.1.5Särskilda utbildningsformer
för vuxna enligt 24 kap. skollagen
I 24 kap. skollagen finns bestämmelser om bl.a. utbildning för intag- na i kriminalvårdsanstalt och utbildning vid folkhögskola som mot- svarar kommunal utbildning i svenska för invandrare.
Utbildning för intagna i kriminalvårdsanstalt
För intagna på kriminalvårdsanstalt får det anordnas utbildning som motsvarar kommunal vuxenutbildning och särskild utbildning för vuxna. För sådan utbildning ansvarar Kriminalvården (24 kap. 10 §).
Utbildning vid folkhögskola som motsvarar kommunal vuxenutbildning i svenska för invandrare
Den som har rätt att delta i kommunal vuxenutbildning i svenska för invandrare har rätt att i stället delta i en folkhögskolas motsvarande utbildning. Detta om folkhögskolan enligt sådana föreskrifter som har meddelats med stöd av 29 kap. 24 § skollagen av Skolinspektio- nen har getts rätt att sätta betyg, anordna prövning samt utfärda betyg och intyg, och folkhögskolan har förklarat sig ha för avsikt att ta emot den sökande till utbildningen (24 kap. 11 §).
En folkhögskola som till sin utbildning i svenska för invandrare har antagit en elev som har förklarats behörig att delta i utbildning-
92
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
en, har rätt till ersättning för kostnaden för elevens utbildning från elevens hemkommun (24 kap. 15 §).
4.1.6Entreprenad
Enligt bestämmelserna i 23 kap. skollagen får en kommun, ett lands- ting eller en enskild huvudman sluta avtal om att någon annan än kommunen, landstinget eller den enskilde huvudmannen utför upp- gifter inom utbildning eller annan verksamhet enligt skollagen (entre- prenad).
Entreprenad innebär att kommunen, landstinget eller den enskil- de huvudmannen ansvarar i egenskap av huvudman för verksamhe- tens innehåll, men låter någon annan sköta själva utförandet. De bestämmelser som finns för en utbildning i skollagen och andra författningar på skolområdet, t.ex. läroplaner och kursplaner, gäller även vid entreprenad. Bibehållet huvudmannaskap innebär att även om en entreprenör ges i uppdrag av en kommun att utföra uppgifter inom utbildning som kommunen är huvudman för, så är det fortfa- rande fråga om en kommunal verksamhet i förhållande till barn, ele- ver och vårdnadshavare (prop. 2009/10:165 s. 508).
Inom förskolan, förskoleklassen, fritidshemmet, kommunal vuxenutbildning, särskild utbildning för vuxna och sådan pedagogisk verksamhet som avses i 25 kap. får uppgifter överlämnas på entrepre- nad till en enskild fysisk eller juridisk person.
När det gäller undervisning inom grundskolan, grundsärskolan, gymnasieskolan och gymnasiesärskolan får uppgifter som inte är hänförliga till undervisning läggas ut på entreprenad. Uppgifter som avser modersmålsundervisning eller studiehandledning på moders- målet får överlämnas på entreprenad till annan huvudman om huvud- mannen har gjort vad som rimligen kan krävas för att anordna utbild- ningen inom den egna organisationen. Undervisning i gymnasie- skolan i karaktärsämnen som har en yrkesinriktad eller estetisk profil får överlämnas på entreprenad till enskild fysisk eller juridisk person. Vidare får uppgifter som avser fjärrundervisning inom grundskolan, grundsärskolan, gymnasieskolan och gymnasiesärskolan överlämnas till staten på entreprenad. Inom dessa skolformer får uppgifter som avser fjärrundervisning även överlämnas till annan huvudman på entreprenad om uppgifterna är sådana som avser modersmålsunder-
93
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
visning eller studiehandledning på modersmålet om huvudmannen har gjort vad som rimligen kan krävas för att anordna utbildningen inom den egna organisationen
Kommuner kan således erbjuda t.ex. kommunal vuxenutbildning i egen regi eller genom upphandling av andra utbildningsanordnare såsom privata utbildningsföretag, studieförbund eller folkhögskolor (SOU 2016:62 s. 98).
Regeringen har i proposition 2016/17:156 föreslagit att det införs bestämmelser i skollagen om att huvudmän ska vara skyldiga att i vissa situationer erbjuda elever i grundskolan undervisning under skollov. Undervisning inom ramen för lovskolan får överlämnas på entreprenad. Lagändringarna föreslås träda i kraft den 1 augusti 2017. Propositionen behandlas för närvarande i riksdagen.
Regeringen har vidare i proposition 2016/17:161 föreslagit en ny lag om försöksverksamhet med branschskolor. Försöksverksam- heten innebär att en huvudman för utbildning på ett yrkesprogram inom gymnasieskolan eller för kommunal vuxenutbildning enligt skollagen med bibehållet huvudmannaskap får sluta avtal med en branschskola om att skolan utför vissa uppgifter inom sådan utbild- ning (entreprenad). Den nya lagen om försöksverksamhet med branschskolor föreslås träda i kraft den 1 augusti 2017 och tillämpas på utbildning efter den 1 juli 2018. Lagen ska upphöra att gälla vid utgången av juni månad 2023. Propositionen behandlas för närva- rande i riksdagen.
I syfte att öka möjligheterna för huvudmän för vissa skolformer att erbjuda den undervisning som elever har behov av och att ge alla elever en likvärdig tillgång till utbildning utreds frågan om vilka som får bedriva utbildning på entreprenad. En särskild utredare har bl.a. fått i uppdrag att föreslå under vilka förutsättningar skolhuvudmän, eller i vissa fall andra aktörer, bör få utföra undervisning åt andra skolhuvudmän (Utredningen Bättre möjligheter till fjärrundervis- ning och undervisning på entreprenad [U2015:09]). Utredaren ska även bedöma om bestämmelserna i 23 kap. om entreprenad och sam- verkan bör ändras och vid behov föreslå nya ändamålsenliga avtals- former för skolhuvudmän som avser att ingå avtal med varandra om att utföra uppgifter avseende undervisning (dir. 2015:112). Uppdra- get i denna del ska redovisas senast den 30 maj 2017. Utredaren har i tilläggsdirektiv fått i uppdrag att inom samma tid bl.a. bedöma hur
94
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
entreprenad inom skolväsendet förhåller sig till den kommande lagen om offentlig upphandling (dir. 2016:107).
4.2Utredningen om offentlighet och sekretess i skolans syn
på skolans personuppgiftsbehandling
Utredningen om offentlighet och sekretess i skolan har i sitt betän- kande Sekretess i elevernas intresse – Dokumentation, samverkan och integritetet i skolan (SOU 2003:103 s. 198 f.) prövat behovet av särskild reglering av skolmyndigheternas personuppgiftsbehandling. Utredningen konstaterade att ett stort antal elevuppgifter inom skol- verksamheten, såväl i undervisningen som i elevvården, behandlas på ett sådant sätt att de omfattas av bestämmelserna i personuppgifts- lagen (1998:204, PUL). Det kan röra sig om behandling genom regelrätt registerföring (t.ex. datalistor över skolans samtliga elever), behandling i löpande text med hjälp av ordbehandling (t.ex. upprät- tade beslut och protokoll samt personalanteckningar),
Utredningen ansåg att det var självklart att mycket av den behand- ling som förekommer också måste få förekomma eftersom skolverk- samheten på samma sätt som annan verksamhet borde kunna dra för- del av ny teknik. Utredningen analyserade därför om det fanns rätts- ligt stöd för den behandling som behövs i samband med dokumen- tation avseende enskilda elever, dvs. om den kunde ske i överens- stämmelse med personuppgiftslagens regler.
Enligt utredningens bedömning torde det inte föreligga någon tvekan om att skolmyndigheter enligt den då lydande skollagen och andra författningar har en rättslig skyldighet i personuppgiftslagens mening att fullgöra sina åligganden gentemot eleverna i fråga om såväl undervisning som elevvård. Likaså måste det anses vara av stort all- mänt intresse att skolorna kan fullgöra sina arbetsuppgifter. Skolorna bedöms kunna stödja behandling av personuppgifter på 10 § b och d PUL, med undantag för behandlingen av känsliga personuppgifter.
Beträffande skolornas behandling av känsliga personuppgifter konstaterade utredningen att 8 § personuppgiftsförordningen (1998:1191, PUF), enligt vilken känsliga personuppgifter får behand- las även utan samtycke av en myndighet i löpande text, t.ex. i pro-
95
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
memorior, protokoll och beslut, om uppgifterna har lämnats i ett ärende eller om de är nödvändiga för handläggningen av ärendet, inte är tillämplig på behandling som sker i den del av skolornas verksam- het som utgör faktiskt handlande, dvs. när det inte är fråga om ett pågående ärende.
Gemensamt för de flesta fall då känsliga personuppgifter behand- las automatiserat inom ramen för det faktiska handlandet i skol- verksamheten (undantaget skolhälsovården samt legitimerade psyko- loger och psykoterapeuter) är att det krävs samtycke från eleven eller, i förekommande fall, dennes vårdnadshavare. Utan ett sådant uttryckligt samtycke är det alltså normalt inte tillåtet att behandla uppgifterna automatiserat, även om det från skolans eller personalens synvinkel ter sig nödvändigt. Som exempel kan nämnas att det krävs samtycke för att skolpersonalen i en frånvarojournal ska få anteckna orsaken till en elevs frånvaro, i den mån en sådan anteckning innebär att hälsouppgifter registreras.
Utredningens bedömning var att skolmyndigheter, med stöd av personuppgiftslagens bestämmelser, har möjlighet att med datorstöd behandla det absoluta flertalet av uppgifterna som behövs i skolverk- samheten. Rättsliga problem som begränsar skolornas hantering av personuppgifter och som kan kräva särskild reglering kunde enligt utredningens bedömning egentligen uppstå endast när det gäller behandling av känsliga personuppgifter. Flera av de uppgiftskatego- rier som enligt personuppgiftslagen bedöms som känsliga berörde enligt utredningens uppfattning dock inte skolornas behov av registrering i särskilda dataregister.
De känsliga personuppgifter som skolmyndigheterna kan ha be- hov av att behandla i särskilda register rör framför allt uppgifter om elevernas hälsa, men också etniskt ursprung, som behövs för genom- förandet av modersmålsundervisning. Uppgifter om hälsa kan före- komma i elevadministrativ information, t.ex. att vissa elever är aller- giska och därför behöver särskild mat, men kanske främst informa- tion om elevers hälsotillstånd inom ramen för den elevvårdande verksamheten. Utredningen bortsåg dock i detta sammanhang från behovet av personuppgiftsbehandling inom skolhälsovården och annan verksamhet som utgör hälso- och sjukvård.
I fråga om annan behandling av känsliga personuppgifter än sådan som utförs i regelrätta register bedömdes det svårare att uttala sig bestämt om skolornas behov. Ingen användning av de ovan nämnda
96
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
kategorierna av känsliga personuppgifter kan uteslutas när det är fråga om behovet av att behandla information automatiserat i löpande text, t.ex. i beslut eller andra handlingar som har samband med handlägg- ningen av ärenden inom en skolmyndighet. Det finns ingen möjlighet att i förväg avgöra vilka uppgifter som är av betydelse för, och som kan motivera utgången i, ett elevvårdsärende eller ett administrativt ärende. Som exempel kan nämnas ett elevvårdsärende om mobbning av en elev på grund av hans eller hennes sexuella läggning. Med stöd av den generella bestämmelsen i 8 § PUF får alla myndigheter be- handla sådana känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller om de är nödvändiga för handläggning av ärendet. Det uppstår därför inte några rättsliga problem i det avseendet när det är fråga om hantering av känsliga personuppgifter vid handläggningen av ärenden inom en skolmyndighet.
En stor del av skolornas verksamhet utgörs av s.k. faktiskt hand- lande, såväl i fråga om undervisning som elevvård. Även som ett led i det faktiska handlandet kan det finnas ett visst behov av att med datorstöd behandla känsliga personuppgifter som rör elevernas hälsa m.m., t.ex. när kuratorer eller specialpedagoger för anteckningar vid elevsamtal. I princip är detta i dag inte tillåtet utan att uttryckligt samtycke inhämtas från elever eller, i förekommande fall, vårdnads- havare. (Det bör noteras att 5 a § PUL inte fanns när betänkandet skrevs, bestämmelsen trädde i kraft först den 1 januari 2007.) Det- samma gäller möjligheten att i vissa fall behandla t.ex. uppgifter om etniskt ursprung i elevadministrativ verksamhet. Datainspektionen var emellertid av den uppfattningen att registrering av känsliga uppgifter som behövs för modersmålsundervisning i grundskolan är tillåtet enligt personuppgiftslagen utan att samtycke inhämtas, eftersom det handlar om att fastställa eller göra gällande elevers rättsliga anspråk enligt grundskoleförordningen2. Utredningen hade ingen avvikande uppfattning i den frågan.
Särskild reglering som tillåter myndigheter att registrera känsliga personuppgifter utan samtycke borde enligt utredningens uppfatt- ning komma i fråga endast om det är nödvändigt för att verksam- heten ska kunna fungera på ett rationellt och av statsmakterna förut- satt sätt. Inte minst bör restriktivitet iakttas när det är fråga om barn. Av integritetsskäl bör därför sådana uppgifter i första hand behandlas
2 Datainspektionens rapport 2002:2, Behandling av elevers personuppgifter i grundskolan.
97
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
av skolmyndigheter endast om de registrerade personerna lämnar sitt samtycke till uppgiftsbehandlingen. Utredningen var även av den åsikten att det i de allra flesta fall är fullt praktiskt möjligt för skol- myndigheter, eller enskilda skolor, att inhämta sådant samtycke i de fall det behövs.
Sammantaget var utredningen av den uppfattningen att det i skol- verksamheten inte finns ett så stort behov av att behandla känsliga personuppgifter, att det inte på ett praktiskt sätt går att tillgodose behovet utan sådan särskild författningsreglering som tillåter behand- lingen av uppgifter även om samtycke saknas. På motsvarande sätt som samråd och samverkan med elever och vårdnadshavare är huvud- regeln för skolverksamheten i övrigt, bör samtycke utgöra grunden för all registrering av känsliga personuppgifter i särskilda register och även för all övrig behandling av känsliga personuppgifter i den faktis- ka verksamheten (dvs. när det inte är fråga om ärendehantering). Utredningen lämnade därför inga författningsförslag om behandling av personuppgifter i skolan.
4.3Skydd för uppgifter om barn
– yttrande av artikel
Artikel
Yttrandet riktar sig uttryckligen huvudsakligen till de som hante- rar uppgifter om barn och i skolsammanhang främst till lärare och skolmyndigheter. Yttrandet innehåller avsnitt om hur uppgifter i elevfiler bör hanteras såsom t.ex. information till den registrerade (vårdnadshavare), ändamålsbegränsningar och proportionalitet, icke- diskriminering, vem som ska få tillgång till uppgifterna och bevaran- de och utplånande av uppgifter. Vidare behandlas även frågor om uppgifter om elevers hälsotillstånd, webbplatser och foton av elever.
3 Artikel
98
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
Beträffande elevfiler anges bl.a. att personuppgifter får tas med i elevfiler endast om de är nödvändiga för berättigade ändamål som skolorna strävar efter att uppnå. Uppgifterna får inte användas på ett sätt som är oförenligt med sådana ändamål. De uppgifter som begärs får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna samlas in (t.ex. är uppgifter om för- äldrarnas akademiska examen eller yrke inte alltid nödvändiga).
Behandling av vissa uppgifter i elevfiler kan ge upphov till diskri- minering, t.ex. uppgift om invandrarstatus eller funktionsnedsätt- ning. Det konstateras att sådana uppgifter i regel inhämtas i syfte att trygga att skolan är medveten om och ägnar erforderlig uppmärk- samhet t.ex. åt elever med kulturellt betingade problem såsom språk- problem. Principen om barnets bästa och principen om ändamåls- begränsning bör vara de relevanta kriterierna vid behandling av såda- na uppgifter.
Det intas en mycket strikt hållning när det gäller införande av uppgifter om elevers religion i elevfiler. När det av administrativa skäl införs en uppgift om att en elev har särskilda kostönskemål i fråga om skolmat bör det inte i onödan dras några slutsatser om elevens reli- gion.
Alla uppgifter som kan ge upphov till diskriminering måste skyd- das genom lämpliga säkerhetsåtgärder och genom andra lämpliga åtgärder. Samtycke till behandling av alla uppgifter som kan ge upp- hov till diskriminering måste vara otvetydigt.
Behandling av uppgifter av särskild karaktär – t.ex. uppgifter om disciplinförfaranden, läkarbehandling i skolan, skolans inriktning (t.ex. när det rör sig om en skola som vilar på religiös grund) eller särskild utbildning för funktionshindrade – måste vara underkastad särskilda säkerhetskrav. Elevens vårdnadshavare och eleven själv, om han eller hon uppnått tillräcklig mognadsgrad, bör ges tillgång till uppgifterna i elevfiler. För övrigt bör tillgången till uppgifterna vara strängt reglerad och begränsad till skolmyndigheter, skolinspektörer, hälso- och sjukvårdspersonal, socialarbetare och rättsvårdande organ.
Den allmänna principen om att personuppgifter inte ska bevaras under längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna insamlades är giltig även när det gäller elevfiler.
Vidare konstateras att uppgifter om elevers hälsotillstånd är käns- liga personuppgifter och att dessa bör behandlas endast av läkare och andra personer som direkt ”har hand om” eleverna, såsom lärare och
99
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
annan skolpersonal som är bunden av tystnadsplikt. För behandling av uppgifter om elevers hälsotillstånd krävs det antingen att vårdnads- havarna har gett sitt samtycke eller att behandlingen är nödvändig för att skydda grundläggande intressen som har att göra med skolan eller utbildningen.
Beträffande skolwebbplatser uttalas att spridning av personinfor- mation via webbplatser kräver ett striktare iakttagande av grundläg- gande principer för uppgiftsskydd, särskilt uppgiftsminimering och proportionalitet. I syfte att skydda sådan information rekommen- deras skolorna att använda mekanismer för begräsning av tillträdet till webbplatserna, t.ex. genom inloggning med hjälp av
I yttrandet anges att publicering av fotografier av eleverna på internet bör göras grundat på en bedömning av vilken typ av foto det rör sig om, av om det är lämpligt att lägga ut fotot på nätet och av syftet med utläggningen. Eleverna och vårdnadshavarna bör på för- hand underrättas om publiceringen, men samtycke behöver inte nöd- vändigtvis inhämtas av vårdnadshavarna om det gäller gruppfoto och det inte är enkelt att identifiera eleverna (och det är tillåtet enligt nationell lagstiftning). Om en skola har för avsikt att lägga ut indi- viduella foton av eleverna med uppgift om deras identitet, måste den först inhämta vårdnadshavarnas och – beroende på elevernas mog- nadsgrad – elevernas tillstånd för detta.
Artikel
100
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
4.4
Vid Datainspektionens granskning av skolor 2001 konstaterades att
Datainspektionen gjorde under 2009 en uppföljning av kartlägg- ningen från 2008 och kunde konstatera att det fortfarande fanns brister i hur skolorna hanterar personuppgifter om elever och för- äldrar i sina
I Skolverkets uppföljning 2015 av
Vidare framgår att både elever och lärare använder it i skolan allt oftare. Sett till eleverna använde de 2015 jämfört med 2012 it oftare både till skoluppgifter och på lektionerna och lärarna använde it i allt större utsträckning för olika arbetsuppgifter. Uppemot hälften av eleverna i årskurs
4
5
6
7Skolverkets rapport:
101
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
ämnen 2015. I gymnasieskolan använde närmare sju av tio elever dator eller surfplatta på alla eller de flesta lektionerna i svenska och samhällskunskap.
Många skolor, sju av tio grundskolor och åtta av tio gymnasie- skolor, använde 2015 s.k. molntjänster som t.ex. Google apps, Office 365 och iCloud. En molntjänst innebär möjligheten att t.ex. hantera program och datalagring på en extern resurs.
Antalet skolor som använder sig av internetbaserade plattformar för samarbetet mellan elever och lärare har också ökat mellan 2012 och 2015. Sådana plattformar användes 2015 i 67 procent av de kom- munala grundskolorna, i 56 procent av de fristående grundskolorna, i 95 procent av de kommunala gymnasieskolorna och i 84 procent av de fristående gymnasieskolorna. Även andelen skolor som använde en internetbaserad plattform för kommunikationen mellan vård- nadshavare och skola har ökat.
Många skolor har en egen webbplats. Sådana webbplatser används oftare i gymnasieskolor än i grundskolor. Vanligt förekommande tjänster i skolorna är möjligheten att via skolans webbplats eller internetbaserade plattform få åtkomst till bl.a. schema, läxor och hemarbeten, skolresultat och funktioner för frånvaroanmälan.
Av Skolverkets redovisning i april 2016 av uppdraget om att före- slå nationella
Det här området benämns learning analytics. Learning analytics handlar om att samla och analysera data på olika nivåer för att förbätt-
8 Skolverkets redovisning av uppdraget om att föreslå nationella
102
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
ra förutsättningarna för elevers lärande. Det handlar också om att ge stöd för lärarens bedömning liksom beslutsstöd på huvudmannanivå.9 Förhoppningen är att den insamlade informationen kan bearbetas och presenteras överskådligt och därigenom underlätta för läraren att bl.a. individualisera undervisningen och ge eleven underlag för reflek-
tion kring det egna lärarandet.
Integritetskommittén konstaterar i sitt delbetänkande10 att digi- tala lärplattformar, dvs. internetbaserade system som möjliggör olika sorters interaktivitet och kommunikation mellan elever, lärare och vårdnadshavare, kan möjliggöra en detaljerad loggning av elevens aktiviteter med information om t.ex. när på dygnet eleven arbetar i systemet, hur eleven interagerar och kommunicerar med lärare och andra elever och hur aktivt eleven arbetar med sina olika ämnen i systemet. Denna information skulle genom learning analytics kunna användas för att få veta mer om elevens inlärningsprocess. Learning analytics är ännu i sin linda.
Skolverket bevakar området learning analytics för att kunna iden- tifiera behov av reglering respektive bidra till utvecklandet av stan- darder för utbyte av information inom skolväsendet.11
Utredningen om nationella prov har i betänkandet Likvärdigt, rättssäkert och effektivt – ett nytt system för kunskapsbedömning, SOU 2016:25, föreslagit bl.a. att en särskild lag om behandling av personuppgifter i en försöksverksamhet med digitaliserade nationella prov ska införas. Det ingår dock inte i utredningens uppdrag att se över den föreslagna lagen och den behandlas därför inte i detta betän- kande.
4.5Personuppgiftsbehandling inom skolväsendet
Av beskrivningen i föregående avsnitt framgår att det inom den skol- lagsreglerade verksamheten används olika
9
10Hur står det till med den personliga integriteten? SOU 2016:41, s. 181 f.
11Skolverkets redovisning av regeringsuppdraget om att föreslå nationella
103
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
huvudmän och aktörer låter sig inte göras. Utifrån utredningens uppdrag, att det när dataskyddsförordningen ska börja tillämpas ska finnas en reglering som möjliggör en ändamålsenlig behandling inom utbildningsområdet, ges nedan därför en översiktlig beskrivning endast av de huvudsakliga behandlingarna som sker inom området.
Personuppgifter om elever behandlas i skolväsendet för elevadmi- nistrativa ändamål för att kunna planera, genomföra och följa upp elevernas utbildning.
Inom kommunernas organisation för bl.a. mottagande och erbju- dande av plats i de olika skolformerna behandlas bl.a. elevens namn, personnummer, adress, vårdnadshavare och kontaktuppgifter till des- sa. Det kan också förekomma att känsliga personuppgifter behandlas, t.ex. uppgifter om elevens hälsotillstånd.
Inom skolornas elevadministration behandlas uppgifter om bl.a. elevens namn, personnummer, adress, vårdnadshavare och kontakt- uppgifter till dessa. Vid skapandet av klasslistor behandlas person- uppgifter i form av namn och adress. I skolorna behandlas också elevens personuppgifter i samband med att de registrerar elevers från- varo respektive närvaro (7 kap. 17 § skollagen), för dokumentation för att kunna skriva utvecklingsplaner och i utvecklingsplanen (t.ex. 10 kap. 12 och 13 §§ skollagen). Vid upprättandet av t.ex. en lista över elevers ämnesval, såsom språkval och modersmålsundervisning (t.ex. 10 kap. 7 § skollagen), behöver också personuppgiftsbehand- ling ske. Även vid dokumentation inför betygssättning och av själva betygssättningen (3 kap. 13 § skollagen), t.ex. i betygsregister, behandlas elevernas personuppgifter i form av namn, personnummer och betyg i ämnen, kurser och gymnasiearbete.
När en skola utreder och beslutar om stödåtgärder (t.ex. 3 kap. 5 a och 8 §§ skollagen) respektive åtgärdsprogram (3 kap. 9 § skol- lagen) behandlas också personuppgifter. Om disciplinära åtgärder vidtas ska dessa dokumenteras skriftligt (5 kap. 24 § skollagen) var- vid personuppgiftsbehandling sker.
Personuppgifter behandlas även inom elevhälsan, t.ex. i samband med allmänna hälsokontroller som ska erbjudas i vissa skolformer (2 kap. 26 § skollagen) eller vid specialpedagogiska insatser (2 kap. 25 § skollagen).
Även vid lämnande av information till eleven eller elevens vård- nadshavare (3 kap. 4 § skollagen) kan personuppgiftsbehandling bli
104
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
aktuell beroende på hur informationen lämnas t.ex. genom ett
Beroende av val av
Elevernas personuppgifter kan även behandlas automatiskt i undervisningen genom att t.ex. en lärare anvisar eleverna till att lämna in en uppsats via en lärplattform eller via
Känsliga personuppgifter kan förekomma vid vissa personupp- giftsbehandlingar, t.ex. i uppgiftssamlingar om allergier inom elev- hälsan och skolmatsalen, uppgifter om funktionsnedsättning och olika diagnoser i elevhälsan, elevvårdsteam och åtgärdsprogram. I utvecklingsplaner kan integritetskänsliga omdömen och bedömningar av elevernas möjligheter att nå kunskapskrav förekomma.
Personuppgiftsbehandling förekommer också i form av att barnen fotograferas av personalen i syfte att dokumentera verksamheten inom främst förskolan. Personuppgiftsbehandling i form av ljud- och filminspelningar kan även förekomma i undervisningssammanhang och elevarbeten.
Även i skolbiblioteken behandlas elevernas personuppgifter för att personalen ska kunna ha kontroll över vilka böcker som är utlå- nade till vem.
I förskolorna, fritidshemmen och pedagogisk omsorg behandlas barnens och elevernas personuppgifter i form av i vart fall namn för att kunna planera och genomföra respektive uppdrag att stimulera barnens och elevernas utveckling och lärande. Personalen i respek- tive verksamhet behöver även kunna notera när ett barn eller en elev kommit respektive gått för dagen. Även inom dessa verksamheter kan det finnas behov av att kunna behandla känsliga personuppgifter, t.ex. uppgifter om allergier.
Huvudmän för fristående förskolor och skolor behandlar även barnens respektive elevernas personuppgifter i samband med att de informerar kommunen om att de tagit emot ett barn eller en elev för
105
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
att huvudmannen ska få bidrag från hemkommunen (t.ex. 9 kap. 19 § och 10 kap. 37 § skollagen). I de fall en elev har ett omfattande behov av särskilt stöd eller ska erbjudas modersmålsundervisning ska hem- kommunen betala ett tilläggsbelopp (t.ex. 9 kap. 21 § och 10 kap. 39 § skollagen). I ansökan om tilläggsbelopp förekommer känsliga person- uppgifter om eleven, t.ex. uppgift om funktionsnedsättning och behov av tekniska hjälpmedel.
Skolorna behandlar även elevernas personuppgifter vid resultat- uppföljningar som görs för dels huvudmannens systematiska kvali- tetsarbete (4 kap. 3 § skollagen), dels nationell uppföljning och utvärdering (26 kap. 25 § skollagen, förordning [1992:1083] om viss uppgiftsskyldighet för huvudmännen inom skolväsendet m.m. och Skolverkets föreskrifter [SKOLFS 2011:142] om uppgiftsinsamling från huvudmännen inom skolväsendet m.m.).
Särskilt om elevhälsan
Elevhälsan omfattar medicinska, psykologiska, psykosociala och specialpedagogiska insatser. Den del av elevhälsan som består av den medicinska grenen (hälso- och sjukvård) anses utgöra en självständig verksamhetsgren i förhållande till den övriga elevhälsan. För den personuppgiftsbehandling som sker inom hälso- och sjukvården som bedrivs på skolorna gäller patientdatalagen (2008:355). Förutom patientdatalagen med tillhörande förordning innehåller Socialstyrel- sens föreskrifter och allmänna råd
Vid vård av patienter ska det föras patientjournal (3 kap. 1 § patientdatalagen). Syftet med journalen är i första hand att bidra till en god och säker vård av patienten. För skolsköterskan och skol- läkaren är journalen för elevhälsans medicinska insats ett underlag för att bedöma eventuella behov av uppföljning eller åtgärder utifrån tidi- gare undersökningsfynd eller åtgärder. Det kan till exempel gälla uppföljning av en ryggundersökning som genomförts i den egna elevhälsan eller i en annan elevhälsa. Journalen för elevhälsans medi- cinska insats är även en informationskälla för vårdnadshavaren och eleven.
106
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
Även skolpsykologer brukar ingå i hälso- och sjukvårdsperso- nalen och har skyldighet att föra patientjournal. Huruvida en skol- psykologs utredning av och insatser för en elev är hälso- och sjuk- vård eller inte beror på dess karaktär. Om skolpsykologen gör en individuell utredning av elevens psykiska hälsa i en patient- och behandlarrelation är verksamheten hälso- och sjukvård. En sådan utredning kan bl.a. ha sin grund i att det pedagogiska arbetet inte fungerar. Om utredningen och insatserna i stället är av mer generell karaktär och främst är knutna till den pedagogiska miljön är det emellertid inte hälso- och sjukvård.12
Journalföringsskyldigheten är densamma i fristående skolor som i kommunala skolor.
Elevhälsans psykosociala insatser utförs vanligen av skolkuratorer och de specialpedagogiska insatserna av personal med specialpeda- gogisk kompetens. Även om en specialpedagog eller motsvarande och, i vissa fall, en skolkurator inte har någon skyldighet att föra patientjournal så har de en dokumentationsskyldighet vid handlägg- ning av enskilda elevärenden som avser myndighetsutövning (29 kap. 10 § skollagen). Det kan exempelvis vara ärenden om särskilt stöd. Personuppgiftsbehandlingen ska då göras enligt personuppgifts- lagens bestämmelser. För insatser inom ramen för faktiskt handlande finns inget dokumentationskrav. Gränsen mellan vad som är ärende- handläggning och faktiskt handlande är inte alltid helt tydlig.
4.6Rättslig grund för personuppgiftsbehandling
4.6.1Utredningens uppdrag i denna del
Kommittédirektiven
För att personuppgifter ska få behandlas helt eller delvis automatiskt eller annan behandling ska få ske av personuppgifter som ingår i eller kommer att ingå i ett register krävs att en rättslig grund i artikel 6.1 i dataskyddsförordningen är tillämplig. Enligt artikel 6.3 första stycket ska grunden för den behandling av personuppgifter som av- ses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den nationella rätten som den personuppgiftsansvarige omfattas av.
12 Socialstyrelsens och Skolverkets Vägledning för elevhälsa – reviderad version 2016, s. 26.
107
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
Enligt kommittédirektiven behöver det analyseras vad dataskydds- förordningens krav i denna del innebär i fråga om nationell författ- ningsreglering. Dataskyddsutredningen ska analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myn- digheters och andra organs behandling och lämna behövliga och lämpliga författningsförslag.
När det gäller behandling av personuppgifter som utförs av myn- digheter, kommuner, landsting och enskilda inom utbildningsom- rådet, förutom forskningsverksamhet, uppdras det åt utredningen att analysera om en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskydds- utredningen kommer att föreslå, för att säkerställa att nödvändig behandling av personuppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.
Utredningen ska därför undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom skollagsreglerad utbildnings- verksamhet som är möjlig och kan behövas utöver dataskyddsför- ordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå och lämna de författningsförslag som behövs.
Utredningens närmare utgångspunkter
I dagsläget regleras skolväsendets och de övriga skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling av person- uppgiftslagen. Förutom för den medicinska verksamheten inom elevhälsan, som omfattas av patientdatalagen, finns det ingen särskild registerförfattning för denna personuppgiftsbehandling. Den 25 maj 2018 ska dataskyddsförordningen börja tillämpas. Utredningen utgår från att Dataskyddsutredningens förslag till lag (2018:xx) om kom- pletterande bestämmelser till EU:s dataskyddsförordning (data- skyddslagen) kommer att träda i kraft samma dag och att person- uppgiftslagen därigenom kommer att upphävas.
För en personuppgiftsansvarig som anordnar utbildning eller full- gör andra uppgifter enligt skollagen innebär detta att denne måste ha stöd för sin behandling i en rättslig grund enligt artikel 6.1 i data- skyddsförordningen om behandlingen företas på helt eller delvis automatisk väg eller ingår i eller kommer att ingå i ett register. De
108
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
rättsliga grunder som främst är aktuella för en personuppgiftsansvarig inom det skollagsreglerade utbildningsområdet att tillämpa är dels att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (c), dels att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (e). Ytter- ligare grunder som skulle kunna vara aktuella är samtycke från den registrerade till behandlingen (a) och för enskilda huvudmän intresse- avvägningen enligt (f).
Beträffande de rättsliga grunderna i artikel 6.1 c och e i data- skyddsförordningen krävs, enligt artikel 6.3 första stycket, att de är fastställda i enlighet med unionsrätten eller en medlemsstats natio- nella rätt som den personuppgiftsansvarige omfattas av för att de ska vara tillämpliga. Detta är nytt i jämförelse med personuppgiftslagen. Såsom redogjorts för i avsnitt 3.4.1 är Dataskyddsutredningens upp- fattning att det med grunden för behandlingen i artikel 6.3 första stycket avses den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen (SOU 2017:39, avsnitt 8.3.1). En- ligt Dataskyddsutredningens bedömning innebär kravet på att grunden för behandlingen ska fastställas inte att det krävs en särskild reglering med anledning av dataskyddsförordningens ikraftträdande, men förekomsten av reglering avgör i vilken utsträckning personupp- giftsansvariga kan åberopa de rättsliga grunder som avses i artikel 6.1 c och e.
Av artikel 6.3 andra stycket framgår att syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets- utövning. Vidare anges att den rättsliga grunden kan innehålla sär- skilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Kommittédirektivens beskrivning av utbildningsområdet omfat- tar inte de uppgifter som skollagen ålägger hemkommunen gene- rellt, t.ex. anordna skolskjuts och betala bidrag till enskilda huvud- män. Andra uppgifter som åligger hemkommunen omnämns dock särskilt t.ex. att hemkommunen ska föra ett register över de ung-
109
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
domar i kommunen som omfattas av aktivitetsansvaret enligt 29 kap. 9 § skollagen.
Av direktiven framgår dock att utredningen är oförhindrad att inom de ramar som angetts för uppdraget ta upp och belysa även andra frågeställningar som är relevanta för uppdraget. Om utreda- ren kommer fram till att det krävs eller är lämpligt med komplet- terande eller ändrade nationella bestämmelser i andra delar än de som ska utredas särskilt, ska sådana föreslås.
Det har framkommit att det förenklar för kommunerna om de, när de behandlar personuppgifter med anledning av skollagen har att tillämpa samma regelverk, oavsett om behandlingen grundas i en uppgift som utförs på grund av att kommunen är huvudman för en viss skolform eller om behandlingen grundas i ett annat åliggande enligt skollagen. Utredningen har därför valt att även ta upp frågor som rör kommunernas åligganden såsom hemkommuner enligt skol- lagen.
De första frågor som utredningen har att ta ställning till är om det finns en eller flera rättsliga grunder som är tillämpliga för huvud- männen för den skollagsreglerade utbildningsverksamheten och kom- munerna såsom hemkommuner, dvs. de personuppgiftsansvariga, när de behandlar personuppgifter. Om utredningen kommer fram till att dessa fullgör en rättslig förpliktelse, utför en uppgift av allmänt intresse eller utför en uppgift som ett led i myndighetsutövning måste utredningen även ta ställning till vilket rättsligt stöd det finns för verksamheterna att utföra dessa uppgifter, dvs. om grunderna är fastställda i svensk rätt.
Som framgår av följande avsnitt bedömer utredningen att upp- gift av allmänt intresse är den rättsliga grund som skollagsreglerad utbildningsverksamhet oftast kan tillämpa vid behandling av person- uppgifter. Av den anledningen inleds genomgången av de rättsliga grunderna med den.
110
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
4.6.2Uppgift av allmänt intresse
Bedömning: Genom bestämmelser i skollagen med anslutande föreskrifter och beslut fattade med stöd av dessa är det i svensk rätt fastställt att tillhandahållande, anordnande och bedrivande av utbildning och annan pedagogisk verksamhet är en uppgift av allmänt intresse.
Artikel 6.1 e i dataskyddsförordningen kan därmed utgöra rättslig grund för nödvändig personuppgiftsbehandling för att ut- öva verksamhet som har sin grund i nämnda föreskrifter när per- sonuppgiftslagen upphävs. Det finns således inget behov av en särskild reglering för att de skollagsreglerade verksamheterna ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse.
Är anordnande och bedrivande av utbildning en fastställd uppgift av allmänt intresse?
Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I artikel 6.1 anges att en behandling är laglig endast om och i den mån åtminstone ett av de i artikeln uppräknade vill- koren är uppfyllt. Enligt artikel 6.1 e får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Artikeln är inte begränsad till offentligrättsliga aktörer utan den rättsliga grunden allmänt intresse kan åberopas av både det allmänna och enskilda.
Begreppet allmänt intresse är ett unionsrättsligt begrepp som ännu inte har definierats. I artikel 14 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02) anges att var och en har rätt till utbildning och att denna rätt innefattar möjligheten att kost- nadsfritt följa den obligatoriska undervisningen. Att utbildning är en grundläggande rättighet talar för att utbildning, på
Dataskyddsutredningens bedömning är att det med hänsyn till svensk förvaltningstradition är rimligt att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse. Även de obligatoriska uppgifter som utförs av kommuner och landsting, till
111
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
följd av deras åligganden enligt lag eller förordning, bör vara av all- mänt intresse i dataskyddsförordningens mening. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndig- het, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör även entreprenören anses utföra en uppgift av allmänt intresse. Genom avmonopolisering och konkurrensutsättning av offentlig verksamhet utför numera även privaträttsliga organ en inte obetydlig del av de uppgifter som måste anses vara av allmänt intresse, t.ex. barnomsorg och skola (SOU 2017:39, avsnitt 8.3.4).
Enligt 1 kap. 2 § andra stycket regeringsformen ska det allmänna särskilt trygga rätten till bl.a. utbildning. Syftet med bestämmelsen är att ange mål för den samhälleliga verksamheten. Redan härur kan det utläsas att anordnande av utbildning enligt svensk rätt är en uppgift av allmänt intresse.
Därtill finns skollagen med anslutande föreskrifter som innehåller närmare bestämmelser om utbildning för barn och vuxna. I förarbe- tena till den nuvarande skollagen anförs att utbildningen är av bety- delse både för den enskilda individens utveckling och för samhälls- utvecklingen (prop. 2009/10:165 s. 634). Redan utredningen om offentlighet och sekretess i skolan ansåg att det är av stort allmänt intresse att skolorna kan fullgöra sina arbetsuppgifter (SOU 2003:103 s. 199). Regeringen har i två propositioner från i mars 2017 ansett att undervisning inom skolväsendet får anses vara en uppgift av allmänt intresse i den mening som avses i 10 § PUL (prop. 2016/17:156 s. 43 och prop. 2016/17:161 s. 21).
Skollagen innehåller förutom bestämmelser om skolväsendet och särskilda utbildningsformer även bestämmelser om bl.a. annan peda- gogisk verksamhet (25 kap.), se avsnitt 4.1.3. Även om annan pedago- gisk verksamhet i strikt mening inte skulle inrymmas i begreppet utbildning så utgör de uppgifter som utförs av kommuner till följd av deras åligganden enligt skollagen med anslutande föreskrifter. När det gäller öppen förskola är det visserligen enligt skollagen frivilligt för kommunen att anordna sådan men om kommunen fattar beslut om att anordna öppen förskola måste verksamheten följa de före- skrifter som kommunen ställer upp. Enligt utredningens bedömning bör även annan pedagogisk verksamhet vara en uppgift av allmänt intresse i dataskyddsförordningens mening. Detsamma gäller för öppen fritidsverksamhet som erbjuds av en huvudman.
112
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
Även de uppgifter som åligger en kommun såsom hemkommun enligt skollagen, t.ex. ansvar för att utbildning i förskola kommer till stånd för alla barn i kommunen som ska erbjudas förskola och vars vårdnadshavare önskar det (8 kap. 12 § skollagen) eller tillhandahålla skolskjuts (t.ex. 10 kap. 32 § skollagen) är enligt utredningens bedöm- ning en uppgift av allmänt intresse i dataskyddsförordningens mening.
Utredningens bedömning är således att tillhandahållande och anordnande av utbildning och annan pedagogisk verksamhet enligt skollagen med anslutande föreskrifter är en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
Frågan härefter blir om denna uppgift är fastställd i svensk rätt. Av skäl 41 till dataskyddsförordningen framgår att en rättslig grund bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den.
Skolväsendets, de särskilda utbildningsformernas och annan peda- gogisk verksamhets samt hemkommunernas uppdrag och åligganden framgår av skollagen men även av flera förordningar som alla antagits i enlighet med grundlagens bestämmelser om normgivningskom- petens. Skollagen anger vilka ramar som gäller för all skolverksamhet. Där finns de övergripande målen och riktlinjerna för skolan. Läro- planerna ska tillsammans med skollagen styra verksamheten i skolan. I ämnes- och kursplanerna står vilket syfte och mål undervisningen i varje ämne ska ha. Kursplanerna talar inte om hur undervisningen ska läggas upp eller vilka arbetssätt som ska användas. Däremot anger kursplanerna vilka kunskapskvalitéer som ska utvecklas hos eleverna. Uppgiften av allmänt intresse som går att utläsa av skollagen och tillhörande föreskrifter kan sammanfattas till att tillhandhålla, anord- na och genomföra samt utvärdera och följa upp utbildning och annan pedagogisk verksamhet.
Av avsnitt 4.1 framgår vilka som enligt 1 kap. 1 § och 2 kap. 2– 6 §§ skollagen kan vara huvudmän för olika skolformer. Den när- mare innebörden av uppdragen och åliggandena inom dessa verksamheter framgår av
113
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
gymnasiegemensamma ämnena och Skolverkets föreskrifter (SKOLFS 2011:19) om kunskapskrav för grundskolans ämnen.
Av 2 kap. 8 § skollagen framgår att huvudmannen ansvarar för att utbildningen genomförs i enlighet med bestämmelserna i denna lag, föreskrifter som har meddelats med stöd av lagen och de bestäm- melser för utbildningen som kan finnas i andra författningar. Genom bestämmelserna i 2 kap.
Huvudmännen är, oavsett om de är en kommun, ett landsting, staten eller ett privaträttsligt subjekt, skyldiga att genomföra utbild- ningen i enlighet med bestämmelserna i skollagen och anslutande föreskrifter samt de bestämmelser för utbildningen som kan finnas i andra författningar, dvs. i enlighet med en offentligrättslig lagstift- ning. Uppdraget att bedriva utbildning är således detsamma oavsett huvudmannaskap.
Legalitetsprincipen
Enligt 1 kap. 1 § regeringsformen utövas den offentliga makten under lagarna. Med uttrycket lagarna avses inte endast sådana föreskrifter som riksdagen har beslutat utan även andra författningar och t.ex. sedvanerätt (prop. 1973:90 s. 397). All offentlig verksamhet, oavsett dess karaktär måste grundas på skrivna regler i rättsordningen. För statliga, kommunala eller landstings myndigheter gäller legalitets-
114
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
principen, dvs. myndigheternas maktutövning i vidsträckt mening måste ha stöd i någon av de källor som tillsammans bildar rättsord- ningen. Kravet på författningsstöd bildar utgångspunkten för myn- digheternas verksamhet, såväl när det gäller att handlägga ärenden och beslut i dessa som i fråga om annan verksamhet som en myndighet bedriver.
Det kan vidare nämnas att regeringen i en proposition om ny för- valtningslag föreslår att legalitetsprincipen även ska komma till ut- tryck i förvaltningslagen (prop. 2016/17:180 s. 57 f. och 289). Av föreslagen 5 § framgår att en myndighet endast får vidta åtgärder som har stöd i rättsordningen. Paragrafen föreslås gälla i all verk- samhet som en myndighet bedriver, dvs. vid såväl handläggning av och beslutsfattande i enskilda ärenden som s.k. faktiskt handlande. Med kravet på legalitet menar regeringen att det ska finnas någon form av normmässig förankring för all typ av verksamhet som en myndighet bedriver. Däremot bör det inte ställas krav på att varje enskild åtgärd som en myndighet vidtar kan kopplas till ett specifikt bemyndigande. Kravet på legalitet bör inte heller uppfattas så att en myndighets åtgärd måste ha uttryckligt stöd i en viss lagbestämmelse eller i andra föreskrifter som har meddelats i enlighet med 8 kap. regeringsformen.
Det råder ingen tvekan om att de förskolor och skolor vars huvudmän är staten, en kommun eller ett landsting är bundna av legalitetsprincipen. Dessa måste därför ha någon form av normmässig förankring i skollagen med tillhörande föreskrifter för de åtgärder de vidtar inom anordnandet av utbildningen. Detsamma gäller kommu- nerna när de utför sina åligganden som hemkommun enligt skollagen.
När ett privaträttsligt subjekt, en enskild, fått ett godkännande att bedriva fristående skola innebär det att uppgifter som innefattar myndighetsutövning mot enskilda, t.ex. beslut om disciplinära åtgärder och åtgärdsprogram, överlämnats till huvudmannen (prop. 2009/10:165 s. 598). I 1 kap. 9 § regeringsformen anges att domstolar samt förvaltningsmyndigheter och andra som fullgör offentliga förvaltningsuppgifter ska i sin verksamhet beakta allas lik- het inför lagen samt iaktta saklighet och opartiskhet. Normmäs- sighets- och objektivitetskravet gäller således även för privaträttsliga subjekt när de fullgör förvaltningsuppgifter som har överlämnats till dem (prop. 2009/10:80 s. 247). Det innebär att dessa principer gäller
115
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
även för de skolor vars huvudmän är ett privaträttsligt subjekt, en enskild, inom uppdraget att anordna utbildning.
Frågan om de enskilda huvudmännen för fristående skolor är bundna av legalitetsprincipen har uppmärksammats av Johan Hirschfeldt och Lotta Lerwall i artikeln Friskolorna – några konsti- tutionella synpunkter på deras ställning.13 Författarna anser att fristående skolor i förhållande till eleverna är bundna av legalitets- principen. Detta eftersom verksamheten i de fristående skolorna i förhållande till eleverna utgör offentliga förvaltningsuppgifter och då inte bara vid myndighetsutövning. Därtill har eleverna skolplikt eller plikt att närvara i skolan.
Huvudmännen för fristående skolor är bundna av skollagen med anslutande föreskrifters bestämmelser när de bedriver utbildning. Utredningen instämmer i bedömningen att de fristående skolornas huvudmän i förhållande till eleverna är bundna av legalitetsprincipen när de anordnar utbildning för eleverna enligt skollagen med tillhö- rande föreskrifter eftersom de därigenom på samma sätt som skolor vars huvudmän är staten, en kommun eller ett landsting, utövar offentlig makt över eleverna.
Som tidigare nämnts är utredningen även av uppfattningen att huvudmännen för de fristående förskolorna och fritidshemmen är bundna av skollagen med anslutande föreskrifter när de bedriver sådan utbildning.
Skollagen
Av skollagen och anslutande föreskrifter framgår mer precist vilka uppgifter som åligger huvudmännen när de anordnar utbildning och hemkommunerna när de tillhandahåller utbildning m.m. Som exem- pel på personuppgiftsbehandling som kan anses nödvändig på grund av huvudmännens uppgifter enligt skollagen kan t.ex. elevregister för administration av elevernas närvaro (7 kap. 17 § skollagen), doku- ment av elevernas kunskaper för att kunna hålla utvecklingssamtal, skriva en utvecklingsplan (t.ex. 10 kap. 12 och 13 §§ skollagen) och betygssätta (3 kap. 13 § skollagen) nämnas.
13 Ur boken Bertil Bengtsson 90 år, s. 169 f.
116
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
Ett annat exempel är själva undervisningen. Med undervisning avses enligt 1 kap. 3 § skollagen sådana målstyrda processer som under ledning av lärare och förskollärare syftar till utveckling och lärande genom inhämtande och utvecklande av kunskaper och vär- den. Med utbildning avses enligt samma bestämmelse den verksam- het inom vilken undervisning sker utifrån bestämda mål. Av förarbe- tena (prop. 2009/10:165 s. 217 f.) framgår att begreppet undervis- ning fått en definition som är anpassad för såväl förskola och fri- tidshem som skola och vuxenutbildning. Begreppet har getts en vid tolkning i dessa verksamheter. Med undervisning avses inte bara katederundervisning utan även t.ex. förmedlande och undersökande undervisningsmetodik. Det är centralt i den kunskapssyn som genomsyrar skolans samtliga styrdokument att undervisningen syf- tar till att eleverna ska inhämta samt utveckla både kunskaper och värden. I förskolan bildar omsorg, utveckling och lärande en helhet i undervisningen.
I förarbetena anges vidare att begreppet utbildning utgör en över- gripande term som beskriver all den verksamhet som omfattas av de övergripande målen i skolförfattningarna. Begreppet utbildning är ett vidare begrepp än undervisning och kan omfatta annan verk- samhet än undervisning i den inre och yttre miljön, t.ex. på skol- gården och i matsalen eller organiserat lärande förlagt till en arbets- plats. Utbildning kan dessutom omfatta annan verksamhet som äger rum t.ex. vid lägerskolor, utflykter eller olika former av praktik eller annan verksamhetsförlagd verksamhet. I förskolan har utbildnings- begreppet ett brett pedagogiskt perspektiv där omsorg, utveckling och lärande bildar en helhet. I det vidare begreppet utbildning omfattas också de frivilliga konfessionella inslag som förskolor och skolor med enskild huvudman kan ha (1 kap. 7 § skollagen).
Vidare framgår av 1 kap. 11 § skollagen att det ska finnas en läro- plan för varje skolform och fritidshemmet som utgår från bestäm- melserna i skollagen. Läroplanen ska ange utbildningens värdegrund och uppdrag. Den ska också ange mål och riktlinjer för utbildningen.
För t.ex. skolformen grundskola anges i 5 kap. 2 § skolförord- ningen (2011:185) att eleverna ska genom strukturerad undervisning ges ett kontinuerligt och aktivt lärarstöd i den omfattning som behövs för att skapa förutsättningar för att eleverna når de kunskaps- krav som minst ska uppnås och i övrigt utvecklas så långt som möj- ligt inom ramen för utbildningen.
117
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
I förordningen (SKOLFS 2010:37) om läroplan för grundskolan, förskoleklassen och fritidshemmet uppställs mål för elevernas kun- skaper efter genomgången grundskola (avsnitt 2.2). Skolan ansvarar för att varje elev efter genomgången grundskola bl.a. kan använda modern teknik som ett verktyg för kunskapssökande, kommunika- tion, skapande och lärande.
Vidare anges i avsnitt 5.17 angående centralt innehåll för under- visningen i svenska i årskurs
Beträffande ämnet samhällskunskap (avsnitt 5.15 i nämnda läro- plan) anges att ett av syftena med undervisningen är att eleverna ska utveckla sin förmåga att söka information om samhället från medier, internet och andra källor och värdera deras relevans och trovärdighet.
Vidare uppställs som kunskapskrav för godtagbara kunskaper i svenska i slutet av årskurs 3 att eleven kan skriva enkla texter med läslig handstil och på dator (Skolverkets föreskrifter [SKOLFS 2011:19] om kunskapskrav för grundskolans ämnen).
Av läroplanen för grundskolan och föreskrifterna om kunskaps- krav för grundskolans ämnen kan utläsas att undervisningen (utbild- ningen), i vart fall i ämnena svenska och samhällskunskap, förutsätter att eleverna har tillgång till och använder sig av datorer. Om de inte får denna tillgång kommer eleverna inte att kunna uppnå kunskaps- kraven i svenska och samhällskunskap, dvs. att lära sig skriva texter på dator och söka information på internet.
Dessa uppräknade dokument anger mål med undervisningen men inte exakt i minsta detalj hur undervisningen ska läggas upp eller vilka
118
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
arbetssätt som ska användas. Läraren har ett visst mått av bestäm- mande över undervisningens innehåll men måste hålla sig inom de ramar som satts upp i bl.a. läroplanen och av skolans rektor. En lärare kan dock bestämma t.ex. vilken litteratur som eleverna ska läsa, vilka uppgifter som de ska lösa och vilka hjälpmedel som ev. ska användas t.ex. dator eller miniräknare. Detta innebär emellertid inte att själva undervisningen inte är fastställd i svensk rätt. Den undervisning som bedrivs av lärarna i skolorna har sitt stöd i skollagen med anslutande föreskrifter eftersom dessa sätter ramarna för undervisningen. Även själva undervisningen är enligt utredningens bedömning fastställd genom skollagen och anslutande föreskrifter och därigenom tydlig, precis och förutsägbar (jfr skäl 41 till dataskyddsförordningen).
Enligt utredningens bedömning har således de åtgärder som huvudmännen, oavsett om det är staten, en kommun, ett landsting eller en enskild, vidtar i syfte att utföra uppdragen eller uppfylla ålig- ganden enligt skollagen och anslutande föreskrifter mot bakgrund av det anförda i sig en legal grund, som har offentliggjorts genom tyd- liga, precisa och förutsebara regler (jfr skäl 41). Uppgiften av allmänt intresse som huvudmännen för olika skolformer utför, dvs. anordna utbildning, är således fastställd i svensk rätt genom skollagen med anslutande föreskrifter. Nödvändig behandling av personuppgifter för att utföra en uppgift som kan finna stöd i skollagen och därmed anslutande författningar kan ske med stöd av artikel 6.1 e i data- skyddsförordningen. Någon ytterligare reglering av huvudmännens obligatoriska uppgifter krävs inte för att de ska kunna vidta nödvän- diga behandlingsåtgärder för att fullgöra sina uppgifter.
Det finns således rättslig grund för de personuppgiftsbehandlingar som sker i dagsläget för att kunna bedriva utbildning enligt skollagen och anslutande författningar. Som framgår av avsnittet om legalitets- principen krävs det redan enligt gällande rätt att skolhuvudmännen har författningsstöd för sina åtgärder inom ramen för den skollags- reglerade verksamheten, dvs. uppgiften av allmänt intresse. Motsva- rande krav på författningsstöd kommer från och med den 25 maj 2018 gälla även enligt dataskyddsförordningen, men innebär alltså inte något principiellt nytt för skolhuvudmännen.
I den mån det bedöms angeläget att utvidga uppgiften av allmänt intresse – och därmed utöka möjligheten att behandla personupp- gifter med stöd av artikel 6.1 e i dataskyddsförordningen – utöver vad som i dagsläget framgår av skollagen och anslutande författningar
119
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
följer det redan av legalitetsprincipen att så måste ske genom ändrade eller nya föreskrifter för verksamheten.
Utredningen bedömer att även de övriga skyldigheter som enligt skollagen åligger hemkommunen – t.ex. att ansvara för att utbildning i grundskolan kommer till stånd (10 kap. 24 skollagen) och lämna bidrag till enskilda huvudmän för fristående förskolor och fristående skolor (8 kap. 21 § och 10 kap. 37 § skollagen) – är en uppgift av allmänt intresse. Dessa uppgifter av allmänt intresse är fastställda genom bestämmelserna i skollagen som reglerar just den aktuella uppgiften. Nödvändig behandling av personuppgifter för att utföra dessa uppgifter som kan finna stöd i skollagen och därmed anslutande författningar kan ske med stöd av artikel 6.1 e i dataskyddsförord- ningen. Någon ytterligare reglering av hemkommunernas obligato- riska uppgifter enligt skollagen krävs inte för att de ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra dessa.
Det är dock av vikt att påpeka att det kommer an på den person- uppgiftsansvarige att bedöma om den konkreta personuppgiftsbe- handlingen är nödvändig för att utföra en uppgift som kan utläsas av skollagen eller anslutande föreskrifter. Om t.ex. en lärare bestämmer att uppgifter ska lösas med hjälp av dator och eleverna därför ges inloggningsuppgifter till dessa uppgifter är det den personuppgifts- ansvarige som ska bedöma om personuppgiftsbehandlingen är nöd- vändig för att utföra uppgiften utbildning. Den personuppgifts- ansvarige måste således hålla sig väl informerad om gränserna för det uppdrag och de åligganden som följer av regleringen för den skol- lagsreglerade verksamheten.
Om den personuppgiftsansvarige inte finner stöd i skollagen eller anslutande föreskrifter för den verksamhet för vilken den aktuella personuppgiftsbehandlingen är nödvändig är det enligt utredningens mening inte fråga om sådan utbildningsverksamhet som ska bedrivas enligt nämnda författningar. I sådant fall måste den personuppgifts- ansvarige bedöma om en annan rättslig grund enligt artikel 6.1 är tillämplig för sådan personuppgiftsbehandling som inte krävs för att bedriva utbildning enligt skollagen. Om inte någon rättslig grund är tillämplig på behandlingen är den inte laglig enligt dataskyddsför- ordningen.
120
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
Ändamålet med behandlingen måste vara nödvändigt
Det bör betonas att rättslig grund inte ensam är en tillräcklig förutsättning för att behandling av personuppgifter ska vara tillåten. Därutöver måste den personuppgiftsansvarige även tillämpa principerna för behandling av personuppgifter i artikel 5 i dataskydds- förordningen. Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (5.1 a). De ska samlas in för särskilda, uttryckliga och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (5.1 b). Principen om att ändamålen ska vara berättigade utgör i likhet med principen om laglighet en direkt koppling till de rättsliga grunderna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte förenligt med artikel 5.
I artikel 6.3 andra stycket anges att syftet med behandlingen, i fråga om behandling enligt punkten 1 e (uppgift av allmänt intresse), ska vara nödvändigt för att utföra en uppgift av allmänt intresse. Enligt Dataskyddsutredningen behöver ändamålet inte framgå av den för- fattning eller det beslut där själva uppgiften fastställs. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. Bestämmelsen uttrycker det sam- band som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de särskilda ända- målen för behandlingen, vilket i normalfallet är den personupp- giftsansvarige, men i vissa fall även kan vara lagstiftaren. Detta krav på samband framgår även av artikel 5.1 b, där det anges att de sär- skilda ändamålen ska vara berättigade (SOU 2017:39, 8.3.4).
Ett exempel är skolbiblioteken. Eleverna i bl.a. grundskolan och gymnasieskolan ska ha tillgång till skolbibliotek (2 kap. 36 § skol- lagen). Biblioteken skulle visserligen kunna låna ut böcker till elever- na utan att registrera vem som lånat boken, men om inte alla böcker lämnas tillbaka i tid vet inte bibliotekarien vilken elev som inte läm- nat tillbaka boken och kan inte vidta några åtgärder för att få tillbaka den. För att skolbibliotekarien ska kunna veta vilken elev som lånat vilken bok och därigenom kunna återfå boken när lånetiden är slut, om den inte återlämnats, behöver det föras ett register över låntagare och deras lån. Detta ändamål är nödvändigt för att utföra uppgiften, att inom anordnandet av utbildning tillhandahålla skolbibliotek. Be- handlingen av personuppgifter kan således ske enligt artikel 6.1 e, på
121
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
den rättsliga grund som utgörs av skollagen. Att föra ett register över låntagare för att hålla reda på utlånade böcker kan samtidigt också av den personuppgiftsansvarige anges som ett särskilt, uttryck- ligt angivet och berättigat ändamål enligt artikel 5.1 b.
Ett annat exempel är en av de skyldigheter kommunerna har så- som hemkommun enligt skollagen, utöver de som ankommer på en huvudman för en viss skolform. Av 7 kap. 21 § skollagen framgår att hemkommunen ska se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning. Att kommunerna har vetskap om vilka skolpliktiga barn som finns i kommunen och var de fullgör sin skolplikt är enligt utredningens bedömning en uppgift av allmänt intresse. Uppgiften är fastställd genom bestämmelserna i skollagen. För att kommunerna ska kunna uppfylla uppgiften behöver de föra en förteckning över vilka barn i kommunen som har skolplikt och var de fullgör denna. Syftet med denna behandling är nödvändigt för att utföra uppgiften av allmänt intresse. Behandlingen av personuppgifter kan således ske enligt artikel 6.1 e på den rättsliga grund som utgörs av skollagen.
Det bör noteras att avsaknad av författningsbestämmelse eller en särskild reglering till stöd för en viss personuppgiftsbehandling inte medför att det inte går att utläsa ett ändamål som är nödvändigt för att utföra uppgiften av allmänt intresse. Som exempel kan tas en internationell skola på gymnasienivå. Skolan har en enskild huvud- man och följer en utländsk eller internationell läroplan. Det finns inga bestämmelser om att huvudmannen ska ha ett godkännande för att få bedriva utbildningen men för att vara berättigad till bidrag för elever från deras hemkommuner måste huvudmannen få en förkla- ring om rätt till bidrag från Skolinspektionen (24 kap. 6 och 6 a §§ skollagen). För att en enskild huvudman för en internationell skola på gymnasienivå ska förklaras berättigad till bidrag enligt skollagen krävs bl.a. att utbildningen är utformad så att den som helhet betrak- tad är likvärdig med utbildningen i gymnasieskolan. Dess allmänna mål och värdegrund får inte strida mot de allmänna mål och den värdegrund som gäller för utbildning inom skolväsendet (7 § förord- ningen [2015:801] om internationella skolor). Genom bestämmel- serna i 24 kap. 2, 6 och 6 a §§ skollagen tillsammans med relevanta bestämmelser i förordningen om internationella skolor och ett beslut från Skolinspektionen om förklaring om rätt till bidrag är utred- ningens bedömning att den utbildning som den internationella sko-
122
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
lan bedriver är en uppgift av allmänt intresse som är fastställd i svensk rätt. Den internationella skolan är dock inte bunden av t.ex. skol- lagens bestämmelser om betygssättning (se 3 kap. 13 § skollagen som särskilt räknar upp vilka skolformer som omfattas) och den måste inte ansöka om tillstånd att sätta betyg, anordna prövning samt utfärda betyg, gymnasieexamen och intyg enligt de bestäm- melser som gäller för gymnasieskolan (förordningen [2012:509] om betygsrätt för viss utbildning vid internationella skolor). Att elever- na ska få betyg kan dock framgå av den utländska eller internationel- la läroplanen skolan följer. Om behandling av personuppgifter för att kunna betygssätta eleverna inom den internationella skolan är nöd- vändig för att utföra uppgiften av allmänt intresse, dvs. anordna ut- bildning, bör sådan behandling kunna ske med stöd av den rättsliga grunden utföra uppgift av allmänt intresse fastställd i skollagen, för- ordningen om internationella skolor och beslutet från Skolinspek- tionen. Förutom att bedöma vilken rättslig grund enligt artikel 6.1 i dataskyddsförordningen som är tillämplig ankommer det på den enskilde huvudmannen att bestämma ändamålen med personupp- giftsbehandlingen, vilka personuppgifter som ska behandlas etc. enligt artikel 5.
Det kan tilläggas att även om den utbildning som en internatio- nell skola på gymnasienivå anordnar inte skulle anses vara fastställd i svensk rätt kan huvudmannen tillämpa den rättsliga grunden intresse- avvägning (artikel 6.1 f), se avsnitt 4.6.5.
Särskilda utbildningsformer
Utbildning vid särskilda ungdomshem ska för skolpliktiga barn som vistas där och inte lämpligen kan fullgöra sin skolplikt på annat sätt, anordnas genom försorg av huvudmannen för hemmet. För de barn som inte längre är skolpliktiga och inte lämpligen kan fullgöra sin skolgång på annat sätt ska genom huvudmannens försorg ges möjlighet att delta i utbildning (24 kap. 8 och 9 §§ skollagen).
Barn som genom en brottmålsdom dömts till sluten ungdoms- vård placeras på särskilt ungdomshem. Dessa barn omfattas också av bestämmelserna i 24 kap. 8 och 9 §§ skollagen (32 kap. 5 § brotts- balken samt 1 och 12 § lagen [1998:603] om verkställighet av sluten ungdomsvård). SiS ansvarar för verkställigheten (3 § lagen om
123
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
verkställighet av sluten ungdomsvård). I den del av myndighetens verksamhet som avser verkställighet av sluten ungdomsvård ska enligt Utredningen om 2016 års dataskyddsdirektiv förslaget till brottsdatalag (2018:000) tillämpas eftersom det är fråga om en straffrättslig påföljd (SOU 2017:29, Brottsdatalag, avsnitt 8.4.2).
För barn vars personuppgifter behandlas med anledning av att de får utbildning vid särskilda ungdomshem, och som placerats där med stöd av socialtjänstlagen (2001:453) eller lagen (1990:52) om sär- skilda bestämmelser om vård av unga, är den föreslagna brottsdata- lagens bestämmelser inte tillämpliga (det är inte fråga om verkstäl- lighet av en påföljd). Det är således dataskyddsförordningens bestäm- melser som ska tillämpas i detta fall på personuppgiftsbehandlingen. Genom bestämmelserna i t.ex. 24 kap. 8 § skollagen är uppgiften av allmänt intresse, dvs. huvudmannen för hemmets (SiS) anordnande av utbildning för skolpliktiga barn som vistas i hemmet om de inte lämpligen kan fullgöra sin skolplikt på annat sätt fastställd. Vidare anges i bestämmelsen att relevanta bestämmelser i skollagen rörande grundskolan eller i förekommande fall grundsärskolan eller special- skolan ska tillämpas med nödvändiga avvikelser. SiS kan grunda nöd- vändig personuppgiftsbehandling på artikel 6.1 e i dataskyddsför- ordningen.
Det innebär att SiS kommer att tillämpa olika regelverk för sin personuppgiftsbehandling beroende på med stöd av vilken bestäm- melse som barnen har placerats vid det särskilda ungdomshemmet.
Kriminalvården ansvarar för utbildning som motsvarar kommunal vuxenutbildning och särskild utbildning för vuxna för intagna på kriminalvårdsanstalt (24 kap. 10 § skollagen). Kriminalvården får enligt 3 kap. 1 och 2 §§ fängelselagen (2010:610) bestämma att en intagen ska ha studier som sysselsättning. Någon åldersgräns gäller inte för sådan verksamhet. När studier är anvisad sysselsättning ingår de som ett led i verkställigheten. Enligt Utredningen om 2016 års dataskyddsdirektiv (SOU 2017:29, avsnitt 8.4.1) bör därför den föreslagna brottsdatalagen tillämpas på behandlingen av personupp- gifterna med anledning av studierna. Utredningen instämmer i den bedömningen.
Av 24 kap.
124
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
internationella skolor så länge som godkännandet för den enskilde respektive medgivandet för den kommunala huvudmannen gäller (4 §). Av föreskrifterna framgår bl.a. att utbildningen ska vara utfor- mad så att den som helhet betraktad är likvärdig med utbildningen i grundskolan (5 §). Elever som är bosatta i Sverige för en begränsad tid ska ges undervisning i svenska och om Sverige i den omfattning som de behöver. Undervisning i svenska för övriga skolpliktiga ele- ver ska bedrivas enligt läroplanen för grundskolan och kursplanen i svenska (6 §). Av 24 kap. 3 och 4 §§ skollagen framgår att barn under vissa förutsättningar får fullgöra sin skolplikt i en internationell skola på grundskolenivå. Mot denna bakgrund är den utbildning som de internationella skolorna på grundskolenivå bedriver, enligt utred- ningens bedömning, en uppgift av allmänt intresse. Denna uppgift är genom bestämmelserna i 24 kap. 2, 3 a och 4 a §§ skollagen, tillsam- mans med relevanta bestämmelser i förordningen om internationella skolor och Skolinspektionens beslut om antingen ett godkännande eller förklaring som huvudman för en internationell skola på grund- skolenivå, fastställd i svensk rätt. Enligt utredningens bedömning kan en internationell skola på grundskolenivå således tillämpa den rätts- liga grunden uppgift av allmänt intresse för nödvändig personupp- giftsbehandling.
Beträffande utredningens bedömning av en internationell skola på gymnasienivås rättsliga grund för behandling av personuppgifter, se exemplet i föregående avsnitt (Ändamålet med behandlingen måste vara nödvändigt).
Om en folkhögskola har getts rätt att sätta betyg, anordna pröv- ning samt utfärda betyg och intyg och förklarat sig ha för avsikt att ta emot den sökande till utbildningen har den som har rätt att delta i kommunal vuxenutbildning i svenska för invandrare rätt att i stället delta i folkhögskolans motsvarande utbildning (24 kap. 11 § skol- lagen). En folkhögskola som väljer att bedriva sådan utbildning utför genom anordnandet av just den utbildningen en uppgift av allmänt intresse som är fastställd genom 24 kap. 11 § skollagen. Om folkhög- skolan bedömer att personuppgiftsbehandlingen är nödvändig för att den ska kunna bedriva utbildningen i svenska för invandrare kan den tillämpa den rättsliga grunden i artikel 6.1 e för att behandla person- uppgifter som hör till just den delen av folkhögskolans verksamhet. Folkhögskolan måste dock även bestämma de närmare ändamålen med behandlingen och i övrigt följa bestämmelserna i artikel 5 för att
125
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
behandlingen ska vara tillåten. För folkhögskolors personuppgifts- behandling, se även avsnitt 7.1.
Skollagen innehåller även bestämmelser om utbildning för barn och elever som vårdas på sjukhus eller annan motsvarande institution. Enligt 24 kap. 16 § skollagen ska huvudmannen för institutionen svara för att barn som vårdas på sjukhus eller en institution som är knuten till ett sjukhus, får tillfälle att delta i utbildning som så långt det är möjligt motsvarar den som erbjuds i förskola, förskoleklass eller fritidshem. Enligt utredningens bedömning kan huvudmannen för institutionen grunda nödvändig personuppgiftsbehandling för att utföra uppgiften utbildning motsvarande den som erbjuds i förskola, förskoleklass eller fritidshem på den rättsliga grunden uppgift av allmänt intresse (artikel 6.1 e). Uppgiften av allmänt intresse är fast- ställd genom bestämmelsen i 24 kap. 16 § skollagen tillsammans med de bestämmelser om den aktuella utbildningen som huvudmannen anordnar. Som tidigare nämnts är rättslig grund inte ensam tillräcklig för att behandling av personuppgifter ska vara tillåten. Övriga bestämmelser i dataskyddsförordningen måste också vara uppfyllda.
Av bestämmelserna i 24 kap.
En kommun kan på motsvarande vis grunda nödvändig person- uppgiftsbehandling för att utföra särskild undervisning i hemmet eller annan lämplig plats på den rättsliga grunden uppgift av allmänt intresse (artikel 6.1 e). Uppgiften av allmänt intresse är fastställd genom bestämmelserna i 24 kap.
126
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
Annan pedagogisk verksamhet och entreprenad
Enligt 25 kap. 2 § skollagen ska kommunen sträva efter att i stället för förskola eller fritidshem erbjuda ett barn pedagogisk omsorg om barnets vårdnadshavare önskar det. Med pedagogisk omsorg avses främst familjedaghem och flerfamiljslösningar. Sådan verksamhet utförs ofta i den privata aktörens egna hem (SOU 2016:62 s. 171). Genom att pedagogisk verksamhet är reglerad i skollagen bör en sådan verksamhet anses vara en uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom bestämmelsen i 25 kap. 2 § skollagen. Kommunen har således stöd för den nödvändiga person- uppgiftsbehandling som den behöver göra för att kunna efterleva bestämmelsen.
Om en enskild anordnar pedagogisk omsorg på entreprenad enligt bestämmelserna i 23 kap. skollagen anses denna utföra uppgiften av allmänt intresse, anordna pedagogisk omsorg, på uppdrag av kommu- nen (jfr SOU 2017:39, avsnitt 8.3.4). Uppgiften av allmänt intresse är fastställd i svensk rätt genom kommunens beslut om att anlita den enskilde för uppdraget. Med stöd av detta beslut bör den enskilde kunna vidta nödvändiga personuppgiftsbehandlingar med stöd av samma rättsliga grund som kommunen, som om den själv utfört upp- giften, dvs. med stöd av artikel 6.1 e i dataskyddsförordningen.
Entreprenad enligt skollagen innebär att en huvudman med bibe- hållet huvudmannaskap sluter avtal med någon annan om att denne utför uppgifter inom bl.a. utbildning eller pedagogisk omsorg för barn. I artikel 4.7 i dataskyddsförordningen definieras personupp- giftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av person- uppgifter. I artikel 4.8 definieras personuppgiftsbiträde som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansva- riges räkning. Om ett personuppgiftsbiträde anlitas ska hanteringen regleras genom ett avtal enligt artikel 28.3. I de fall två eller flera gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga enligt artikel 26.
Bedömningen av vem som är personuppgiftsansvarig, ensam eller tillsammans med annan, i ett enskilt entreprenadförhållande måste göras utifrån omständigheterna i det enskilda fallet. Det är enligt
127
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
utredningens mening parternas ansvar att se till att befintligt regel- verk rörande personuppgiftsbehandling följs när det gäller behand- lingen av personuppgifter.
En kommun får enligt 25 kap. 3 § skollagen anordna öppen för- skola som ett komplement till förskola och pedagogisk omsorg. Den öppna förskolan ska erbjuda barn en pedagogisk verksamhet i sam- arbete med de till barnen medföljande vuxna samtidigt som de vuxna ges möjlighet till social gemenskap. Barn och föräldrar har ingen for- mell plats att ta i anspråk och barnen är inte inskrivna i den öppna förskolan. Verksamheten vänder sig till barn och föräldrar som är hemma på dagarna, t.ex. under föräldraledigheten. För dessa är verk- samheten en viktig social träffpunkt, där barnen ges tillfälle att tillsammans med en förälder eller annan vuxen delta i en verksamhet i gruppens form, som syftar till att ge pedagogisk stimulans (prop. 2009/10:165 s. 528). Genom bestämmelsen i 25 kap. 3 § skol- lagen och kommunens beslut att anordna öppen förskola är enligt utredningens bedömning uppgiften av allmänt intresse, att anordna öppen förskola, fastställd. Utredningen anser dock att det är tvek- samt om det normalt kan anses nödvändigt att behandla barnens och föräldrarnas eller andra medföljande vuxnas personuppgifter i verk- samheten öppen förskola. Detta gäller trots att det uppenbarligen är fråga om en i svensk rätt fastställd uppgift av allmänt intresse. Om en öppen förskola avser att behandla personuppgifter bör den dock enligt utredningens uppfattning kunna använda sig av den rättsliga grunden samtycke genom att inhämta samtycke från de vuxna.
Öppen fritidsverksamhet får enligt 25 kap. 4 § skollagen erbjudas elever i de utbildningsformer där skolplikt kan fullgöras, i stället för fritidshem från och med höstterminen det år eleven fyller 10 år till och med vårterminen det år eleven fyller 13 år. Verksamheten ska genom pedagogisk verksamhet komplettera utbildningen i de olika utbildningsformer i vilka skolplikt kan fullgöras. Den öppna fritids- verksamheten ska erbjuda eleven möjlighet till utveckling och lärande samt en meningsfull fritid och rekreation. Den öppna fritidsverksam- heten är en enklare form av verksamhet som inte erbjuder samma grad av omsorg och tillsyn och elevgrupperna kan vara mer flexibla i jämförelse med fritidshemmen. Genom att verksamheten regleras i skollagen är den enligt utredningens bedömning en uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom den
128
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
aktuella bestämmelsen. Huvudmännen har härigenom stöd för att behandla för sin verksamhet nödvändiga personuppgifter.
Av 25 kap. 5 § skollagen framgår att kommunen ska sträva efter att erbjuda omsorg för barn under tid då förskola eller fritidshem inte erbjuds i den omfattning det behövs med hänsyn till föräldrars för- värvsarbete och familjens situation i övrigt. Av förarbetena till be- stämmelsen framgår att omsorg för barn under s.k. obekväma arbets- tider inte ska betraktas som en skolform, till skillnad från förskolan, och inte heller åläggas de krav som ställs på en sådan verksamhet (prop. 2009/10:165 s. 532). Utgångspunkten är att omsorgen ska erbjudas i den omfattning det behövs med hänsyn till föräldrarnas förvärvsarbete eller familjens situation i övrigt, om föräldrarna inte själva kan ordna omsorgen. Att ”sträva efter” innebär att kommunen inte utan vidare kan avstå från att tillhandahålla sådan omsorg. Ambi- tionen måste vara att tillhandahålla omsorg även under s.k. obekväm arbetstid åt familjer som har behov av det. Om kommunen vid en viss tidpunkt inte har någon efterfrågan måste kommunen ändå planera för att tillhandahålla omsorg, när situationen förändras.
Eftersom kommunerna genom bestämmelsen i skollagen ges ett uppdrag att ordna barnomsorg under s.k. obekväm arbetstid får sådan verksamhet anses vara en uppgift av allmänt intresse som är fastställd genom bestämmelsen. Kommunerna kan således behandla person- uppgifter som är nödvändiga för att kunna utföra uppgiften att till- handahålla barnomsorg på obekväm arbetstid.
En kommun får med bibehållet huvudmannaskap sluta avtal med en enskild fysisk eller juridisk person om att anordna omsorg för barn under tid då förskola eller fritidshem inte erbjuds (entreprenad enligt 23 kap. skollagen). På samma sätt som angetts ovan angående enskild som anordnar pedagogisk omsorg på entreprenad anser utredningen att den enskilde som ordnar sådan barnomsorg på entre- prenad utför uppgiften av allmänt intresse på uppdrag av kommunen.
Som betonats ovan är rättslig grund inte ensam tillräcklig för att behandling av personuppgifter ska vara tillåten. Övriga bestämmelser i dataskyddsförordningen måste också vara uppfyllda.
129
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
Sammanfattning
Utredningen konstaterar sammanfattningsvis att all den verksamhet som sker med stöd av
Enligt utredningens bedömning finns det således inget behov av en särskild reglering för att de skollagsreglerade verksamheternas huvudmän, kommunerna såsom hemkommuner och aktörerna enligt 24 och 25 kap. skollagen ska kunna tillämpa den rättsliga grunden i artikel 6.1 e, uppgift av allmänt intresse.
4.6.3Myndighetsutövning
Bedömning: Både offentliga och enskilda huvudmän vidtar vissa åtgärder med stöd av skollagen som innefattar myndighetsutöv- ning gentemot en elev, t.ex. betygssättning och beslut om särskilt stöd.
Det är i dessa situationer möjligt för huvudmännen att tilläm- pa den rättsliga grunden i andra ledet i artikel 6.1 e i dataskydds- förordningen, för sådan behandling som är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Något be- hov av ytterligare reglering föreligger inte. I dessa fall kan även den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, vara tillämplig.
Enligt andra ledet i artikel 6.1 e i dataskyddsförordningen får person- uppgifter behandlas om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Av artikel 6.3 första
130
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
stycket framgår att rätten att utöva myndighet ska vara fastställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Enligt andra stycket ska syftet med behandlingen vara nödvändigt som ett led i den person- uppgiftsansvariges myndighetsutövning. Ändamålet behöver således inte framgå av det sammanhang där den myndighetsutövande befo- genheten fastställs. Ändamålet med behandlingen av personuppgifter måste dock vara nödvändigt för att utföra myndighetsutövningen. För tillämpningen av den rättsliga grunden myndighetsutövning gäller således motsvarande krav som för den rättsliga grunden uppgift av allmänt intresse.
Begreppet myndighetsutövning har en unionsrättslig innebörd. Enligt Dataskyddsutredningen bör man till dess annat framkommer kunna utgå från att det som i Sverige brukar anses som myndighets- utövning faller in under begreppet (SOU 2017:39, avsnitt 8.3.3). Myndighetsutövning karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befogenheten till myndighetsutövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de högsta statsorganen. Utanför begreppet myndighetsutövning faller råd, upplysningar och faktiskt handlande som inte innebär tvång mot den enskilde.
Den största delen av skolornas verksamhet, undervisning, utgör vad som brukar omnämnas som faktiskt handlande. Bara en liten del av verksamheten i förskolor och skolor utgör ärendehandläggning som innebär myndighetsutövning mot enskild. Det kan handla om ärenden som rör mottagande av elever (t.ex. 7 kap. 5 § skollagen), särskilt stöd (3 kap. 9 § skollagen), avstängning av elever (t.ex. 5 kap. 14 § skollagen) eller befrielse från sådana inslag i undervisningen som är obligatoriska (7 kap. 19 § skollagen). Betygssättning av eleverna utgör också myndighetsutövning. De allmänna bestämmelserna om betygsättning finns i bl.a. 3 kap. 13 § skollagen, samt i förordning- arna för de olika skolformerna såsom t.ex. gymnasieförordningen.
Enligt utredningens bedömning är grunden för behandlingen redan i dag, genom exemplifierade bestämmelser i skollagen, fasts- tälld. Det behövs därför inte någon ytterligare reglering för att skolorna ska kunna tillämpa den rättsliga grunden myndighetsutöv- ning i de fall en sådan rätt föreligger enligt nationell rätt.
131
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
Det bör dock åter betonas att en ytterligare förutsättning för att kunna tillämpa myndighetsutövning som rättslig grund för behand- lingen är att också syftet med behandlingen är nödvändigt. Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att behandlingen är laglig och att ändamålet är berättigat och nöd- vändigt (artikel 5.2 i dataskyddsförordningen).
Avslutningsvis är det utredningens bedömning att även första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, är tillämpligt som rättslig grund för ovan nämnda moment, eftersom betygssätt- ning m.m. ingår i uppgiften att anordna utbildning.
4.6.4Rättslig förpliktelse
Bedömning: För skollagsreglerad verksamhet finns det i svensk rätt fastställda rättsliga förpliktelser som åvilar verksamhetsut- övarna och som gör det nödvändigt att behandla personuppgifter. Den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen kan då tillämpas. Något behov av ytterligare reglering finns inte.
I dessa fall kan även den rättsliga grunden i första ledet i arti- kel 6.1 e, dvs. uppgift av allmänt intresse, vara tillämplig.
Enligt artikel 6.1 c i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Av artikel 6.3 första stycket framgår att den rättsliga grunden för behandlingen, dvs. i detta fall den rättsliga förpliktelsen, ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den per- sonuppgiftsansvarige omfattas av. Dessutom ska syftet med behand- lingen fastställas i den rättsliga grunden.
Dataskyddsutredningen gör bedömningen att förpliktelsen inte nödvändigtvis måste framgå av en författning eller liknande. Rätts- liga förpliktelser ska alltid ha sin grund i lag, men förpliktelser kan också anges i domar eller i myndighetsbeslut som meddelats med stöd av lag eller med stöd av föreskrifter som i sin tur meddelats i lag (SOU 2017:39, avsnitt 8.3.2).
Frågan är då om det finns en eller flera rättsliga förpliktelser för huvudmännen som bedriver förskola, skola och vuxenutbildning att tillhandahålla utbildning för barnen och eleverna.
132
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
Utredningen om offentlighet och sekretess i skolan ansåg att skolmyndigheter enligt den då lydande skollagen och andra författ- ningar hade en rättslig skyldighet i personuppgiftslagens mening att fullgöra sina åligganden gentemot eleverna i fråga om såväl under- visning som elevvård (SOU 2003:103 s. 199).
Datainspektionen har ansett att den skyldighet för myndigheter som följer av offentlighetsprincipen är en sådan rättslig skyldighet som avses i motsvarande bestämmelse till rättslig förpliktelse i per- sonuppgiftslagen.14
En skillnad mellan personuppgiftslagen och dataskyddsförord- ningen är att dataskyddsförordningen kräver att den rättsliga för- pliktelsen ska vara fastställd i svensk rätt och att syftet med behand- lingen ska vara fastställt i den rättsliga grunden. Skollagen innehåller många rättsliga förpliktelser för huvudmännen som bedriver skol- verksamhet enligt lagen. Av t.ex. 2 kap. 8 § framgår att huvudmannen ansvarar för att utbildningen genomförs i enlighet med bestämmel- serna i skollagen, föreskrifter som har meddelats med stöd av lagen och de bestämmelser för utbildningen som kan finnas i andra författ- ningar. Enligt utredningens bedömning kan emellertid inte något syfte med en eventuell personuppgiftsbehandling utläsas av bestäm- melsen. Bestämmelsen kan därför inte ses som en rättslig förpliktelse i dataskyddsförordningens mening.
I skollagen finns även bestämmelser där syftet med behandlingen enligt utredningens bedömning kan utläsas genom bestämmelsen och därigenom vara fastställt i den rättsliga grunden t.ex.
att eleven och elevens vårdnadshavare fortlöpande ska informe- ras om elevens utveckling (3 kap. 4 §),
att ett åtgärdsprogram ska utarbetas för en elev som ska ges sär- skilt stöd (3 kap. 9 §),
att i vissa skolformer ska eleven betygsättas (3 kap. 13 §),
att grundskolan och gymnasieskolan och motsvarande skolfor- mer ska erbjuda modersmålsundervisning under vissa förutsätt- ningar (10 kap. 7 §, 11 kap. 10 §, 12 kap. 7 §, 13 kap. 7 §, 15 kap. 19 § och 18 kap. 19 §), och
14 Datainspektionens rapport 2005:3 Övervakning i arbetslivet. Kontroll av de anställdas Internet och
133
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
att rektorn ska se till att vårdnadshavaren till en elev i vissa skol- former, t.ex. grundskolan, samma dag informeras om eleven utan giltigt skäl uteblir från den obligatoriska verksamheten (7 kap. 17 §).
Det behövs därför inte någon ytterligare reglering för att skolorna ska kunna tillämpa den rättsliga grunden i artikel 6.1 c för sin nödvändiga personuppgiftsbehandling. Enligt utredningens bedöm- ning är även artikel 6.1 e, dvs. uppgift av allmänt intresse, tillämplig som rättslig grund för ovan nämnda moment, eftersom dessa t.ex. betygssättning, ingår i uppgiften att anordna utbildning. Personupp- giftsbehandling inom skollagsreglerad utbildningsverksamhet bör till största delen kunna ske med stöd av den rättsliga grunden utföra uppgift av allmänt intresse. Det torde därför vara i undantagsfall som artikel 6.1 c behöver tillämpas av huvudmännen.
4.6.5Intresseavvägning
Bedömning: Enskilda huvudmän kan för sin personuppgifts- behandling använda sig av den rättsliga grunden i artikel 6.1 f i dataskyddsförordningen, dvs. för sådan behandling som är nöd- vändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Nämnda rättsliga grund skulle kunna vara tillämplig när det är tveksamt om den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, är tillämplig. Eftersom det för enskilda huvudmän finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva utbildning är det endast i undantagsfall som den rättsliga grunden i artikel 6.1 f behöver tillämpas.
Enligt artikel 6.1 f i dataskyddsförordningen är behandling laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre
134
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (intresseavvägning).
Av 6.1 f andra stycket framgår att denna grund inte gäller för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom skolor med staten, en kommun eller ett lands- ting som huvudman är myndigheter som fullgör sina uppgifter när de tillhandahåller utbildning enligt skollagen, är det endast de skolor som drivs av enskilda huvudmän som kan tillämpa denna grund till stöd för sin personuppgiftsbehandling.
Dataskyddsutredningen gör bedömningen att den här aktuella grunden ofta är möjlig att tillämpa i de fall det är tveksamt om den verksamhet som en privaträttslig aktör bedriver är av allmänt intresse i unionsrättslig mening (SOU 2017:39, avsnitt 8.3.4).
Ovan bedömer utredningen att anordnande av utbildning enligt skollagen och anslutande föreskrifter är en i svensk rätt fastställd uppgift av allmänt intresse, oavsett om det är staten, en kommun eller en enskild som är huvudman. Huvudmannen kan således grun- da nödvändig personuppgiftsbehandling på artikel 6.1 e. Enligt Data- skyddsutredningen spelar det i en sådan situation inte någon roll om verksamheten utförs på direkt uppdrag av en myndighet eller på eget initiativ (SOU 2017:39, avsnitt 8.3.4). Som tidigare nämnts bör således den skollagsreglerade utbildningsverksamheten till största delen kunna behandla personuppgifter med stöd av den rättsliga grunden i artikel 6.1 e, dvs. utföra en uppgift av allmänt intresse. Den rättsliga grunden i artikel 6.1 f bör enligt utredningens uppfattning därmed ytterst sällan eller aldrig bli aktuell att tillämpa av enskilda skolhuvudmän i skollagsreglerad verksamhet. Den enskilda huvud- man som avser att tillämpa den rättsliga grunden intresseavvägning har vid intresseavvägningen särskilt att beakta barns rätt till integri- tetsskydd.
4.6.6Samtycke
Bedömning: Enskilda huvudmän och offentliga huvudmän, dvs. kommuner, landsting eller staten, kan i viss utsträckning använda sig av samtycke som rättslig grund för sin personuppgiftsbehand- ling.
135
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
Enligt artikel 6.1 a i dataskyddsförordningen är behandling laglig om den registrerade har lämnat sitt samtycke till att dennes person- uppgifter behandlas för ett eller flera specifika ändamål. Med sam- tycke avses, enligt artikel 4.11, varje slag av frivillig, specifik, infor- merad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.
Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (se skäl 32 till dataskyddsförordningen).
En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör enligt skäl 42 tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifter- na är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.
Enligt skäl 43 till dataskyddsförordningen bör samtycke inte ut- göra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registre- rade och den personuppgiftsansvarige, särskilt om den personupp- giftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
Någon sådan skrivning finns inte i skälen till dataskyddsdirek- tivet, men mot bakgrund av att definitionen av samtycke i princip är densamma och de uttalanden som gjorts av bl.a. Artikel
15 Yttrande 15/2011 om definitionen av begreppet samtycke artikel
136
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
stater när de behandlar personuppgifter. Det bör göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig förpliktelse eller utförandet av en arbets- uppgift av allmänt intresse snarare än samtycke.16
Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offent- ligrättsligt reglerade. Det bör betonas att samtycke normalt inte bör tillämpas om behandlingen i stället kan grundas på artikel 6.1 c och e i dataskyddsförordningen. Om behandlingen grundar sig på sam- tycke ska den personuppgiftsansvarige, enligt artikel 7.1, kunna visa att den registrerade har samtyckt till behandling av sina personupp- gifter.
Artikel
Enligt utredningens bedömning är det möjligt att för viss person- uppgiftsbehandling använda sig av samtycke även i förhållandet mel- lan ett barns vårdnadshavare och en förskola samt en elevs vårdnads- havare eller eleven själv beroende på ålder och en skola. Ett exempel på när samtycke skulle kunna vara lämplig grund för personuppgifts- behandling är inför fotografering av eleverna i syfte att skapa elek- troniska skolkataloger eller fotografering för att dokumentera verk- samheten i förskola och skola, inte minst i syfte att kunna redogöra för den för barnens vårdnadshavare. I sammanhanget kan även näm- nas att artikel
16Yttrande 15/2011 om definitionen av begreppet samtycke artikel
17Yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor) s. 12 f.
137
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
på internet.18 Genom att samtycke inhämtas har berörda parter möj- lighet att säga nej till att eleverna tas med på fotona.
4.6.7Sammanfattning
Artikel 5 i dataskyddsförordningen innehåller bestämmelser om prin- ciperna för behandling av personuppgifter. Enligt 5.1 a ska person- uppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I artikel 6.1 anges att behandling av person- uppgifter är laglig endast om och i den mån som åtminstone ett av de i bestämmelsen angivna villkoren är uppfyllt.
Utredningen har i de tidigare avsnitten kommit fram till att de skollagsreglerade utbildningsverksamheterna kan tillämpa flera olika rättsliga grunder (villkor) i artikel 6.1 till stöd för sin personupp- giftsbehandling. I vissa situationer kan dessutom flera rättsliga grun- der vara tillämpliga samtidigt var för sig.
De rättsliga grunder som kan vara tillämpliga är samtycke (a), fullgöra en rättslig förpliktelse (c) eller utföra en uppgift av allmänt intresse eller myndighetsutövning (e).
De verksamheter som inte fullgörs av myndigheter kan även till- lämpa den rättsliga grunden intresseavvägning (f) när de fullgör sina uppgifter enligt skollagen och anslutande föreskrifter.
De rättsliga grunderna fullgöra en rättslig förpliktelse (c) och utföra en uppgift av allmänt intresse eller myndighetsutövning (e) är fastställda genom bestämmelser i skollagen med anslutande före- skrifter.
När dataskyddsförordningen ska börja tillämpas kan en ända- målsenlig och nödvändig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, ske inom skollagsreglerad utbildningsverksamhet med stöd av bestämmelserna i dataskydds- förordningen. Något ytterligare regleringsbehov aktualiseras följakt- ligen inte för att skollagsreglerad verksamhet ska kunna tillämpa ovan nämnda rättsliga grunder.
18 Yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor) s. 18.
138
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
4.7Känsliga personuppgifter
4.7.1Utredningens uppdrag i denna del
Enligt kommittédirektiven ska utredningen analysera om det, utöver dataskyddsförordningen och den generella reglering som Data- skyddsutredningen kommer att föreslå, finns ett behov av komplet- terande regleringar för behandling av känsliga personuppgifter inom utbildningsområdet och lämna de författningsförslag som behövs.
I direktiven konstateras att det inom utbildningsområdet är nöd- vändigt att i vissa fall behandla s.k. känsliga personuppgifter. Inom skolväsendet kan det exempelvis handla om sådana uppgifter i sam- band med modersmålsundervisning eller om elever i sameskolan som anses avslöja etniskt ursprung eller uppgifter som rör hälsa, t.ex. inom elevhälsan eller i de utredningar som ska göras inför antagning till specialskolan och grundsärskolan och i vissa fall till gymnasiesärsko- lan. Eftersom behandling av känsliga personuppgifter förekommer hos flera olika myndigheter och enskilda behöver det i detta sam- manhang också övervägas om en sådan reglering i så fall behöver fin- nas i en eller flera olika registerförfattningar.
4.7.2Behov av att behandla känsliga personuppgifter
Det har framkommit att det för att förskolorna, skolorna och vuxen- utbildningen ska kunna utföra sina uppdrag är nödvändigt att de i vis- sa sammanhang kan behandla vissa känsliga personuppgifter, främst uppgifter om hälsa, men ibland även om etnicitet.
Elevhälsan ska omfatta medicinska, psykologiska, psykosociala och specialpedagogiska insatser (2 kap. 26 § skollagen). Elevhälsan ska främst vara förebyggande och hälsofrämjande. Elevernas utveck- ling mot utbildningens mål ska stödjas. Den del av elevhälsan som tillhandahåller medicinska insatser erbjuder eleverna förebyggande hälso- och sjukvård men även enklare sjukvårdsinsatser. Att till- handahålla hälso- och sjukvård är, liksom utbildning, en uppgift av allmänt intresse. Varje elev i grundskolan, grundsärskolan, special- skolan och sameskolan ska erbjudas ett minsta antal hälsobesök. Den personuppgiftsbehandling som sker inom elevhälsans medicinska verksamhet omfattas i dagsläget av och kommer även fortsättnings- vis att omfattas av patientdatalagens bestämmelser. Socialdataskydds-
139
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
utredningen har i uppdrag att se över patientdatalagen (S 2016:05, dir. 2016:52) och den behandlas därför inte i detta betänkande.
Den personuppgiftsbehandling som sker inom elevhälsans psyko- sociala och specialpedagogiska verksamheter omfattas däremot inte av patientdatalagens bestämmelser. Den psykosociala insatsen består av kurator som kan föra
Det förekommer även utanför elevhälsan att uppgifter om hälsa behöver behandlas. Ett exempel är skolmatsalspersonalen som behö- ver kunna behandla uppgifter om specialkost p.g.a. allergier eller reli- giös övertygelse. För att kunna möjliggöra en ändamålsenlig under- visningssituation kan även uppgifter om funktionsnedsättning behö- va behandlas utanför elevhälsan. Vidare kan åtgärdsprogram innehålla uppgifter om ett barns eller en elevs hälsa. Ett åtgärdsprogram är en samlad dokumentation av elevens behov av särskilt stöd och en skrift- lig bekräftelse av de särskilda stödåtgärder som ska sättas in.
En mobbningssituation (kränkande behandling) skulle kunna röra en enskild elevs hälsa eller sexuella läggning. En lärare, förskol- lärare, annan personal, förskolechef eller rektor som får kännedom om en sådan händelse är skyldig att anmäla detta (6 kap. 10 §) och har därigenom i förekommande fall behov av att i sin dokumentation kunna behandla känsliga personuppgifter.
Även uppgifter om vilka barn och elever som begärt modersmåls- undervisning måste kunna behandlas. Datainspektionen har i sin rap- port 2002:2 ansett att en uppgift om en persons modersmål i vissa fall kan vara en uppgift som indirekt avslöjar etniskt ursprung.19 I sam- manhanget kan nämnas att regeringen bedömt att en isolerad uppgift om medborgarskap eller uppgifter om nationalitet eller ursprungsland inte avslöjar vare sig ras eller etniskt ursprung (prop. 2001/02:144 s. 41 och prop. 2009/10:85 s. 325). Enligt utredningens bedömning synes en uppgift om modersmål i sig inte vara en känslig personupp-
19 Datainspektionens rapport 2002:2, Behandling av elevers personuppgifter i grundskolan, s. 8.
140
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
gift men uppgiften kan, beroende på i vilket sammanhang den före- kommer, bedömas vara en uppgift om etniskt ursprung vilket är en känslig personuppgift. En bedömning måste således göras i det enskilda fallet.
En förutsättning för att ett barn ska få gå i grundsärskolan är att barnet bedöms inte kunna nå upp till grundskolans kunskapskrav därför att barnet har en utvecklingsstörning (7 kap. 5 § skollagen). För att en elev ska få gå i en specialskola krävs att han eller hon på grund av sin funktionsnedsättning eller andra särskilda skäl inte kan gå i grundskolan eller grundsärskolan och eleven är döv, hörsel- skadad, dövblind eller annars är synskadad och har ytterligare funk- tionsnedsättning, eller har en grav språkstörning (7 kap. 6 § skol- lagen). Gymnasiesärskolan är öppen för ungdomar vars skolplikt upphör och som inte bedöms ha förutsättningar att nå upp till gym- nasieskolans kunskapskrav därför att de har en utvecklingsstörning (18 kap. 4 § skollagen).
Målet med den särskilda utbildningen för vuxna är att vuxna med utvecklingsstörning ska stödjas och stimuleras i sitt lärande (21 kap. 2 § skollagen). Det är endast vuxna med utvecklingsstörning som har rätt att under vissa förutsättningar delta i särskild utbildning för vuxna på grundläggande nivå eller som kan vara behörig att delta i särskild utbildning för vuxna på gymnasial nivå (21 kap. 11 § och 16 § skollagen). Genom att alla elever som går i grundsärskolan, special- skolan, gymnasiesärskolan eller särskild utbildning för vuxna har en funktionsnedsättning blir uppgiften om att en elev går i en special- skola, grund- eller gymnasieskola som enbart anordnar särskoleverk- samhet eller i särskild utbildning för vuxna en känslig personuppgift om hälsa eftersom man av skolans namn kan utläsa att eleven har en funktionsnedsättning.
Barn till samer får fullgöra sin skolplikt i sameskolan i stället för i årskurs
141
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
Endast uppgiften att en elev går på en skola med konfessionell inriktning är däremot inte en känslig personuppgift. Fristående sko- lor med konfessionell inriktning ska vara öppna för alla elever som har rätt till utbildning i grundskolan respektive gymnasieskolan (1 kap. 7 §, 10 kap. 35 § och 15 kap. 33 § skollagen). Undervisningen vid fristående skolor, fristående förskolor och fristående fritidshem ska vara
Elever i t.ex. grundskolan har under vissa förutsättningar rätt till kostnadsfri skolskjuts (10 kap. 32 § skollagen). En anledning till att en elev har behov av skolskjuts kan vara att eleven har en funktions- nedsättning. Det är elevens hemkommun som ska ombesörja att skolskjuts anordnas. För prövningen av en elevs rätt till skolskjuts kan kommunen komma att få in handlingar som innehåller uppgifter om elevens hälsa. Kommunen kan även i sitt beslut behöva skriva in uppgifter som rör elevens hälsa. Det är inte ovanligt att kommuner upphandlar själva skolskjutsen. I dessa fall kan det finnas behov av att överföra vissa uppgifter om elever, t.ex. att en elev har rullstol, till taxibolaget som utför skolskjutsen för att möjliggöra en ändamåls- enlig skolskjuts. En sådan uppgift är en indirekt uppgift om elevens hälsa.
För att kommunerna ska kunna uppfylla sina åligganden i egen- skap av hemkommun enligt skollagen har de även ett behov av att kunna behandla känsliga personuppgifter i samband med att de för en förteckning över var skolpliktiga barn fullgör sin skolplikt (7 kap. 21 § skollagen) samt i ärenden rörande mottagande av ett barn i grundsärskolan (7 kap. 5 § skollagen) och om en sökande tillhör mål- gruppen för gymnasiesärskolan (18 kap. 5 § skollagen). Även i ären- den om tilläggsbelopp till t.ex. en fristående skola för en elev som har
20 Datainspektionen,
142
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
ett omfattande behov av särskilt stöd har hemkommunen ett behov av att kunna behandla känsliga personuppgifter i form av uppgifter om den enskilde elevens hälsa.
4.7.3Gällande bestämmelser
I fråga om statliga, landstings och kommunala huvudmäns skyldig- heter enligt offentlighetsprincipen kan konstateras att enligt 8 § första stycket PUL tillämpas inte bestämmelserna i personuppgifts- lagen i den utsträckning det skulle inskränka en myndighets skyl- dighet enligt 2 kap. tryckfrihetsförordningen, att lämna ut person- uppgifter.
De förskolor, skolor och vuxenutbildningsenheter vars huvudman är staten, en kommun eller ett landsting kan med stöd av 8 § PUF behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Oavsett om huvudmannen är offentlig eller enskild får känsliga personuppgifter skrivas i s.k. ostrukturerat material (löpande text) och därigenom behandlas, förutsatt att behandlingen inte innebär en kränkning av den registrerades personliga integritet (5 a § PUL). Om dessa bestämmelser inte är tillämpliga på behandlingen av känsliga personuppgifter måste samtycke inhämtas från den registrerade enligt 15 § PUL för att känsliga personuppgifter ska få behandlas.
4.7.4Dataskyddsförordningen och dataskyddslagen
Med särskilda kategorier av personuppgifter (känsliga personupp- gifter) avses enligt artikel 9.1 i dataskyddsförordningen personupp- gifter som avslöjar ras eller etniskt ursprung, politiska åsikter, reli- giös eller filosofisk övertygelse, medlemskap i fackförening, gene- tiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk per- sons sexualliv eller sexuella läggning.
Enligt artikel 9.1 är huvudregeln att det är förbjudet att behandla känsliga personuppgifter. Vidare framgår det av artikel 9.2 att käns- liga personuppgifter får behandlas om vissa förutsättningar är upp- fyllda. De undantag som aktualiseras i detta sammanhang är arti- kel 9.2 a och g. Av 9.2 a framgår att känsliga personuppgifter får
143
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
behandlas om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål. I artikel 9.2 g anges att känsliga personuppgifter får behand- las om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas natio- nella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Utifrån denna möjlighet för medlemsstaterna att skapa förutsätt- ningar för att möjliggöra behandling av känsliga personuppgifter har Dataskyddsutredningen i dataskyddslagen föreslagit tre generella undantag från förbudet att behandla känsliga personuppgifter för myndigheter (SOU 2017:39, avsnitt 10.6.2). Bestämmelserna har sin grund i artikel 9.2 g, dvs. om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse.
Det första undantaget gäller behandling av uppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende (3 kap. 3 § 1 dataskyddslagen). Enligt Dataskyddsutredningen bör begränsningen till löpande text inte ute- sluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande.
Det andra undantaget gäller uppgifter som har lämnats till myn- digheten och behandlingen krävs enligt lag (3 kap. 3 § 2 dataskydds- lagen). Bestämmelsen möjliggör behandling av känsliga personupp- gifter som är oundviklig i myndigheternas verksamhet som en direkt följd av t.ex. tryckfrihetsförordningens, offentlighets- och sekretess- lagens och förvaltningslagens bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot
Dataskyddslagen föreslås även innehålla en bestämmelse som innebär att vissa bestämmelser i lagen ska gälla för andra organ än myndigheter (1 kap. 5 § dataskyddslagen). Det gäller organ i vilkas verksamhet offentlighetsprincipen och sekretesslagstiftningen gäller. De bestämmelser som kan tillämpas på även dessa organ är 3 kap. 3 § 2 och 4 § samt 4 kap. 1 § andra stycket dataskyddslagen.
Utöver detta föreslås myndigheter få behandla känsliga person- uppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades integritet (3 kap. 3 § 3 dataskyddslagen).
144
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
Syftet med paragrafen är att möjliggöra behandling av känsliga per- sonuppgifter i enstaka fall även i situationer då det saknas en kopp- ling till ett visst ärende eller behandlingen inte direkt krävs enligt annan lag. Så kan det vara i t.ex. faktisk verksamhet såsom i kommu- nikation mellan skola och föräldrar. Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Vid bedöm- ningen av om behandlingen utgör ett otillbörligt intrång ska vikt läg- gas vid t.ex. uppgifternas känslighet och den inställning de registre- rade kan antas ha till att uppgiften behandlas.
Som skyddsåtgärd, för att säkerställa den registrerades grundläg- gande rättigheter och intressen, uppställs ett förbud för myndigheter att söka på känsliga personuppgifter då sådana uppgifter behandlas enbart med stöd av 3 § dataskyddslagen (3 kap. 4 § dataskyddslagen).
Det bör även nämnas att artikel 9.2 i dataskyddsförordningen innehåller flera bestämmelser förutom samtycke som är direkt till- lämpliga. Vidare har Dataskyddsutredningen genom förslag till bestämmelser i 3 kap. dataskyddslagen möjliggjort behandling av känsliga personuppgifter rörande bl.a. hälso- och sjukvård, arkiv och statistik.
4.7.5Behov av särskild reglering
Förslag: Särskilda undantag från förbudet i artikel 9.1 i data- skyddsförordningen mot behandling av känsliga personuppgifter ska regleras i ett nytt kapitel i skollagen som gäller för en huvud- man inom skolväsendet, en hemkommun eller en aktör enligt 24 och 25 kap. skollagen.
Det ska införas en bestämmelse som möjliggör för dessa organ att behandla känsliga personuppgifter i löpande text om uppgif- terna har lämnats i ett ärende eller är nödvändiga för handlägg- ningen av ett ärende.
Vidare ska det införas en bestämmelse som anger att de organ som omfattas av offentlighetsprincipen får behandla känsliga per- sonuppgifter om dessa har lämnats till organet och behandlingen krävs enligt lag.
145
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
För grundsärskolan, specialskolan, gymnasiesärskolan och sär- skild utbildning för vuxna införs ytterligare bestämmelser som möjliggör nödvändig och regelmässig behandling av personupp- gifter om hälsa. På samma sätt möjliggörs behandling av uppgift om hälsa i gymnasieskolan med
För sameskolan införs ytterligare bestämmelser som möjlig- gör nödvändig och regelmässig behandling av personuppgifter om etniskt ursprung.
För hemkommunen införs ytterligare bestämmelser som möj- liggör nödvändig behandling av uppgifter om hälsa och etniskt ursprung i vissa fall.
Dessutom ska organen i enstaka fall få behandla känsliga per- sonuppgifter om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt in- trång i den registrerades personliga integritet.
Ett förbud att använda sökbegrepp som avslöjar känsliga personuppgifter ska införas, i fall då behandlingen sker med stöd av de nämnda undantagen. I grundsärskola, specialskola, gymna- siesärskola, särskild utbildning för vuxna, gymnasieskolan med
Regeringen ska få meddela föreskrifter om ytterligare undan- tag från förbudet mot behandling av känsliga personuppgifter om det behövs med hänsyn till det allmänna intresset att anordna utbildning enligt skollagen eller föreskrifter som har meddelats med stöd av den lagen.
146
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
Slutligen ska det införas upplysningsbestämmelser som anger att nämnda bestämmelser kompletterar dataskyddsförordningen samt att bestämmelser om personuppgiftsbehandling också finns i dataskyddslagen. Kapitlet ska inte tillämpas på elevhälsans medi- cinska verksamhets personuppgiftsbehandling eller Kriminalvår- dens verksamhet enligt 24 kap. 10 § skollagen.
I föregående avsnitt ges exempel på situationer där känsliga person- uppgifter behöver behandlas i den skollagsreglerade utbildningsverk- samheten. Enligt utredningens bedömning utesluter inte dataskydds- förordningen att samtycke kan användas som rättslig grund för be- handling av personuppgifter, även känsliga sådana, av både myndig- heter och enskilda, men att en bedömning måste göras av vilken slags behandling som samtycket avser för att avgöra om det är lämpligt (se avsnitt 4.6.6). För den behandling av känsliga personuppgifter som behövs för att huvudmännen ska kunna fullgöra uppdraget som ankommer på dem enligt skollagen bör dock huvudmännen inte vara beroende av om den registrerade eller dennes vårdnadshavare lämnar samtycke till behandlingen av känsliga personuppgifter eller inte. Detsamma gäller för en kommuns behandling av personuppgifter som behövs för att den ska kunna fullgöra sina åligganden i egenskap av hemkommun enligt skollagen.
Skälet till att utredningen gör den bedömningen är att det kan ifrågasättas om den registrerade faktiskt, i många fall, har något val i frågan om behandlingen ska ske eller inte och därmed en reell möj- lighet att motsätta sig behandlingen. Det är också tveksamt ur syn- vinkeln att lagstiftaren ålägger huvudmännen och hemkommunerna skyldigheter och att fullgörandet av dessa skyldigheter ska göras beroende av den enskildes samtycke. Utredningen konstaterar vidare att offentliga huvudmän och hemkommuner i och med förslaget till bestämmelser i dataskyddslagen om myndigheters behandling i vissa fall kommer att få uttryckligt lagstöd för sådan behandling. Enligt utredningens bedömning bör det för den behandling av känsliga personuppgifter som är nödvändig inom främst skolväsendet för de enskilda huvudmännen finnas ett annat rättsligt stöd för behand- lingen än samtycke.
147
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
Behandling i löpande text
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 1 dataskydds- lagen får myndigheter behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för behandlingen av det. Det innebär enligt utredningens bedömning att förskolor, skolor och vuxenutbildningsenheter som drivs av kom- muner, landsting eller staten även fortsättningsvis kommer att kunna behandla nödvändiga känsliga personuppgifter i löpande text i ären- den. För dessa huvudmän skulle således ingen ytterligare reglering för att kunna behandla känsliga personuppgifter i detta avseende krä- vas. Detsamma gäller för en hemkommuns möjlighet att behandla nödvändiga känsliga personuppgifter i löpande text i ärenden.
Enskilda huvudmän för förskolor och skolor omfattas beträffan- de utförandet av den aktuella utbildningen av samma bestämmelser i skollagen som de offentliga huvudmännen. Vidare anges i skollagen att vissa beslut som fattas av en enskild huvudman eller rektor i en fristående skola får överklagas hos allmän förvaltningsdomstol (28 kap. 6 och 9 §§ skollagen). Andra typer av beslut som fattas av en enskild huvudman eller rektor i en fristående skola får överklagas hos Skolväsendets överklagandenämnd (28 kap. 13 och 16 §§ skol- lagen). Vidare framgår av 29 kap. 10 och 11 §§ skollagen att i ärenden som avser myndighetsutövning mot någon enskild enligt skollagen hos en kommun, ett landsting, eller en enskild huvudman ska vissa uppräknade bestämmelser i förvaltningslagen (1986:223) tillämpas.
De enskilda huvudmännen har således samma behov av, i de fall det är relevant och nödvändigt, att kunna behandla känsliga person- uppgifter i sina ärenden som de offentliga huvudmännen. Vidare kan en fristående förskola eller fristående skola i en ansökan om tilläggs- belopp för elever som har ett omfattande behov av särskilt stöd be- höva behandla uppgifter om elevens hälsa för att kunna styrka beho- vet av särskilt stöd (t.ex. 9 kap. 21 § och 10 kap. 39 § skollagen). I dagsläget kan sådan behandling av känsliga personuppgifter ske med stöd av 5 a § PUL, men den bestämmelsen kommer som ovan nämnts att upphävas när dataskyddsförordningen ska börja tillämpas.
Enligt utredningens bedömning är även de enskilda huvud- männen i förhållande till eleverna bundna av legalitetsprincipen. Det krävs således även för dessa att det finns någon form av förankring i skollagen med tillhörande föreskrifter för deras verksamhet. Utred-
148
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
ningens bedömning är därför att det finns behov av att införa en bestämmelse som möjliggör för de enskilda huvudmännen att be- handla känsliga personuppgifter i ärenden på motsvarande sätt som för myndigheter.
Med stöd av den föreslagna bestämmelsen bör känsliga person- uppgifter, i det fall det är nödvändigt, kunna behandlas i löpande text i t.ex. utredningar om särskilt stöd och åtgärdsprogram (7 kap. 8 och 9 §§ skollagen) och anmälningar och utredningar om kränkande behandlingar (6 kap. 10 § skollagen). Även fristående skolors ansökan om tilläggsbelopp hos hemkommunen (10 kap. 39 § skollagen) bör enligt utredningens bedömning betraktas som ett ärende.
Eftersom de aktuella huvudmännen har möjlighet att utföra dessa behandlingar av känsliga personuppgifter redan i dagsläget med stöd av 5 a § PUL bedömer utredningen att integritetsintrånget för den enskilde varken blir större eller mindre genom att en sådan bestäm- melse införs. Med hänsyn till huvudmännens behov av att kunna behandla känsliga personuppgifter i vissa ärenden för att uppfylla de skyldigheter som åligger dem enligt skollagen anser utredningen att bestämmelsen står i proportion till det eftersträvande syftet, dvs. att möjliggöra behandling av känsliga personuppgifter i vissa ärenden.
Av enhetlighetsskäl föreslås en bestämmelse som möjliggör för samtliga skolhuvudmän, kommunerna när de utför sina åligganden såsom hemkommuner enligt skollagen och aktörer enligt 24 och 25 kap. skollagen att behandla känsliga personuppgifter i löpande text, se nedan angående att ett nytt 28 a kap. ska införas i skollagen. Beträffande skyddsåtgärder, se nedan angående sökbegränsningar.
Behandling som krävs på grund av lag
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 2 dataskydds- lagen får myndigheter behandla känsliga personuppgifter om upp- gifterna har lämnats till myndigheten och behandlingen krävs enligt lag. Dataskyddsutredningen föreslår även att bestämmelsen ska gälla för andra organ än myndigheter om offentlighetsprincipen och sekretesslagstiftningen gäller i organets verksamhet. Enligt 1 kap. 5 § dataskyddslagen ska vid tillämpningen av 3 kap. 3 § 2 och 4 § samt 4 kap. 1 § andra stycket andra organ än myndigheter jämställas med myndigheter, i den mån bestämmelserna om allmänna hand-
149
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
lingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i organets verksamhet.
Förslagen innebär, enligt utredningens bedömning, att förskolor, skolor och vuxenutbildningsenheter som drivs av kommuner, lands- ting eller staten även fortsättningsvis kommer att kunna uppfylla de åligganden enligt bl.a. offentlighetsprincipen som ankommer på dem, t.ex. att diarieföra handlingar som innehåller känsliga person- uppgifter. Detsamma gäller kommunerna när de utför sina övriga åligganden enligt skollagen.
Beträffande de fristående skolorna har Utredningen om offent- lighetsprincipen i fristående skolor i betänkandet Ökad insyn i fristående skolor (SOU 2015:82) föreslagit att offentlighetsprin- cipen ska införas hos huvudmän för fristående skolor (betänkandet omfattar således inte fristående förskolor, jfr definitionerna i 1 kap. 3 § skollagen). En ny bestämmelse föreslås införas i offentlighets- och sekretesslagen av innebörden att vad som föreskrivs i tryckfri- hetsförordningen om rätt att ta del av allmänna handlingar hos myn- digheter i tillämpliga delar ska gälla också handlingar hos huvudmän för fristående skolor. Samtliga huvudmän för fristående skolor ska omfattas. Huvudmännen ska enligt förslaget vid tillämpningen av offentlighets- och sekretesslagen jämställas med myndigheter. Det innebär bl.a. att de fristående skolorna blir skyldiga att registrera sina allmänna handlingar enligt samma principer som gäller för myn- digheter (SOU 2015:82 s. 93 ff.). Bestämmelserna föreslås träda i kraft den 1 juli 2017. Betänkandet bereds inom Regeringskansliet.
Utredningen om ökad insyn i välfärden har i betänkandet Ökad insyn i välfärden (SOU 2016:62) på motsvarande sätt föreslagit att offentlighetsprincipen bör gälla för juridiska personer som i egen- skap av enskilda huvudmän driver förskola eller fritidshem, för pri- vata aktörer som enligt avtal med kommun, enskild huvudman eller landsting utför uppgifter enligt 23 kap. skollagen (entreprenad) med undantag av verksamhet som regleras i 25 kap. skollagen, samt för privat folkhögskola som anordnar utbildning som motsvarar kom- munal vuxenutbildning i svenska för invandrare (enligt 24 kap. 11– 15 §§ skollagen). Bestämmelserna föreslås träda i kraft den 1 januari 2019. Betänkandet bereds inom Regeringskansliet.
Dataskyddsutredningens förslag till bestämmelser i 1 kap. 5 § och 3 kap. 3 § 2 dataskyddslagen innebär att en skolhuvudman för vilken offentlighetsprincipen och sekretesslagstiftningen enligt författning
150
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
gäller i huvudmannens verksamhet, oavsett om denne är en offentlig eller privat aktör, kan tillämpa bl.a. 3 kap. 3 § 2 dataskyddslagen för behandling av känsliga personuppgifter som är oundviklig i den del av huvudmannens verksamhet som en direkt följd av bl.a. tryckfri- hetsförordningens och offentlighets- och sekretesslagens bestäm- melser om allmänna handlingar och diarieföring. Skolhuvudmännens behov av att kunna behandla känsliga personuppgifter med anledning av att de omfattas av eller föreslås omfattas av offentlighetsprincipen är tillgodosett av nämnda föreslagna bestämmelser i dataskyddslagen. Då det finns behov av att införa en särskild reglering för de enskilda huvudmännens behandling av känsliga personuppgifter i ärenden är dock utredningens bedömning att det är lämpligare att även bestäm- melserna om när skolhuvudmännen får behandla känsliga person- uppgifter till följd av bl.a. offentlighetsprincipen tas in i samma författning. Förslaget omfattar också kommunerna när de utför sina åligganden såsom hemkommuner enligt skollagen och de aktörer enligt 24 och 25 kap. skollagen för vilka offentlighetsprincipen och sekretesslagstiftningen enligt författning gäller i verksamheten.
Som en skyddsåtgärd föreslås, i likhet med dataskyddslagen, sök- begränsningar, se nedan.
Eftersom dessa bestämmelser inte tillför något ytterligare eller mindre jämfört med dataskyddslagen bedömer utredningen att det inte behöver göras någon särskild proportionalitetsprövning i detta sammanhang. Det kan dock nämnas att en bestämmelse som möjlig- gör behandling av känsliga personuppgifter som är oundviklig i orga- nets verksamhet som en direkt följd av tryckfrihetsförordningens och offentlighets- och sekretesslagens bestämmelser om allmänna handlingar och diarieföring är en förutsättning för att– organet ska kunna uppfylla sina skyldigheter enligt offentlighetsprincipen. Det allmänna intresset av att organen som har att tillämpa offentlighets- principen kan uppfylla sina skyldigheter väger enligt utredningens bedömning tyngre än den enskildes intresse av att uppgiften inte ska behandlas i detta avseende. Bestämmelsen bedöms stå i proportion till det eftersträvade syftet. Det bör därför, om föreslagna ändringar i offentlighets- och sekretesslagen införs, införas en bestämmelse som motsvarar 3 kap. 3 § 2 dataskyddslagen.
Det kan även nämnas att 1 kap. 5 § dataskyddslagen innehåller en hänvisning till 4 kap. 1 § andra stycket samma lag (arkiverade per- sonuppgifter). Eftersom utredningens förslag är att dataskyddslagen
151
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
ska gälla om inte något annat följer av det föreslagna nya kapitlet i skollagen och kapitlet inte innehåller några bestämmelser om arkiv så ska dataskyddslagens bestämmelser i den delen tillämpas av huvud- männen, oavsett om de är myndigheter eller enskilda rättssubjekt, och kommunerna.
Absolut nödvändig behandling i andra fall
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 3 dataskydds- lagen får en myndighet i enstaka fall behandla känsliga personupp- gifter om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registre- rades personliga integritet. Som exempel på när bestämmelsen kan vara tillämplig anges faktisk verksamhet såsom i kommunikation mellan skola och föräldrar (SOU 2017:39, avsnitt 10.6.2).
Enligt utredningens bedömning kan bestämmelsen tillämpas i kommunikation mellan skola och föräldrar både i de fall det finns ett övergående behov av att behandla en uppgift om t.ex. barnets hälsa och i de fall det till följd av att ett barn har en kronisk sjukdom, t.ex. diabetes, finns ett mer regelbundet behov av att behandla uppgiften.
Ett annat exempel på när paragrafen kan vara tillämplig är på ett dokument med uppgifter om vilka elever som har behov av special- kost på grund av allergi eller religiös övertygelse som skapas i syfte att skolmåltidspersonalen ska få kännedom om det. Om skolmål- tidspersonalen inte vet vilka elever som har behov av särskild kost kan den inte tillgodose det. Behandlingen av uppgiften om t.ex. allergi är därför absolut nödvändig och utgör enligt utredningens bedöm- ning inte ett otillbörligt intrång i den registrerades integritet. Även inom t.ex. elevhälsans psykosociala och specialpedagogiska insatser kan det förekomma situationer när bestämmelsen är tillämplig, dvs. det är inte fråga om ett ärende men det är absolut nödvändigt att behandla känsliga personuppgifter och behandlingen bedöms inte vara ett otillbörligt intrång i den registrerades personliga integritet.
Bestämmelsen i dataskyddslagen är direkt tillämplig på kommu- nal verksamhet och verksamhet vars huvudman är staten, ett lands- ting eller en kommun. De enskilda huvudmännen och privata aktö- rerna som bedriver utbildningsverksamhet enligt skollagen har, som ovan angetts beträffande ärenden, samma behov av att kunna behand-
152
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
la känsliga personuppgifter som de offentliga huvudmännen. Utred- ningens bedömning är att en bestämmelse som möjliggör för även dessa huvudmän att behandla känsliga personuppgifter i enstaka fall i t.ex. faktiskt verksamhet, vilket undervisning är, står i proportion till det eftersträvade syftet. En bestämmelse med sådana starkt begrän- sande rekvisit tillgodoser, enligt utredningens bedömning, data- skyddsförordningens krav på proportionalitet och skyddsåtgärder. Utredningen anser därför att en sådan möjlighet ska införas. Såsom tidigare anförts bedömer utredningen att det är lämpligt att det införs en bestämmelse som ska tillämpas av kommunerna på den verksamhet som tillhandahålls såsom hemkommun enligt skollagen, huvudmännen för skolväsendet och aktörer enligt 24 och 25 kap. skollagen. Beträffande skyddsåtgärder, se avsnittet nedan med sam- ma namn.
Särskilda bestämmelser för grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna
Som tidigare nämnts är behandling av alla personuppgifter om en elev i grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna en behandling av känsliga personuppgifter. An- ledningen till detta är att det endast är elever med funktionsned- sättning som tillhör målgruppen för dessa skolformer och enbart uppgiften om att eleven går i den skolan innebär därmed att man får reda på en uppgift om elevens hälsa.
Det innebär att huvudmännen måste tillämpa de särskilda bestäm- melserna som gäller för behandling av känsliga personuppgifter på all personuppgiftsbehandling, dvs. även för elevadministration som t.ex. kontaktuppgifter, elevregister, närvarorapportering, klasslistor och ämnesval. Det är uppgifter som – bortsett från att eleven går i en viss skolform – vanligen är harmlösa uppgifter. Även behandling av per- sonuppgifter i samband med t.ex. dokumentation inför och skrivan- det av utvecklingsplaner omfattas av de särskilda bestämmelser som rör behandling av känsliga personuppgifter.
I dagsläget är det rättsliga stödet för att behandla känsliga person- uppgifter i detta sammanhang främst samtycke. Utredningen erfar att Specialpedagogiska skolmyndigheten vid hanteringen av klagomål enligt 6 kap. skollagen har tillämpat 16 c § PUL, dvs. att behand-
153
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
lingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, för viss behandling.
Av artikel 9.2 f i dataskyddsförordningen framgår att behandling av känsliga personuppgifter får ske om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk. I skäl 52 till dataskyddsförordningen anges att genom undantag bör man även tillåta behandling av sådana personuppgifter där så krävs för fastställande, utövande eller försvar av rättsliga anspråk, oavsett om detta sker inom ett domstolsförfarande eller inom ett admi- nistrativt eller ett utomrättsligt förfarande. Bestämmelsen i arti- kel 9.2 f är inte begränsad till myndigheter. Om en huvudman gör bedömningen att behandlingen av känsliga personuppgifter är nöd- vändig för att fastställa, göra gällande eller försvara rättsliga anspråk kan den tillämpa artikel 9.2 f till stöd för sådan behandling.
Utredningen bedömer, som även tidigare nämnts, att samtycke inte är ett lämpligt rättsligt stöd för behandlingen av känsliga per- sonuppgifter i dessa skolformer, eftersom lagstiftaren ålägger huvud- männen skyldigheter gentemot eleven och för att kunna uppfylla dessa åligganden måste huvudmannen kunna behandla relevanta per- sonuppgifter om eleven.
De av Dataskyddsutredningen föreslagna bestämmelserna som möjliggör nödvändig behandling av känsliga personuppgifter i löpan- de text i ärenden och behandling som krävs på grund av lag kommer inte kunna tillämpas på den behandling av elevernas personuppgifter som sker i bl.a. den elevadministrativa verksamheten. Inte heller bestämmelsen som möjliggör behandling av känsliga personuppgifter i enstaka fall om det är absolut nödvändigt för ändamålet med be- handlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades integritet kommer bli tillämplig, eftersom bestäm- melsen inte är avsedd att tillämpas på upprepad, omfattande, struktu- rell eller storskalig behandling. Personuppgiftsbehandlingen inom elevadministrationen sker inte i enstaka fall och är upprepad och strukturell.
Utredningens bedömning är att personuppgiftsbehandling för att föra t.ex. elevregister, kontrollera närvaro och upprätta utvecklings- planer är nödvändig för att huvudmännen för särskolor, specialsko- lor och särskild utbildning för vuxna ska kunna bedriva sin verksam- het. De personuppgifter som i det sammanhanget behöver behandlas är t.ex. namn, personnummer, adress, vårdnadshavare och kontakt-
154
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
uppgifter till dessa. Enligt utredningens bedömning är dessa uppgif- ter normalt sett harmlösa och anledningen till att de bedöms som känsliga är att de förekommer i verksamheten. Utredningens be- dömning är att huvudmännen för dessa skolformer är i behov av att kunna behandla elevernas personuppgifter i dessa sammanhang på samma sätt som andra huvudmän, men huvudmännen har fortfaran- de att behandla dessa uppgifter som känsliga personuppgifter ur dataskydds- och datasäkerhetssynpunkt (artikel 25 och 32 i data- skyddsförordningen). Det behöver därför finnas en särskild bestäm- melse som möjliggör för dessa huvudmän att behandla känsliga per- sonuppgifter i denna situation.
När det gäller det integritetsintrång som utredningens förslag medför görs följande bedömning. I dagsläget behandlas elevernas per- sonuppgifter inom de berörda skolformerna med stöd av samtycke från eleven eller vårdnadshavarna. Det kan dock diskuteras hur frivil- ligt ett sådant samtycke kan anses vara och om det i praktiken går att vägra en behandling av personuppgifterna på automatisk väg (jfr skäl 43 till dataskyddsförordningen). Med hänsyn till den digitalise- ring som skett inom offentlig verksamhet är det i dagsläget nödvän- digt att kunna behandla elevernas personuppgifter automatiserat, t.ex. i ett elevregister, och i löpande text inom den faktiska verksamheten, dvs. undervisningen. Utredningens bedömning är att samtycke inte är ett lämpligt rättsligt stöd när verksamhetsbehovet av att kunna behandla de känsliga personuppgifterna är så stort och väger tungt. Utredningen anser för övrigt att det också ligger i elevens intresse att uppgifterna i detta sammanhang kan behandlas automatiskt.
Utredningen föreslår att huvudmännen för särskolor, specialsko- lor och särskild utbildning för vuxna ska kunna behandla uppgifter om hälsa om det är nödvändigt för ändamålet med behandlingen. Dessutom krävs att behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Anledningen till att det senare kravet föreslås är för att vikt ska läggas vid aspekter som upp- gifternas känslighet, den inställning de registrerade kan ha till att uppgiften behandlas och den spridning uppgiften skulle komma att få vid bedömningen om uppgiften bör behandlas eller inte.
Eftersom elevernas personuppgifter redan i dagsläget behandlas automatiserat i särskolor, specialskolor och särskild utbildning för vuxna i t.ex. elevregister och de föreslagna bestämmelserna inte avser att medföra ett stöd för att ytterligare uppgifter ska kunna behandlas
155
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
än de som kan behandlas i dagsläget med stöd av samtycke, bedömer utredningen att bestämmelserna innebär att integritetsintrånget för den enskilde varken blir större eller mindre än i dagsläget. Utred- ningen bedömer att bestämmelsen står i proportion till det efter- strävade syftet.
Det kan även förtydligas att beträffande behandling av andra käns- liga personuppgifter än uppgift om hälsa gäller de övriga föreslagna bestämmelserna även för särskolorna och specialskolorna. När det gäller dataskydd, se avsnittet nedan om skyddsåtgärder.
Särskilda bestämmelser för vissa fristående skolor och vissa kommunala gymnasieskolor
Huvudregeln är att fristående skolor ska vara öppna för alla elever. En huvudman för fristående förskoleklass, grundskola, grundsär- skola och gymnasieskola får dock begränsa sitt mottagande till att avse elever som är i behov av särskilt stöd (9 kap. 17 §, 10 kap. 35 § 2, 11 kap. 34 § 2 och 15 kap. 33 § 1 skollagen). Skolorna med begränsat mottagande riktar sig ofta till elever med neuropsykiatriska funk- tionsnedsättningar som ADHD och AST. Många skolor skriver sam- tidigt att de även riktar sig till elever med annan problematik, bl.a. elever med social problematik eller elever med tidigare skolmiss- lyckanden (Skolverket, Rapport nr 409, 2014, Fristående skolor för elever i behov av särskilt stöd – en kartläggning, s. 8).
Utredningens bedömning är att en uppgift om att en elev går i en fristående skola som begränsat sitt mottagande till elever som är i behov av särskilt stöd vanligen är en känslig personuppgift på samma sätt som en uppgift om att en elev går i t.ex. en grundsärskola. An- ledningen till detta är att skolorna endast mottar elever som är i behov av det slag av särskilt stöd som huvudmannen bestämt och en- bart uppgiften om att eleven går vid den skolan innebär därför att man får reda på en uppgift om elevens hälsa.
Enligt utredningens bedömning gör sig samma motiv till att in- föra en bestämmelse som möjliggör behandling av uppgift om hälsa gällande i dessa verksamheter som för t.ex. grundsärskolan. Utred- ningen föreslår därför att uppgifter om hälsa ska få behandlas om det är nödvändigt för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Beträf- fande integritetsintrånget gör utredningen samma bedömning som
156
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
den gjort för t.ex. grundsärskolan. Angående skyddsåtgärder, se nedan om sökbegränsningar. En grundsärskola som begränsat sitt mottagande till elever som är i behov av särskilt stöd kan tillämpa bestämmelsen som gäller för grundsärskolan.
I de klasser som kommunala gymnasieskolor som anordnar Rh- anpassad gymnasieutbildning eller utbildning för döva och gravt hörselskadade där endast elever som har funktionsnedsättningar går blir uppgiften om att eleven går en sådan utbildning även en uppgift om elevens hälsa. Detta eftersom det i dessa klasser endast går elever med funktionsnedsättningar.
Utredningen gör bedömningen att samma motiv gör sig gällande till att införa en bestämmelse som möjliggör behandling av uppgift om hälsa i dessa verksamheter som för t.ex. gymnasiesärskolan och fristående gymnasieskola som begränsats till att avse elever som är i behov av särskilt stöd. Utredningen föreslår därför att uppgifter om hälsa ska få behandlas i denna verksamhet om det är nödvändigt för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Beträffande integritetsin- trånget gör utredningen samma bedömning som den gjort för t.ex. gymnasiesärskolan. Angående skyddsåtgärder, se nedan om sök- begränsningar.
Särskilda bestämmelser för sameskolan
Som tidigare nämnts är behandling av alla personuppgifter om en elev i sameskolan en behandling av känsliga personuppgifter. Genom att sameskolan vänder sig till barn till samer och främst är öppen för barn till samer blir uppgiften om att en elev går i sameskolan en
157
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
känslig personuppgift, eftersom man genom skolformens namn typiskt sett kan utläsa elevernas etniska ursprung.
Det innebär att Sameskolstyrelsen, som är huvudman för samtliga sameskolor, måste tillämpa de särskilda bestämmelserna som gäller för behandling av känsliga personuppgifter på all personuppgifts- behandling, dvs. även för elevadministration såsom kontaktuppgif- ter, elevregister, närvarorapportering, klasslistor och ämnesval. Det är uppgifter som vanligen är harmlösa uppgifter. Även behandling av personuppgifter i samband med t.ex. dokumentation inför och skri- vandet av utvecklingsplaner omfattas av de särskilda bestämmelser som rör behandling av känsliga personuppgifter.
I dagsläget är det rättsliga stödet för att behandla känsliga person- uppgifter i detta sammanhang samtycke. Utredningen gör, som även tidigare nämnts, bedömningen att samtycke inte är ett lämpligt rätts- ligt stöd för behandlingen av känsliga personuppgifter i detta hän- seende eftersom lagstiftaren ålägger huvudmännen skyldigheter gent- emot eleven och att det för att kunna uppfylla dessa åligganden finns ett berättigat behov av att kunna behandla relevanta personuppgifter om eleven.
De föreslagna bestämmelserna som möjliggör nödvändig behand- ling av känsliga personuppgifter i löpande text i ärenden och behand- ling som krävs på grund av lag kommer inte att kunna tillämpas på den behandling av elevernas personuppgifter som sker i bl.a. den elev- administrativa verksamheten. Inte heller är den föreslagna bestäm- melsen som möjliggör behandling av känsliga personuppgifter i en- staka fall om det är absolut nödvändig för ändamålet med behand- lingen och inte innebär ett otillbörligt intrång i den registrerades integritet tillämplig, eftersom bestämmelsen inte är avsedd att tilläm- pas på upprepad, omfattande, strukturell eller storskalig behandling. Personuppgiftsbehandlingen inom elevadministrationen sker inte i enstaka fall och är upprepad och strukturell.
Utredningen bedömer att personuppgiftsbehandling för att föra t.ex. elevregister, kontrollera närvaro och upprätta utvecklingsplaner är nödvändig för att sameskolan ska kunna bedriva sin verksamhet. De personuppgifter som i det sammanhanget behöver behandlas är t.ex. namn, personnummer, adress, vårdnadshavare och kontaktupp- gifter till dessa. Enligt utredningens bedömning är dessa uppgifter normalt sett harmlösa och anledningen till att de bedöms som käns- liga är att de förekommer i verksamheten. Utredningen bedömer att
158
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
det i sameskolan finns ett behov av att kunna behandla elevernas personuppgifter i dessa sammanhang på samma sätt som i andra skolformer, men huvudmannen har fortfarande att behandla dessa uppgifter som känsliga personuppgifter ur dataskydds- och data- säkerhetssynpunkt (artikel 25 och 32 i dataskyddsförordningen). Utredningens uppfattning är att det behövs en särskild bestämmelse som ger rättsligt stöd för Sameskolstyrelsen att behandla känsliga personuppgifter i denna situation.
Utredningen föreslår att uppgifter om etniskt ursprung ska få behandlas i sameskolan om det är nödvändigt för ändamålet med behandlingen. Dessutom krävs att behandlingen inte innebär ett otill- börligt intrång i den registrerades personliga integritet. Anledningen till att det senare kravet föreslås är att vikt ska läggas vid aspekter som uppgifternas känslighet, den inställning de registrerade kan ha till att uppgiften behandlas och den spridning uppgiften skulle komma att få vid bedömningen om uppgiften bör behandlas eller inte.
Eftersom sameskolan redan i dagsläget behandlar elevernas per- sonuppgifter automatiserat i t.ex. elevregister, och då de föreslagna bestämmelserna inte avser att medföra ett stöd för att ytterligare uppgifter ska kunna behandlas än de som kan behandlas i dagsläget, bedömer utredningen att bestämmelserna innebär att integritets- intrånget för den enskilde varken blir större eller mindre än i dags- läget. Utredningen bedömer vidare att bestämmelsen står i pro- portion till det eftersträvade syftet.
Det kan även förtydligas att för behandling av andra känsliga per- sonuppgifter än uppgift om etniskt ursprung gäller de övriga före- slagna bestämmelserna även för sameskolorna. När det gäller skydds- åtgärder, se avsnittet nedan.
Hemkommunens ansvar och skyldigheter enligt skollagen
Skollagen ålägger kommunerna särskilda uppgifter såsom hemkom- muner, t.ex. att pröva mottagande i grundsärskola (7 kap. 5 § skol- lagen), att se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning (7 kap. 21 § skollagen) och att ombesörja skolskjuts (t.ex. 10 kap. 32 § skollagen). I dessa sammanhang kan det finnas ett behov för hemkommunen att behandla känsliga personuppgifter.
159
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
Beträffande exemplet skolskjuts är utredningens bedömning följande. I detta fall är uppgiften av allmänt intresse – att ombesörja skolskjuts för elever i grundskola som uppfyller vissa förutsättningar
– fastställd genom bestämmelsen i 10 kap. 32 § skollagen. Hemkom- munen kan således tillämpa artikel 6.1 e i dataskyddsförordningen som stöd för nödvändig personuppgiftsbehandling för att utföra denna uppgift av allmänt intresse.
En anledning till att en elev har behov av skolskjuts kan vara att eleven har en funktionsnedsättning. För prövningen av en elevs rätt till skolskjuts kan kommunen komma att få in handlingar som inne- håller uppgifter om elevens hälsa. Kommunen kan även i sitt beslut behöva nedteckna uppgifter som rör elevens hälsa. Uppgifter om hälsa är känsliga personuppgifter enligt artikel 9.1 i dataskyddsför- ordningen. Utredningen föreslår en bestämmelse som – motsvarande 3 kap. 3 § 1 och 2 dataskyddslagen – möjliggör behandling av käns- liga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende samt om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag.
Hemkommunens ansvar för att skolplikten fullgörs
Enligt 7 kap. 21 § skollagen ska hemkommunen se till att skol- pliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning.
Vad utredningen erfar kan det krävas att kommuner med anled- ning av detta åliggande för ett fullständigt elevregister med uppgifter om personnummer, namn, adress och vårdnadshavare samt vid vil- ken skola eleven är inskriven i för att kommunen ska kunna fullgöra sitt ansvar. Registret bör omfatta samtliga elever som bor inom den egna kommunen och skolor oavsett huvudman, dvs. även t.ex. grund- särskolor och specialskolor.
Att en elev går i en skola som är t.ex. en grundsärskola eller spe- cialskola är en uppgift om hälsa, dvs. en känslig personuppgift. På samma sätt är uppgiften att en elev går i en sameskola en uppgift om etniskt ursprung och således en känslig personuppgift.
I dagsläget behandlas personuppgifterna i sådana elevregister med stöd av bestämmelserna i personuppgiftslagen.
160
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
För att en hemkommun ska kunna fullgöra sitt ansvar och se till att skolpliktiga barn som inte går i dess grundskola eller grund- särskola på något annat sätt får föreskriven utbildning måste person- uppgifter samlas in och bearbetas. För att behandlingen ska vara tillå- ten när dataskyddsförordningen ska börja tillämpas måste kom- munen kunna stödja den på en rättslig grund enligt artikel 6.1 i data- skyddsförordningen.
Utredningen bedömer att en kommuns uppdrag och åligganden enligt skollagen med anslutande föreskrifter är uppgifter av allmänt intresse. Dessa uppdrag och åligganden är fastställda i svensk rätt genom just dessa föreskrifter. De åtgärder som kommunerna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har där- med i sig en legal grund, som har offentliggjorts genom tydliga, pre- cisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen (jfr Dataskyddsutredningen SOU 2017:39, avsnitt 8.3.4).
Kommunernas ansvar enligt 7 kap. 21 § skollagen är enligt utred- ningens bedömning att betrakta som en uppgift av allmänt intresse i dataskyddsförordningens mening. Uppgiften av allmänt intresse är genom 7 kap. 21 § skollagen också fastställd i svensk rätt. Bestäm- melsen är tydlig, precis och förutsägbar (jfr skäl 41 till dataskydds- förordningen). En hemkommun kan enligt utredningens bedömning stödja nödvändig behandling på den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen.
Rättslig grund är dock inte ensam tillräcklig för att personupp- giftsbehandlingen ska vara tillåten. Dessutom måste övriga bestäm- melser i dataskyddsförordningen vara uppfyllda, t.ex. bestämmelserna om principer för behandling av personuppgifter enligt artikel 5. För att få behandla känsliga personuppgifter krävs dessutom att något av kriterierna i artikel 9.2 i dataskyddsförordningen är uppfyllt. Av arti- kel 9.2 g framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Dataskyddsutredningen har beträffande myndigheters behand- ling utgått från att det utgör ett viktigt allmänt intresse att svenska
161
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
myndigheter kan bedriva den verksamhet som tydligt faller inom ramen för deras uppdrag på ett korrekt, rättssäkert och effektivt sätt (SOU 2017:39, avsnitt 10.6.2). Enligt utredningens bedömning är det ett viktigt allmänt intresse att hemkommunen fullgör sitt an- svar enligt 7 kap. 21 § skollagen.
Dataskyddsutredningen anser att kravet på stöd i nationell rätt i 9.2 g innebär att undantaget i sig bör föreskrivas i nationell rätt, antingen i generell eller i sektorsspecifik reglering (SOU 2017:39, avsnitt 10.3). De bestämmelser som föreslås möjliggöra behandling av känsliga personuppgifter kommer inte att bli tillämpliga på ett sådant register. Detta eftersom dessa register inte är ärenden och inte heller förs som en direkt följd av tryckfrihetsförordningens, offent- lighets- och sekretesslagens och förvaltningslagens bestämmelser om hur inkomna handlingar ska hanteras. Behandlingen av känsliga per- sonuppgifter sker inte i enstaka fall då uppgifter om elever i t.ex. grundsärskolor behandlas regelmässigt.
Enligt utredningens bedömning är det nödvändigt att hemkom- munerna kan behandla uppgifter om att en viss elev går i t.ex. grund- särskola för att kommunerna ska kunna fullgöra åliggandet att se till att skolpliktiga barn som inte går i dess grundskola eller grundsär- skola på något annat sätt får föreskriven utbildning. Om hemkom- munen inte kan föra in dessa uppgifter i sådana register kommer de i praktiken inte kunna uppfylla sitt ansvar enligt 7 kap. 21 § skollagen.
Utredningen föreslår därför en bestämmelse som möjliggör för kommunerna i egenskap av hemkommuner att behandla känsliga personuppgifter som är nödvändiga för att fullgöra sina skyldigheter enligt 7 kap. 21 § skollagen.
För att minska risken för integritetsintrång bör de känsliga per- sonuppgifter som får behandlas begränsas till personnummer, namn, adress och vårdnadshavare, dvs. uppgifter som i normalfallet är harmlösa uppgifter, men som tillsammans med en uppgift om t.ex. särskola blir en känslig personuppgift. Enligt utredningens bedöm- ning är detta en lämplig åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen. Hemkommunen har även att beakta t.ex. artikel 32 i dataskyddsförordningen om säkerhet för personuppgifter vid behandlingen av personuppgifterna.
Eftersom kommunerna redan i dagsläget behandlar dessa uppgif- ter i sina elevregister bedömer utredningen att den föreslagna bestäm- melsen varken medför ett ökat eller minskat integritetsintrång.
162
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
Mottagande i särskola
Enligt 7 kap. 5 § andra stycket skollagen ska barnets hemkommun pröva frågan om mottagande i grundsärskolan. Ett beslut om mot- tagande i grundsärskolan ska föregås av en utredning som omfattar en pedagogisk, psykologisk, medicinsk och social bedömning.
Av 18 kap. 5 § skollagen framgår att hemkommunen prövar frå- gan om en sökande tillhör målgruppen för gymnasiesärskolan. Utredningens bedömning är att hemkommunerna när de handlägger dessa ärenden utför en uppgift av allmänt intresse och att uppgiften av allmänt intresse är fastställd genom ovan nämnda bestämmelser i skollagen. Bestämmelserna är tydliga, precisa och förutsägbara. Artikel 6.1 e i dataskyddsförordningen är således tillämplig som rättslig grund för nödvändig personuppgiftsbehandling.
Vid handläggningen av dessa ärenden kommer hemkommunerna att behöva behandla uppgifter om elevernas hälsa, dvs. känsliga personuppgifter. Som ovan nämnts föreslås bestämmelser som möj- liggör för kommunen såsom hemkommun att behandla känsliga personuppgifter i bl.a. löpande text om uppgifterna är nödvändiga för handläggningen av ett ärende. Enligt vad utredningen erfar kan det krävas att uppgifter om ärenden om bl.a. mottagande i grund- särskolan läggs in i kommunernas ärendehanteringssystem. I ärendet läggs även uppgiften om vilken elev det rör in. Uppgiften om att en elev är föremål för frågan om mottagande i grundsärskolan eller tillhör målgruppen för gymnasiesärskolan är en uppgift om elevens hälsa. Enligt utredningens bedömning kan den förslagna bestäm- melsen om behandling av känsliga personuppgifter i enstaka fall inte bli tillämplig på dessa behandlingar eftersom det inte rör sig om enstaka fall.
Enligt utredningens bedömning är det nödvändigt med hänsyn till ett viktigt allmänt intresse på grundval av nämnda bestämmelser i skollagen att kommunerna kan göra dessa personuppgiftsbehand- lingar. Dessa behandlingar är även i elevernas intresse då de är en förutsättning för att kommunerna ska kunna fatta beslut i frågan och sedan ha möjlighet att återfinna sina beslut i ärendehanteringssyste- men.
Utredningen föreslår därför en bestämmelse som möjliggör för en hemkommun att med stöd av artikel 9.2 g i dataskyddsförord- ningen behandla uppgifter om hälsa om det är absolut nödvändigt
163
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
för handläggningen av ett ärende om mottagande i grundsärskolan enligt 7 kap. 5 § andra stycket skollagen, eller ett ärende om en sökande tillhör målgruppen för gymnasiesärskolan enligt 18 kap. 5 § skollagen. För att behandlingen ska vara tillåten krävs dessutom att den inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Kommunerna ska noga överväga vilka uppgifter om hälsa som läggs in i både löpande text och eventuellt direkt i ärendehanterings- systemet och pröva det mot ändamålet med behandlingen. Vidare ställer bestämmelsen upp ett krav på att ytterligare avvägning ska göras i det enskilda fallet. Vid bedömningen av om en behandling utgör ett otillbörligt intrång ska vikt läggas vid sådana aspekter som uppgifternas känslighet, den inställning de registrerade kan antas ha till att uppgiften behandlas, den spridning uppgiften skulle komma att få och risken för vidarebehandling för andra ändamål än insam- lingsändamålet.
För att begränsa risken för integritetsintrång föreslås i förordning att endast vissa sökbegrepp får användas. De sökbegrepp som tillåts är sådana som i andra sammanhang betraktas som harmlösa, t.ex. namn, personnummer, adress, skolenhet och diarienummer. Sök- begränsningen bedöms vara en sådan lämplig och särskild åtgärd för att säkerställa den registrerades grundläggande rättigheter och intres- sen som krävs enligt artikel 9.2 g i dataskyddsförordningen. Enligt utredningens bedömning står bestämmelsen i proportion till det eftersträvade syftet.
Tilläggsbelopp till enskilda huvudmän
Till en hemkommuns åliggande hör även att handlägga och besluta om fristående skolors ansökan om tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd enligt t.ex. 10 kap. 39 § skol- lagen. I detta fall är uppgiften av allmänt intresse – att ge bidrag till den enskilde huvudmannen för anordnande av omfattande särskilt stöd till en elev – fastställd genom bestämmelserna i bl.a. 10 kap. 37– 39 §§ skollagen. Hemkommunen kan således tillämpa artikel 6.1 e i dataskyddsförordningen som stöd för nödvändig personuppgifts- behandling för att utföra denna uppgift av allmänt intresse. Kommu-
164
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
nen kan även vara i behov av att kunna behandla uppgifter om en enskild elevs hälsa för handläggningen av ärendet.
Enligt vad utredningen erfar kan det på samma sätt som i ärenden om mottagande i grundsärskolan krävas att uppgifter om vilken elev som en ansökan om tilläggsbelopp avser läggs in i kommunens ärendehanteringssystem. En sådan uppgift är en känslig person- uppgift. Utredningen bedömer att samma skäl gör sig gällande för att en kommun ska få vidta nödvändig personuppgiftsbehandling i dessa fall som avseende ärenden om mottagande i grundsärskolan.
Utredningen föreslår därför en bestämmelse som på samma sätt möjliggör för en hemkommun att med stöd av artikel 9.2 g i data- skyddsförordningen behandla uppgifter om hälsa om det är absolut nödvändigt för handläggningen av ett ärende om tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd. För att behand- lingen ska vara tillåten krävs dessutom att den inte innebär ett otill- börligt intrång i den registrerades personliga integritet. Samma slags sökbegränsningar föreslås också.
Skyddsåtgärder – sökförbud
Förslagen till bestämmelser i dataskyddslagen som Dataskydds- utredningen lämnar för att möjliggöra för myndigheter att i vissa fall behandla känsliga personuppgifter har sin grund i artikel 9.2 g i data- skyddsförordningen. För att i den delen leva upp till förordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen, föreslår Data- skyddsutredningen även en skyddsåtgärd i form av en sökbegräns- ning i 3 kap. 4 § dataskyddslagen. Vid behandling som sker enbart med stöd av 3 § dataskyddslagen får en myndighet inte använda sökbegrepp som avslöjar känsliga personuppgifter.
Dataskyddsutredningen menar att sökningar som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som i sig innebär en integritetskränkning. Enligt Dataskyddsutredningen ligger före- teelsen nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Dataskyddsutredningen anser att med ett sökförbud uppnås
165
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
ett relativt effektivt skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna (SOU 2017:39, avsnitt 10.6.2).
Dataskyddsutredningen konstaterar vidare att ett sådant sökför- bud i svensk rätt innebär att offentlighetsprincipen inskränks enligt den så kallade begränsningsregeln i 2 kap. 3 § tredje stycket tryck- frihetsförordningen. En begäran att få tillgång till en sammanställ- ning av uppgifter som är resultatet av en sådan förbjuden sökning ska alltså avslås på den grunden att sammanställningen inte anses förvarad hos myndigheten.
Dataskyddsutredningen anser att den omständigheten att sam- manställningar av känsliga personuppgifter inte kommer att lämnas ut är en inte obetydlig integritetsvinst för de registrerade. Data- skyddsutredningen understryker dock att den s.k. begränsnings- regeln inte hindrar att sökningar görs i färdiga elektroniska hand- lingar vid en begäran om tillgång till allmänna handlingar, dvs. sök- ning får på begäran ske i upptagningar där myndigheten eller den som lämnat in handlingen till myndigheten har gett upptagningen ett bestämt, fixerat, innehåll som går att återskapa gång på gång.
Dataskyddsutredningens förslag till sökförbud i 3 kap. 4 § data- skyddslagen gäller för myndigheter och enligt 1 kap. 5 § även för de organ som jämställs med myndigheter vid tillämpningen av 3 kap. 3 § 2 och 4 §.
Utredningen föreslår att även enskilda huvudmän ska kunna till- lämpa bestämmelser motsvarande 3 kap. 3 § 1 och 3 dataskyddslagen. De skäl som finns för att sökbegränsningar ska gälla för myndigheter
– dvs. för offentliga huvudmäns del – gör sig enligt utredningens bedömning även gällande för enskilda huvudmän. En motsvarande bestämmelse som begränsar enskilda huvudmäns anställdas möjlig- heter till behandling av känsliga personuppgifter bör därför också införas.
Dessa generella sökbegränsningar omfattar även huvudmän för särskolor, specialskolor, sameskolor, särskild utbildning för vuxna, fristående skolor som begränsats till elever som är i behov av särskilt stöd för sin utveckling och gymnasieskolan med
Utredningens bedömning är att det inte heller inom dessa utbild- ningsformers verksamhet bör kunna sökas på uppgifter om t.ex. en medicinsk diagnos eller en viss funktionsnedsättning. Den föreslagna
166
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
bestämmelsen medför dock att personal i särskolor, specialskolor, sameskolor, särskild utbildning för vuxna och fristående skolor som begränsats till elever som är i behov av särskilt stöd för sin utveckling inte kan söka på någon personuppgift alls eftersom alla uppgifter är känsliga personuppgifter, även t.ex. uppgift om namn och person- nummer som i andra sammanhang skulle anses som en harmlös upp- gift. För att dessa skolformers administration ska fungera behöver i vart fall viss personal kunna söka på vissa personuppgifter, t.ex. namn, personnummer och elevens hemkommun. Om man i den administrativa verksamheten inte kan göra några sökningar kan per- sonalen inte heller få fram i systemen inmatade uppgifter om ele- verna, vilket skulle vara helt orimligt. Att administrationen fungerar gagnar även eleverna eftersom syftet normalt är att administrera deras skolgång.
Utredningen föreslår därför en bestämmelse som möjliggör för särskolor, specialskolor, särskild utbildning för vuxna och fristående skolor som begränsats till elever som är i behov av särskilt stöd för sin utveckling att göra sökning på uppgift om hälsa. Samma möjlighet föreslås även för huvudmän för gymnasieskolan med
167
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
Då det endast är den känsliga uppgiften hälsa som möjliggörs att sökas på inom särskolor, specialskolor, särskild utbildning för vuxna, fristående skolor som begränsats till elever som är i behov av särskilt stöd för sin utveckling, gymnasieskolan med
Undantagen bör dock av integritetsskyddsskäl kunna avgränsas så specifikt som möjligt. Dessa avgränsningar bör dessutom kunna anpassas kontinuerligt, om det med hänsyn till utvecklingen av verk- samheten uppstår behov av andra sökbegrepp. Det är därför lämpligt att det i förordning preciseras vilka möjligheter till sökning som ska finnas. Mot denna bakgrund bör det tas in en upplysning om att regeringen kan meddela föreskrifter om begränsningar av möjlig- heten att använda de aktuella sökbegreppen. I förordningsbestäm- melserna kan det t.ex. specificeras vilka sökbegrepp som får använ- das. Bestämmelserna i förordning som begränsar möjligheterna att använda de aktuella sökbegreppen bör utformas som ovillkorliga bestämmelser så att de får genomslag när allmänheten begär att en sökning ska utföras med stöd av offentlighetsprincipen.
Utredningen föreslår samma slags sökbegränsningar för kommu- nerna för de situationer som de såsom hemkommuner föreslås sär- skilt få behandla känsliga personuppgifter.
Bemyndigande som möjliggör ytterligare undantag
I dataskyddslagen införs ett bemyndigande för regeringen att före- skriva om undantag från förbudet i artikel 9.1 i dataskyddsförord- ningen att behandla känsliga personuppgifter (3 kap. 8 § dataskydds- lagen). Eftersom utredningen föreslår en särreglering beträffande behandling av känsliga personuppgifter behöver en motsvarande bestämmelse införas för att möjliggöra för regeringen att meddela ytterligare undantag från förbudet i artikel 9.1 beträffande det viktiga
168
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
allmänna intresset att anordna utbildning enligt skollagen eller före- skrifter som har meddelats med stöd av den lagen.
En förutsättning när nya undantag övervägs med stöd av bemyn- digandet är att en noggrann bedömning görs för att säkerställa att dataskyddsförordningens krav i övrigt, bl.a. skyddsåtgärder, är upp- fyllda.
Ett nytt 28 a kap. ska införas i skollagen
En ytterligare fråga är vad som är författningstekniskt mest lämp- ligt att föra in dessa särbestämmelser som ger möjlighet att i vissa situationer behandla känsliga personuppgifter. I 3 kap. 8 § data- skyddslagen ges ett bemyndigande för regeringen att meddela före- skrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter. Det skulle således vara möjligt att reglera enskilda huvudmäns möjligheter att behandla känsliga personuppgifter i en förordning.
Utredningen bedömer dock att det förenklar om samtliga huvud- män som har att tillämpa skollagen i sin utbildningsverksamhet kan tillämpa samma bestämmelser för sin behandling av känsliga person- uppgifter och att det därför ska införas enhetliga bestämmelser. Det framstår även som angeläget ur enskildas perspektiv att samma data- skyddsbestämmelser är tillämpliga i skolformer som tillämpar samma verksamhetsreglering. För kommunernas del förenklar det om de för samtliga åligganden enligt skollagen, dvs. både som huvudman res- pektive hemkommun, har att tillämpa samma bestämmelser.
De bestämmelser som myndigheter har att tillämpa enligt data- skyddslagen är i lagform. Om det inte införs särreglering för deras del ska de tillämpa dataskyddslagen. Utredningens bedömning är därför att det är lämpligt att bestämmelserna som ger huvudmännen enligt skollagen stöd för att behandla känsliga personuppgifter förs in på samma normhierarkiska nivå, i ett nytt 28 a kap. i skollagen. Även kommunerna såsom hemkommuner enligt skollagen och aktö- rer enligt 24 och 25 kap. ska tillämpa det föreslagna kapitlet vid behandling av känsliga personuppgifter som utförs med stöd av skol- lagen och anslutande föreskrifter. Kapitlet inleds med en upplys- ningsbestämmelse som anger de organ enligt skollagen som kan till- lämpa bestämmelserna i det.
169
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
Därefter följer en upplysningsbestämmelse som anger att kapitlet utgör en komplettering till dataskyddsförordningen och dess förhållande till dataskyddslagen. Även en bestämmelse som anger att kapitlet inte ska tillämpas på den personuppgiftsbehandling som utförs av dels den verksamhet inom elevhälsan som ska tillämpa patientdatalagens bestämmelser, dels Kriminalvårdens verksamhet enligt 24 kap. 10 § föreslås.
4.8Personuppgifter som rör lagöverträdelser
4.8.1Utredningens uppdrag i denna del
Utredningen har inte getts ett uttryckligt uppdrag att analysera om det finns behov av att möjliggöra ändamålsenlig behandling av per- sonuppgifter som rör lagöverträdelser. Eftersom utredningen ska föreslå kompletterande regleringar som ska möjliggöra en ändamåls- enlig behandling som samtidigt skyddar den enskildes fri- och rättig- heter, ingår det dock i uppdraget att också analysera behovet av reg- lering i denna del.
4.8.2Gällande bestämmelser
Enligt 21 § första stycket PUL är det förbjudet för andra än myn- digheter att behandla personuppgifter om lagöverträdelser som inne- fattar bl.a. brott och domar i brottmål. Förbudet gäller således inte för förskolor, skolor och vuxenutbildningsenheter vars huvudmän är staten, en kommun eller ett landsting, utan endast för enskilda huvud- män. Med stöd av 5 a § PUL kan dock även enskilda huvudmän be- handla sådana uppgifter i ostrukturerat material.
Vidare får, enligt 21 § tredje stycket PUL, regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om undantag från förbudet i 21 § första stycket. I 9 § PUF har Data- inspektionen bemyndigats att meddela föreskrifter om sådana un- dantag. Datainspektionen har meddelat sådana föreskrifter genom DIFS 1998:3 (Datainspektionens föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m.), som ändrats genom DIFS 2010:1. Enligt 1 § b i föreskrifterna får, utan hinder av förbudet i 21 § PUL, sådana
170
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
personuppgifter behandlas om behandlingen avser uppgift i anteck- ningar som förs i fristående skolors elevvårdande verksamhet. Även genom Datainspektionens föreskrifter finns således en möjlighet för enskilda huvudmän för fristående skolor att i sin elevvårdande verk- samhet behandla personuppgifter som rör fällande domar i brottmål.
Med fristående skolor avses i 1 kap. 3 § skollagen en skolenhet vid vilken en enskild bedriver utbildning inom skolväsendet i form av förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasie- särskola eller sådant fritidshem.
4.8.3Dataskyddsförordningen och dataskyddslagen
Enligt artikel 10 i dataskyddsförordningen får behandling av person- uppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämp- liga skyddsåtgärder för de registrerades rättigheter och friheter fast- ställs.
Dataskyddsutredningen har lämnat förslag till bestämmelser om behandling av personuppgifter som rör lagöverträdelser i 3 kap. 9, 10 och 12 §§ dataskyddslagen.
I 9 § anges att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångs- medel får enligt artikel 10 i dataskyddsförordningen behandlas av myndigheter.
Enligt Dataskyddsutredningen är det av stor vikt att regleringen i artikel 10 i dataskyddsförordningen, även vad avser myndigheters behandling, tydliggörs så långt möjligt i nationell rätt. Dataskydds- utredningen anser att ett sådant införlivande behövs när det gäller myndigheters behandling av uppgifter om lagöverträdelser, bl.a. för att tydliggöra att myndigheter inte behöver uttryckligt stöd i före- skrifter eller särskilda beslut för att få behandla uppgifter om lag- överträdelser (SOU 2017:39, avsnitt 11.4).
Enligt 10 § får den myndighet som regeringen bestämmer i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §. Enligt 12 § bemyndigas regeringen eller den myndighet som regeringen bestämmer att få meddela föreskrifter om
171
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
i vilka fall andra än myndigheter får behandla sådana uppgifter som avses i 9 §.
I 4 och 5 §§ förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning föreslår Dataskyddsutredningen kom- pletterande bestämmelser avseende behandling av uppgifter som rör lagöverträdelser.
Enligt 4 § får personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångs- medel behandlas av andra än myndigheter om
1.behandlingen är nödvändig för att rättsliga anspråk ska kunna fast- ställas, göras gällande eller försvaras i ett enskilt fall,
2.behandlingen avser enstaka uppgifter och är nödvändig för att till polisen anmäla misstanke om brott, eller
3.behandlingen avser enstaka uppgifter och är nödvändig för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.
Enligt Dataskyddsutredningens förslag till 5 § får Datainspektionen meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör fällande domar i brottmål, lag- överträdelser som innefattar brott eller straffprocessuella tvångs- medel.
4.8.4Behov av särskild reglering
Förslag: I 28 a kap. skollagen ska det införas en bestämmelse som möjliggör för elevhälsan i fristående skolor att i löpande text behandla personuppgifter som rör fällande domar i brottmål, lag- överträdelser som innefattar brott eller straffprocessuella tvångs- medel, om det är absolut nödvändigt för ändamålet med behand- lingen. Vidare möjliggörs för huvudmännen för fristående skolor samt rektorer och lärare i fristående skolor att i skriftlig doku- mentation som åligger dem enligt 5 kap. 24 § skollagen behandla personuppgifter som rör fällande domar i brottmål, lagöverträ- delser som innefattar brott eller straffprocessuella tvångsmedel, om det är absolut nödvändigt för ändamålet med behandlingen.
172
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
Bedömning: Förskolor, skolor och vuxenutbildningsenheter vars huvudmän är staten, en kommun eller ett landsting kan med stöd av artikel 10 i dataskyddsförordningen behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. Dataskyddslagen före- slås innehålla en upplysningsbestämmelse om att myndigheter får behandla sådana uppgifter. Det finns inget behov av att införa nå- gon ytterligare reglering för dessa huvudmäns eller övriga huvud- mäns behandling av personuppgifter som rör lagöverträdelser.
Förbudet i artikel 10 mot behandling av personuppgifter som rör lagöverträdelser och liknande gäller inte för myndigheter. En upp- lysningsbestämmelse om nämnda förhållande föreslår Dataskydds- utredningen ska finnas i 3 kap. 9 § dataskyddslagen. Även när data- skyddsförordningen ska börja tillämpas kommer således förskolor, skolor och vuxenutbildningsenheter vars huvudmän är staten, en kommun eller ett landsting att kunna behandla personuppgifter som rör lagöverträdelser och liknande i de enskilda fall sådan behandling bedöms nödvändig. Någon ytterligare reglering i denna del krävs därmed inte för dessa huvudmäns behandlingar.
Datainspektionen har genom föreskrifter från 1998 möjliggjort för den elevvårdande verksamheten i fristående skolor att i anteck- ningar behandla uppgifter om bl.a. lagöverträdelser. Med fristående skolor avses i skollagen en skolenhet vid vilken en enskild bedriver utbildning inom skolväsendet i form av förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola eller sådant fritids- hem. I dessa skolformer har det således sedan 1998 bedömts finnas ett behov av att i den elevvårdande verksamheten kunna behandla uppgifter om bl.a. lagöverträdelser i anteckningar, dvs. löpande text, eftersom sådan behandling möjliggjorts. I sammanhanget kan även nämnas att sådan behandling sedan 5 a § PUL trädde i kraft även varit möjlig genom att tillämpa den bestämmelsen.
Begreppet elevvårdande verksamhet används inte i skollagen. I stället används begreppet elevhälsa som ska omfatta medicinska, psykologiska, psykosociala och specialpedagogiska insatser.
I 5 kap. skollagen finns bestämmelser om disciplinära och andra särskilda åtgärder. Med sådana åtgärder avses utvisning, kvarsitt- ning, tillfällig omplacering, tillfällig placering vid annan skolenhet, avstängning och omhändertagande av föremål. Rektor eller en lärare
173
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
får vidta de omedelbara och tillfälliga åtgärder som är befogade för att tillförsäkra eleverna trygghet och studiero eller för att komma till rätta med en elevs ordningsstörande uppträdande. Huvudman- nen får under vissa förutsättningar besluta att helt eller delvis stänga av en elev från gymnasieskolan, gymnasiesärskolan, kommu- nal vuxenutbildning och särskild utbildning för vuxna (t.ex. 5 kap. 17 § skollagen).
Av 5 kap. 24 § skollagen framgår att om vissa åtgärder vidtagits enligt kapitlet, såsom t.ex. utvisning ur undervisningslokalen, tillfäl- lig omplacering till en annan undervisningsgrupp än den eleven annars hör till, tillfällig placering till en annan skolenhet, avstängning från vissa obligatoriska skolformer och avstängning från de frivilliga skolformerna, ska åtgärden dokumenteras skriftligt av den som genomfört den.
Utredningen erfar att det i vissa fall i samband med att disci- plinära eller andra särskilda åtgärder, t.ex. avstängning, behöver vid- tas är nödvändigt att behandla en uppgift om bl.a. lagöverträdelser. Ett exempel kan vara i ett ärende rörande avstängning av en narko- tikapåverkad elev som dyker upp i skolan och är farlig för sig själv eller andra. I detta sammanhang skulle det om eleven tidigare har dömts för t.ex. ringa narkotikabrott kunna bli aktuellt att även anteckna den uppgiften. Också inom elevhälsan skulle det kunna uppstå situationer där det finns ett berättigat behov av att i löpande text behandla en uppgift om t.ex. lagöverträdelse.
Dessa behov av att behandla uppgifter om lagöverträdelser och liknande gör sig lika gällande hos en skolhuvudman som är en kom- mun, staten, eller ett landsting som hos en enskild skolhuvudman. I dagsläget finns det möjlighet att i fristående skolor behandla denna uppgift i fristående text med stöd av bestämmelsen i 5 a § PUL, men även nämnda föreskrift av Datainspektionen. När dataskyddsför- ordningen ska börja tillämpas kommer dock personuppgiftslagen att upphävas.
Enligt utredningens bedömning är det inte möjligt för huvudmän för samt rektorer och lärare i fristående skolor att behandla person- uppgifter om lagöverträdelser i anteckningar med anledning av t.ex. en disciplinåtgärd med stöd av Dataskyddsutredningens förslag i nyss nämnda delar. Samma bedömning görs för elevhälsan inom fri- stående skolors möjlighet att i löpande text behandla uppgifter om t.ex. lagöverträdelser.
174
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
Enligt Dataskyddsutredningens förslag till 5 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning bemyndigas Datainspektionen att meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör bl.a. fällande domar i brottmål. I vilken mån Datainspek- tionen kommer att använda sig av bemyndigandet och i så fall på vilket sätt är i dagsläget oklart.
Dataskyddsförordningen tillåter således inte att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel behandlas i löpande text i fristående skolor och det saknas förslag till undantag som möjliggör sådan behandling. Frågan är då om utredningen bör föreslå en sådan bestämmelse.
Bestämmelser om bl.a. tillfällig omplacering och avstängning i 5 kap. skollagen tar sikte på bl.a. övriga elevernas trygghet och studiero. Det måste därmed, enligt utredningens bedömning, anses vara lika angeläget att det i fristående skolor är möjligt att behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel i dessa sam- manhang som i skolor vars huvudmän är staten, en kommun eller ett landsting. En sådan bestämmelse bör således införas.
En bestämmelse som möjliggör för att i fristående skolor behandla personuppgifter som rör bl.a. fällande domar i brottmål måste, enligt artikel 10 i dataskyddsförordningen, omfattas av lämpliga skydds- åtgärder för de registrerades rättigheter och friheter. En sådan bestämmelse bör därför bestå av rekvisit som starkt betonar att det är fråga om en restriktiv tillämpning där en noggrann avvägning behöver göras mellan behovet av behandling och intrånget i den enskildes integritet. Enligt utredningens uppfattning kan utformningen av Data- skyddsutredningens förslag till 3 kap. 3 § 3 dataskyddslagen tjäna som riktmärke.
Behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångs- medel skulle då kunna tillåtas om det är absolut nödvändigt, vilket innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling.
En ytterligare lämplig skyddsåtgärd kan, enligt utredningens upp- fattning, vara att avgränsa tillämpningsområdet för bestämmelsen till att gälla enbart i löpande text.
175
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
Genom dessa begränsningar skapas en möjlighet för dels elevhäl- san, dels huvudman, rektor respektive lärare när dessa har en skyl- dighet enligt 5 kap. 24 § skollagen att dokumentera åtgärder som vidtagits enligt det kapitlet att behandla absolut nödvändiga uppgif- ter om t.ex. fällande domar i brottmål samtidigt som den enskilda elevens integritet skyddas genom att bestämmelsen ska tillämpas restriktivt och behandlingen endast får ske i löpande text.
Utredningens bedömning är att en bestämmelse, med sådana begränsande rekvisit, uppfyller kraven i artikel 10 i dataskyddsför- ordningen.
Eftersom det redan i dagsläget är tillåtet i fristående skolor att behandla uppgifter om bl.a. fällande domar i brottmål i löpande text med stöd av 5 a § PUL gör utredningen bedömningen att den före- slagna bestämmelsens intrång i de enskildas integritet varken blir större eller mindre än med gällande bestämmelser.
Såvitt utredningen erfar finns det inte behov av att behandla upp- gifter om lagöverträdelser i fristående förskolors verksamhet och därför föreslås inte någon sådan bestämmelse. Om ett sådant behov skulle uppkomma finns det genom de föreslagna bestämmelserna i dataskyddslagen möjlighet för regeringen eller Datainspektionen att meddela föreskrifter som möjliggör sådan behandling.
4.9Behov av ytterligare reglering
Bedömning: Dataskyddsförordningen, dataskyddslagen och ut- redningens förslag till författningsreglering av huvudmännens och hemkommunernas behandling av känsliga personuppgifter och fristående skolors behandling av lagöverträdelser utgör en ändamålsenlig reglering för de skollagsreglerade utbildningsverk- samheternas personuppgiftsbehandling och ett välavvägt skydd för barnens respektive elevernas personliga integritet.
Den personuppgiftsbehandling som de skollagsreglerade utbildningsverksamheterna utför och som inte omfattas av utred- ningens förslag till lagreglering är inte sådan att det krävs ytter- ligare lagreglering enligt 2 kap. 6 § regeringsformen. Någon ytter- ligare reglering, utöver förslagen till reglering av huvudmännens behandling av känsliga personuppgifter och fristående skolors behandling av lagöverträdelser och liknande, behövs därmed inte.
176
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
När personuppgiftslagen upphävs kommer den personuppgifts- behandling som utförs av de skollagsreglerade utbildningsverksam- heterna att i huvudsak omfattas av dataskyddsförordningens och den föreslagna dataskyddslagens bestämmelser samt de bestämmelser utredningen föreslår för huvudmännens och hemkommunernas be- handling av känsliga personuppgifter och fristående skolors behand- ling av lagöverträdelser och liknande.
Några områden kommer dock inte omfattas av dessa bestäm- melser. Den personuppgiftsbehandling som sker inom elevhälsans medicinska insatser kommer även fortsättningsvis omfattas av patientdatalagen med tillhörande föreskrifter. Den personuppgifts- behandling som SiS vidtar med anledning av utbildningen som genomförs genom dess försorg för ungdomar som dömts till sluten ungdomsvård och placerats vid särskilt ungdomshem kommer att omfattas av den föreslagna brottsdatalagens bestämmelser (SOU 2017:29). Detsamma gäller den personuppgiftsbehandling som Kriminalvården utför med anledning av utbildningen som mot- svarar kommunal vuxenutbildning och särskild utbildning för vuxna för intagna i kriminalvårdsanstalt.
Frågan är således om det, utöver nämnda regleringar och förslag, krävs och behövs en ytterligare författning i form av en särskild lag för att ytterligare reglera de skollagsreglerade utbildningsverksam- heternas personuppgiftsbehandling i andra fall än då det gäller be- handling av känsliga personuppgifter och fristående skolors behand- ling av lagöverträdelser och liknande.
Dataskyddsförordningen möjliggör genom artikel 6.2 och 6.3 andra stycket för medlemsstaterna att införa särskilda registerför- fattningar men varken dessa bestämmelser eller förordningen i sig innebär något krav på att det införs sådana författningar.
Enligt utredningens bedömning kan de skollagsreglerade utbild- ningsverksamheterna som rättslig grund för sin nödvändiga behand- ling av personuppgifter tillämpa artikel 6.1 a, c eller e i dataskyddsför- ordningen (se avsnitt 4.6). För enskilda huvudmän är det inte uteslu- tet att tillämpa artikel 6.1 f som rättslig grund för nödvändig behand- ling. Som framgår ovan är det utredningens bedömning att det inte behövs någon särskild reglering för att de skollagsreglerade utbild- ningsverksamheternas huvudmän eller kommunen såsom hemkom- mun ska kunna tillämpa dessa rättsliga grunder. Enligt ovan är det
177
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
även utredningens bedömning att nämnda rättsliga grunder i data- skyddsförordningen är tillräckliga för sådan behandling som är nöd- vändig för att huvudmännen respektive kommunen såsom hemkom- mun ska kunna uppfylla de uppgifter och åligganden som framgår av skollagen med tillhörande föreskrifter och beslut grundade i dessa.
För nödvändig och absolut nödvändig behandling av känsliga per- sonuppgifter kan huvudmännen respektive kommunen såsom hem- kommun tillämpa de bestämmelser som utredningen föreslår ska införas i ett nytt 28 a kap. i skollagen. Dessa bestämmelser har sin grund i artikel 9.2 g i dataskyddsförordningen och är utformade med dataskyddslagens motsvarande bestämmelser som förebild. Som framgår ovan är det utredningens bedömning att dessa bestämmel- ser, i förening med möjligheten att i viss utsträckning använda sig av samtycke, är tillräckliga för sådan behandling av känsliga person- uppgifter som är nödvändig eller absolut nödvändig i huvudmännens verksamhet enligt bl.a. skollagen.
Det kommer således att finnas rättslig grund som medför att de skollagsreglerade utbildningsverksamheterna även när dataskydds- förordningen ska börja tillämpas den 25 maj 2018 kan utföra nöd- vändiga behandlingar av personuppgifter. Ur den synvinkeln saknas det anledning att införa en särskild reglering av de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandlingar.
Regeringsformens krav
Frågan är då om skyddet mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen innebär att det enligt 2 kap. 20 § regeringsformen krävs en särskild lag för de skollagsreglerade utbildningsverksamheternas personuppgiftsbehand- ling.
Bestämmelsen i 2 kap. 6 § andra stycket regeringsformen trädde i kraft den 1 januari 2011. Genom en särskild övergångsbestämmelse har äldre regleringar, som inte har lagform, dock varit gällande t.o.m. utgången av 2015. Någon särskild lag om skolornas personuppgifts- behandling har inte införts med anledning av grundlagsändringen.
Utredningen om offentlighet och sekretess i skolan har i betän- kandet Sekretess i elevernas intresse – Dokumentation, samverkan och integritet i skolan (SOU 2003:103) utrett bl.a. om det med
178
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
anledning av personuppgiftslagen behövs särskilda regler för använd- ningen av datorer i skolan. Utredningen kom fram till att det inte behövdes en särskild författningsreglering om behandling av person- uppgifter i skolan.
Någon utredning har inte tillsatts med uppgiften att analysera behovet av en särskild författningsreglering inom den skollagsregle- rade utbildningsverksamhetens område med anledning av grund- lagsändringen.
Det förefaller därmed som att regeringen och lagstiftaren bedömt att den skollagsreglerade utbildningsverksamhetens behandling av personuppgifter inte är sådan att den kräver särskilt lagstöd enligt 2 kap. 20 § regeringsformen, utan att de möjligheter till behandling av personuppgifter som finns enligt personuppgiftslagen är både tillräckliga och inte för långtgående för integritetsskyddet.
Vidare har det inte framkommit att de skollagsreglerade verksam- heternas personuppgiftsbehandlingar sedan den 1 januari 2016 har ändrats eller avses ändras på ett sätt som medför att behovet av att införa en särskild lagreglering har förändrats. Det är inte några ofullkomligheter i lagstiftningen eller ifrågasatta integritetskränk- ningar som har föranlett utredningsuppdraget, utan enbart den kom- mande nya
De skollagsreglerade utbildningsverksamheternas behandling av personuppgifter består huvudsakligen av uppgifter i form av elevens namn, adress och personnummer samt vårdnadshavares namn och kontaktuppgifter. Vidare dokumenteras elevernas tider på försko- lorna och fritidshemmen samt deras närvaro på förskolorna respek- tive fritidshemmen och i skolorna. De personuppgifter som före- kommer i dessa sammanhang är normalt harmlösa.
Inom undervisningsverksamheten förekommer det oundvikligen behandling av vissa av elevernas personuppgifter eftersom det ingår i läroplanerna för t.ex. grundskolan att eleverna ska t.ex. lära sig skriva dokument med hjälp av ordbehandlare. Regeringen beslutade så nyligen som den 9 mars 2017 om förtydliganden och förstärkningar i styrdokument – bl.a. i läroplaner för grundskolan och gymnasie- skolan – för att tydliggöra skolans uppdrag att stärka elevernas digi- tala kompetens. I skolans uppdrag kommer att ingå att bidra till att
179
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
eleverna utvecklar förståelse för hur digitaliseringen påverkar indi- viden och samhällets utveckling.21 Alla elever ska ges möjlighet att utveckla sin förmåga att använda digital teknik. De ska också ges möjlighet att utveckla ett kritiskt och ansvarsfullt förhållningssätt till digital teknik, för att kunna se möjligheter och förstå risker och för att kunna värdera information. Ändringarna syftar bl.a. till att elever- na ska kunna använda och förstå digitala system och tjänster. Ändringarna ska tillämpas senast från och med den 1 juli 2018, men huvudmännen kommer att kunna välja om de ska börja tillämpa dem tidigare med början från och med den 1 juli 2017.
Även i de fall skoluppgifter görs i skolans datorer till vilka eleven har egen inloggning eller redovisningar lämnas in till en lärare per e- post eller via en lärplattform behandlas elevens personuppgifter. I vart fall elevernas namn behandlas i utvecklingsplaner och elevernas namn och personnummer i betygsdokumenten. I utvecklingsplaner sker en bedömning av elevens kunskaper jämfört med uppsatta mål. Att en individs förmåga och prestation dokumenteras är integritets- känsligt, men att göra dessa bedömningar ingår som en del av sko- lornas uppdrag. För att kunna utföra det uppdraget måste dokumen- tation av elevens resultat och lärarens bedömning av elevens kunska- per ske. Dokumentationen kan föras manuellt på papper eller auto- matiserat. Om dokumentationen sker manuellt i pappersform an- kommer det på läraren att se till att dokumenten inte sprids till obehöriga eftersom en sådan spridning sannolikt skulle uppfattas av den drabbade som en integritetskränkning.
I dagsläget har dock teknikutvecklingen gått så långt och kravet på effektivitet är sådant att dokumentationen av elevens kunskaper främst sker automatiserat. Om dokumentationen av elevernas ut- veckling mot uppsatta mål sker med ett dataskydd i enlighet med dataskyddsförordningens krav, med t.ex. behörighetsbegränsningar till dokumenten och ett dataskydd som säkerställer att uppgifterna skyddas mot att obehöriga får del av dem, blir inte den automa- tiserade behandlingen mer integritetskänslig än den manuella.
Utredningen anser vidare att sedvanlig och återkommande upp- följning och bedömning av elevers resultat inte heller typiskt sett kan anses särskilt integritetsskadlig. I den mån sådana åtgärder inbegriper
21
180
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
en bedömning av elevens hälsotillstånd eller liknande bör dock nor- malt integritetsintrånget bli större. För sådana fall har dock utred- ningen föreslagit bestämmelser i lag som tillsammans med data- skyddsförordningen uttömmande reglerar möjligheten att behandla sådana uppgifter.
Enligt utredningens uppfattning är det alltså inte behandlingen av personuppgifter i nu aktuella fall, dvs. behandling som inte innefattar känsliga personuppgifter, som orsakar integritetsintrånget utan verk- samheten som sådan i form av bedömningar och omdömen som gör det. Den verksamheten är noggrant reglerad i skollagen och anslu- tande författningar och lagstiftaren har därigenom gjort en avväg- ning mellan intresset av elevernas integritetsskydd och behovet av att dokumentera elevernas kunskaper för att kunna bedriva adekvat utbildning.
I den skollagsreglerade utbildningsverksamheten kan behandling av känsliga personuppgifter förekomma i t.ex. åtgärdsplaner. Såvitt framkommit förekommer behandlingarna av känsliga personuppgif- ter i löpande text och inte strukturerat i register. Dessa behandlingar har i dagsläget stöd i personuppgiftslagen och personuppgifts- förordningen och kommer, när dataskyddsförordningen ska börja tillämpas, att ha stöd i den reglering som utredningen föreslår. Den- na reglering omfattas av skyddsåtgärder som ska säkerställa den registrerades rättigheter. Regleringen, om förslaget införs, kommer i så fall dessutom att vara i lagform.
Inom elevhälsans medicinska insatser förekommer behandlingar av känsliga personuppgifter men dessa behandlas och kommer att behandlas med stöd av bestämmelserna i patientdatalagen och anslu- tande föreskrifter.
Det kan vidare konstateras att de skollagsreglerade utbildnings- verksamheternas personuppgiftsbehandling omfattar personuppgifts- samlingar som är begränsade till de barn och elever som mottagits eller placerats i den personuppgiftsansvariges verksamhet. Sannolikt omfattar de största uppgiftssamlingarna personuppgifter rörande barn eller elever i större kommuner då det är den kommunala nämn- den som har personuppgiftsansvaret för den personuppgiftsbehand- ling som sker vid dess skolor. Personuppgiftssamlingarna blir därför inte så omfattande som t.ex. vissa statliga förvaltningsmyndigheters nationella personuppgiftssamlingar är.
181
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
Den personuppgiftsansvarige ska dessutom enligt artikel 5 i data- skyddsförordningen se till att personuppgifterna är adekvata, rele- vanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). Vidare får personuppgifterna inte förvaras i en form som möjliggör identifiering av den registre- rade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (lagringsminimering). Dessa be- stämmelser begränsar den personuppgiftsansvariges möjligheter att behandla fler personuppgifter än nödvändigt för längre tid än nöd- vändigt.
Sammantaget bedömer utredningen att de skollagsreglerade ut- bildningsverksamheternas personuppgiftsbehandling, i de delar som inte omfattas av någon särskild författning eller förslag till reglering, inte är sådan att den utgör ett betydande intrång i regeringsformens mening. Utredningen fäster särskilt avseende vid att det inte är fråga om omfattande sammanställningar av personuppgifter eller att det rör särskilt integritetskänsliga uppgifter.
Finns det andra skäl att införa en särskild lag?
I bedömningen av behovet, av andra skäl än kraven i regerings- formen, av särskild lagreglering av den skollagsreglerade utbildnings- verksamhetens personuppgiftsbehandlingar bör följande beaktas.
Av skäl 38 till dataskyddsförordningen framgår att barns person- uppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt skydd bör i synnerhet gälla användningen av barns person- uppgifter i marknadsföringssyfte eller för att skapa personlighets- eller användarprofiler samt insamling av personuppgifter med av- seende på barn när tjänster som erbjuds direkt till barn utnyttjas. Samtycke från den person som har föräldraansvar över ett barn bör inte krävas för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.
På flera ställen i dataskyddsförordningen betonas att barns per- sonuppgifter anses särskilt skyddsvärda, både i artiklar och i skälen till förordningen. I artikel 8 i dataskyddsförordningen anges särskilda villkor som gäller barns samtycke avseende informationssamhällets
182
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
tjänster. Bestämmelsen gäller erbjudande av informationssamhällets tjänster direkt till ett barn.
Dataskyddsförordningen innehåller inte några särskilda bestäm- melser rörande säkerhetsåtgärder för behandlingar av barns person- uppgifter utan de allmänna bestämmelserna har ansetts ge även barns personuppgifter ett tillräckligt starkt integritetsskydd. Artikel 29- gruppen har ansett att bestämmelserna i dataskyddsdirektivet i de flesta fall på ett ändamålsenligt vis säkerställer skyddet för uppgifter om barn.22 Det kan anmärkas att dataskyddsdirektivet inte innehåller några särskilda bestämmelser för barns personuppgifter utan samma skydd gäller för dem som för vuxnas. Dataskyddsförordningen före- skriver inte heller att det ska införas en särskild nationell lagstiftning för att behandlingen av barns personuppgifter ska vara tillåten.
Enligt artikel 5.2 är det den personuppgiftsansvarige som ansvarar för och ska kunna visa att artikel 5.1 efterlevs. I 5.1 a anges att upp- gifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhål- lande till den registrerade.
Vad som är en laglig behandling regleras i artikel 6. Om inte sam- tycke tillämpas, krävs att behandlingen är nödvändig för de grunder i artikel 6.1
För de rättsliga grunderna rättslig förpliktelse (6.1 c), uppgift av allmänt intresse och myndighetsutövning (6.1 e) finns ytterligare förutsättningar som enligt artikel 6.3 måste vara uppfyllda för att de ska kunna tillämpas. Dessa grunder ska vara fastställda i unionsrätten eller i den medlemsstats nationella rätt som den personuppgifts- ansvarige omfattas av. Vidare ska syftet med behandlingen, i fråga om rättslig förpliktelse, fastställas i den rättsliga grunden eller, i fråga om uppgift av allmänt intresse eller myndighetsutövning, vara nöd- vändigt. Nämnda bestämmelser, i förening med ansvaret enligt artikel 5.2, innebär därmed att det åligger den personuppgiftsansva- rige att göra en mycket noggrann prövning av om den avsedda behandlingen verkligen är nödvändig och om det finns en i svensk rätt fastställd rättslig grund som kan tillämpas på behandlingen.
22 Yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor), s. 19.
183
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
Ytterligare skydd för den enskildes integritet och rättigheter finns i bl.a. artikel 9 där behandling av känsliga personuppgifter regleras. Enligt bestämmelserna måste behandlingen i de flesta fall vara nöd- vändig för att ett undantag från förbudet i artikel 9.1 att behandla känsliga personuppgifter ska vara tillämpligt. För att en del undantag från förbudet ska vara tillämpliga krävs dessutom nationell lagstift- ning, vars reglering ska omfatta lämpliga skyddsåtgärder med hänsyn till den enskildes rättigheter och friheter. I de fall sådana möjligheter till undantag från förbudet ska införas eller behållas måste regle- ringen således omfatta sådana skyddsåtgärder.
Känsliga personuppgifter har därmed, enligt utredningens bedöm- ning, ett starkt skydd genom dataskyddsförordningens bestämmelser, eftersom inte enbart den personuppgiftsansvarige utan, i förekom- mande fall, även regeringen eller lagstiftaren tvingas till noggranna bedömningar i vilka situationer och för vilka ändamål känsliga per- sonuppgifter ska få behandlas. I utredningens förslag till reglering avseende den skollagsreglerade utbildningsverksamhetens behandling av känsliga personuppgifter finns också förslag till lämpliga skydds- åtgärder.
I artikel 5 i dataskyddsförordningen finns ytterligare ett flertal bestämmelser som innebär ett starkt skydd för den enskildes integritet och rättigheter. Enligt artikel 5.1 b ska uppgifterna samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. I artikel 5.1 c ges uttryck för en princip om uppgiftsminimering. Upp- gifterna ska vara adekvata, relevanta och inte för omfattande i förhål- lande till de ändamål för vilka de behandlas. Enligt artikel 5.1 d ska uppgifterna vara korrekta och om nödvändigt uppdaterade. Alla rim- liga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt artikel 5.1 e får uppgifterna inte förvaras i en form som möjliggör identifiering av den registre- rade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Slutligen ska uppgifterna enligt artikel 5.1 f behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna, vilket inbegriper skydd mot bl.a. obehörig eller otillåten behandling.
Som nämnts ovan är det den personuppgiftsansvarige som enligt artikel 5.2 ansvarar för och ska kunna visa att samtliga förutsätt-
184
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
ningar för att en behandling ska vara tillåten är uppfyllda. Denne har således en långtgående skyldighet att se till att inga uppgifter behandlas i onödan eller på ett felaktigt eller olagligt sätt. I sam- manhanget kan artikel 30 nämnas. Enligt dessa bestämmelser ska varje personuppgiftsansvarig föra ett register över behandling som utförs under dennes ansvar. Registret ska innehålla uppgifter om bl.a. namn och kontaktuppgifter för den personuppgiftsansvarige, ändamålen med behandlingen, en beskrivning av kategorierna av registrerade och kategorierna av personuppgifter, de kategorier av mottagare till vilka uppgifterna lämnas ut, förutsedda tidsfrister för radering samt en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.
I artikel 32 regleras vidare vilka tekniska och organisatoriska säkerhetsåtgärder som den personuppgiftsansvarige ska vidta för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna för fysiska personers rättigheter och friheter. Bl.a. kan artikel 32.2 nämnas, enligt vilken särskild hänsyn ska tas till de risker som behandling medför, i synnerhet till bl.a. obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Enligt artikel 32.4 ska den personuppgifts- ansvarige och personuppgiftsbiträdet vidare vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under deras över- inseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige. De uppgifter och åligganden som åvilar den personuppgiftsansvarige i dessa delar syftar därmed också till att skydda den enskildes integritet.
I kapitel 3 i dataskyddsförordningen finns vidare ett flertal bestämmelser om den registrerades rättigheter. I detta kapitel regleras bl.a. rätten till information, vilken information som ska tillhanda- hållas, rätten till rättelse, radering och begränsning av behandling samt rätten att göra invändningar. Genom dessa bestämmelser ges således den registrerade insyn i vilka behandlingar som sker samt möjlighet att påverka dessa.
Enligt artikel 23 i dataskyddsförordningen är det möjligt att i nationell rätt införa en lagstiftningsåtgärd som begränsar tillämp- ningsområdet för de rättigheter och skyldigheter som föreskrivs i artiklarna
185
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
den registrerades samtycke och han eller hon återkallat samtycket. Dataskyddsutredningen föreslår inte någon motsvarande bestäm- melse i dataskyddslagen som begränsar rätten att göra invändningar. Utredningen har inte heller föreslagit någon sådan bestämmelse i det nya kapitlet i skollagen. Rätten att göra invändningar enligt artikel 21 är en viktig rätt för den enskilde som inte bör begränsas. Dessutom åligger det i alla fall den personuppgiftsansvarige att ansvara för och kunna visa att behandlingen av personuppgifter följer principerna i artikel 5. Rättigheten för den enskilde att göra invändningar bör därför enligt utredningens bedömning sällan skapa några nämnvärda administrativa bördor för den personuppgiftsansvarige när denne ska påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.
Sammanfattningsvis är det utredningens uppfattning att bestäm- melserna i dataskyddsförordningen ger ett mycket starkt skydd för den enskildes integritet och rättigheter. En särskild författning som reglerar den skollagsreglerade utbildningsverksamhetens personupp- giftsbehandling skulle enligt utredningens bedömning inte innebära att skyddet för enskildas integritet och rättigheter blev starkare. En sådan reglering skulle dessutom kunna vara kontraproduktiv på så sätt att den skulle kunna komma att begränsa huvudmännens möj- ligheter att behandla personuppgifter på ett sätt som bidrar till ett effektivt och tidsenligt sätt att bedriva utbildning med utnyttjande av tillgängliga tekniska hjälpmedel med ett gott resultat. Sådan indirekt styrning av undervisningen och hur den ska bedrivas bör enligt ut- redningens uppfattning inte ske genom reglering av personuppgifts- hanteringen inom den skollagsreglerade utbildningsverksamheten.
Sammanfattningsvis är utredningen således av uppfattningen att den skollagsreglerade utbildningsverksamhetens personuppgifts- behandling, som saknar särskild författning eller förslag till sådan reglering, inte är sådan att den utgör ett betydande intrång i den enskildes personliga integritet. Vidare ger dataskyddsförordningen den enskilde ett starkt skydd i detta avseende. Det saknas därmed skäl att föreslå ytterligare reglering för den skollagsreglerade verk- samhetens behandling av personuppgifter.
186
SOU 2017:49 |
Skollagsreglerad utbildningsverksamhet |
4.10Uppförandekod för skolväsendet
Förslag: Regeringen ska ge lämplig myndighet i uppdrag att vid- ta åtgärder för att initiera och stödja utarbetandet av en upp- förandekod för skolväsendet.
Avsnitt 5 i dataskyddsförordningen innehåller bestämmelser om uppförandekod och certifiering. I artikel 40.1 anges att bl.a. med- lemsstaterna ska uppmuntra utarbetandet av uppförandekoder av- sedda att bidra till att dataskyddsförordningen genomförs korrekt, med hänsyn till särdragen hos de olika sektorer där behandling sker, och de särskilda behoven hos mikroföretag samt små och medelstora företag.
Av artikel 40.2 framgår att sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga får utarbeta uppförandekoder eller ändra eller utöka sådana koder i syfte att specificera tillämpningen av denna förordning. Som exempel på områden anges bl.a. rättvis och öppen behandling, personuppgifts- ansvarigas berättigade intressen i särskilda sammanhang, insamling av personuppgifter, information till allmänheten och de registre- rade, utövande av registrerades rättigheter och åtgärder och förfa- randen som avses i artiklarna 24 och 25 samt åtgärder för att säker- ställa säkerhet vid behandling i enlighet med artikel 32.
I artikel 24 regleras den personuppgiftsansvariges ansvar och i artikel 25 finns bestämmelser om inbyggt dataskydd och dataskydd som standard. I artikel 32 finns bestämmelser om säkerhet i sam- band med behandlingen.
Utredningen har, som framgår av föregående avsnitt, kommit fram till att dataskyddsförordningen, dataskyddslagen och utred- ningens förslag till reglering av huvudmännens behandling av käns- liga personuppgifter och fristående skolors behandling av lagöver- trädelser utgör en ändamålsenlig reglering för de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling och ett väl- avvägt skydd för barnens respektive elevernas personliga integritet. Vidare anser utredningen att den personuppgiftsbehandling som de skollagsreglerade utbildningsverksamheterna utför och som inte omfattas av utredningens förslag till reglering inte är sådan att det krävs en särskild lagreglering enligt 2 kap. 6 § regeringsformen. Någon ytterligare reglering, utöver förslagen till reglering av huvud-
187
Skollagsreglerad utbildningsverksamhet |
SOU 2017:49 |
männens behandling av känsliga personuppgifter och fristående sko- lors behandling av lagöverträdelser, behövs därmed inte.
Enligt vad utredningen erfar anser många huvudmän att nuva- rande regelverk om personuppgiftsbehandling är svårt och det efterfrågas därför någon form av handbok eller handledning i per- sonuppgiftsbehandling inom skolväsendet.
Utredningen anser därför att goda skäl talar för att det ska tas fram en uppförandekod för skolväsendets personuppgiftsbehand- ling. En uppförandekod skulle på ett pedagogiskt sätt kunna anpas- sas till skolornas befattningshavare, dvs. till dem som i praktiken har att göra bedömningar och val av vilka digitala hjälpmedel som fak- tiskt används i skolan. En uppförandekod skulle även kunna inne- hålla goda exempel. Det är de personuppgiftsansvariga, dvs. skol- huvudmännen, som tillsammans ska utarbeta koden (artikel 40.2). De kan därigenom påverka innehållet i uppförandekoden och på det sättet göra den ännu mer relevant för verksamheterna.
En uppförandekod skulle lämpligen innehålla bl.a.
–en rekommendation om hur huvudmännen ska förfara vid be- dömning och bestämmande av vilka digitala tjänster som ska användas i undervisningen eller i annan kommunikation med elever och vårdnadshavare med angivande av goda exempel,
–en rekommendation för inbyggt dataskydd och dataskydd som standard (se artikel 25 i dataskyddsförordningen) med angivan- de av goda exempel,
–en rekommendation om i vilka situationer som behandlingen kan bygga på samtycke från elev eller vårdnadshavare, och
–en rekommendation om hur och när uppgifter bör gallras.
Utredningen är av uppfattningen att regeringen bör verka för att en uppförandekod för skolväsendet kommer till stånd. Utredningens förslag är att regeringen ger lämplig myndighet i uppdrag att ini- tiera och stödja utarbetandet av en uppförandekod för skolväsen- det.
188
5Universitets- och högskolesektorn
5.1Allmänt
Enligt 1 kap. 2 § andra stycket regeringsformen ska det allmänna trygga rätten till bl.a. utbildning och enligt 2 kap. 18 § första stycket ska det allmänna svara för att högre utbildning finns. Av 1 kap. 2 § högskolelagen (1992:1434) följer att staten som huvudman ska anordna universitet och högskolor för utbildning som vilar på veten- skaplig eller konstnärlig grund samt på beprövad erfarenhet. Statliga universitet och högskolor ska också bedriva forskning och konst- närlig forskning. Skillnaden mellan universitet och högskolor är att det endast är universitet som har generellt tillstånd att utfärda exa- mina på forskarnivå medan högskolor måste ansöka om tillstånd för specifika områden. Med högskolor avses i fortsättningen dock både universitet och högskolor.
Av 1 kap. 2 § högskolelagen framgår vidare att det i de statliga högskolornas uppgifter också ingår att samverka med det omgivande samhället och informera om sin verksamhet samt verka för att forsk- ningsresultat tillkomna vid högskolan kommer till nytta.
I högskolelagen finns även bestämmelser om bl.a. de statliga hög- skolornas organisation, professorer och andra lärare samt studenter- na. Högskolelagen kompletteras av bl.a. högskoleförordningen (1993:100) som innehåller bestämmelser om bl.a. anställning av lärare och doktorander, tillträde till utbildningarna, betyg och disci- plinära åtgärder. Högskoleförordningen gäller i vissa delar även för Sveriges lantbruksuniversitet och Försvarshögskolan som annars har att tillämpa förordningen (1993:221) för Sveriges lantbruksuniver- sitet och förordningen (2007:1164) för Försvarshögskolan. En annan viktig författning inom området är förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor. Då stat-
189
Universitets- och högskolesektorn |
SOU 2017:49 |
liga högskolor är myndigheter styrs verksamheterna även av reger- ingens årliga regleringsbrev.
Utöver de statliga universiteten och högskolorna, som enligt bilaga 1 till högskoleförordningen är 14 respektive 17 till antalet, finns det enligt Universitetskanslersämbetet (UKÄ) 17 enskilda utbildningsanordnare med examenstillstånd.1 Dessa drivs av t.ex. stiftelser eller föreningar som av regeringen getts tillstånd att utfärda högskoleexamina enligt den svenska examensordningen. Chalmers tekniska högskola och Handelshögskolan i Stockholm är exempel på sådana enskilda utbildningsanordnare.
Enskilda utbildningsanordnares verksamhet regleras i lagen (1993:792) om tillstånd att utfärda vissa examina. I nämnda lag anges bl.a. att utbildningen ska vila på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet samt bedrivas så att den i övrigt upp- fyller de krav som uppställs på utbildning i 1 kap. högskolelagen. För enskilda utbildningsanordnare kan det dessutom finnas avtal med regeringen där ytterligare krav anges.
UKÄ, som inrättades den 1 januari 2013 och då tog över verk- samhet som Högskoleverket tidigare ansvarade för, ska enligt förord- ningen (2012:810) med instruktion för Universitetskanslersämbetet utöva tillsyn över verksamheterna vid de statliga högskolorna samt de som bedrivs av enskilda utbildningsanordnare.
Genom utvärdering av utbildningar och prövning av frågor om examenstillstånd enligt högskolelagen och lagen om tillstånd att utfärda vissa examina ansvarar UKÄ även för kvalitetssäkring av högskoleutbildningar. UKÄ ska också ansvara för granskning av hur effektivt verksamheterna bedrivs och uppföljning, omvärldsbevak- ning och analys av frågor inom myndighetens ansvarsområde samt officiell statistik enligt förordningen (2001:100) om den officiella statistiken.
En annan viktig myndighet inom universitets- och högskole- sektorn är Universitets- och högskolerådet (UHR), som inrättades den 1 januari 2013 med ansvar för den verksamhet som Högskole- verket, Verket för högskoleservice och Internationella programkon- toret tidigare ansvarade för.
1
190
SOU 2017:49 |
Universitets- och högskolesektorn |
UHR:s verksamhet styrs av förordningen (2012:811) med in- struktion för Universitets- och högskolerådet. Av denna framgår att UHR har till uppgift att, på uppdrag av högskolor som omfattas av högskolelagen eller av enskilda utbildningsanordnare som har till- stånd att utfärda examina enligt lagen om tillstånd att utfärda vissa examina, biträda vid antagning av studenter och ansvara för ett sam- ordnat antagningsförfarande samt ge service och råd i fråga om studieadministrativ verksamhet. UHR ansvarar även för bedömning av utländska utbildningar på gymnasial och eftergymnasial nivå. UHR är vidare bl.a. det svenska programkontoret för de
5.2Högskolornas personuppgiftsbehandling
Inom universitets- och högskolesektorn sker en mycket stor mängd personuppgiftsbehandlingar av olika slag. Att här ange samtliga behandlingar som lärosätena ägnar sig åt låter sig inte göras. Utifrån utredningens uppdrag, att det när dataskyddsförordningen ska börja tillämpas ska finnas en reglering som möjliggör en ändamålsenlig behandling inom utbildningsområdet, ges nedan därför en översiktlig beskrivning endast av lärosätenas huvudsakliga behandlingar. Hög- skolornas behandlingar av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål redogörs för i avsnitt 5.4.2.
Anmälan om studier
Utbildning på högskolor ska ges på grundnivå, avancerad nivå och forskarnivå (1 kap. 7 § högskolelagen). Förutom för de få lärosäten som själva sköter antagningsförfarandet gäller att anmälan till studier ska göras på webbplatsen antagning.se som UHR ansvarar för.
För att kunna anmäla sig krävs att sökanden skapar ett konto där personuppgifter i form av namn, personnummer och kontaktupp- gifter behandlas. Personer som inte är medborgare i en stat som omfattas av avtalet om Europeiska ekonomiska samarbetsområdet (EES) eller i Schweiz är dessutom, med vissa undantag, skyldiga att betala en anmälningsavgift om 900 kronor (se 2 § förordningen
191
Universitets- och högskolesektorn |
SOU 2017:49 |
[2010:543] om anmälningsavgift och studieavgift vid universitet och högskolor).
För handläggningen vid antagningsförfarandet använder sig UHR av ett system som heter NyA. Även om det är UHR som är ansvarig för NyA används systemet lika mycket av de olika lärosätena, som har direktåtkomst till uppgifterna. Bestämmelser om personupp- giftsbehandlingen i Nya finns i 4 kap. förordningen om redovisning av studier m.m. vid universitet och högskolor.
Från den nationella betygsdatabasen BEDA (se avsnitt 9) hämtar NyA uppgifter om slutbetyg och examensbevis från gymnasieskolan och den kommunala vuxenutbildningen på gymnasial nivå. Vidare hämtar NyA uppgifter om bl.a. akademiska meriter från de olika högskolornas databaser, Ladok (se nedan). Från
Antagningshandläggare på UHR och lärosätena granskar, regi- strerar och bedömer de sökandes meriter. I NyA görs också maski- nella bedömningar av behörighet. Det är även möjligt att räkna fram ett meritvärde utifrån behörighetsmodeller och meritvärderings- modeller i systemet.
När samtliga sökande blivit bedömda, antas eller reservplaceras behöriga sökande och obehöriga sökande blir strukna. Antagning, reservplacering och strykning sker i två maskinella urval. Uppgifter om de som antagits och reservplacerats skickas därefter till Ladok- systemen (se nedan) vid aktuella lärosäten. En högskolas beslut om att en sökande inte uppfyller kraven på behörighet för att bli antagen till utbildning är, enligt 12 kap. 2 § 2 högskoleförordningen, över- klagbart.
Högskoleprovet
Ett sätt att öka sina chanser att antas till utbildning på grundnivå och avancerad nivå är att skriva högskoleprovet. För genomförandet av högskoleprovet finns det två webbplatser, dels hogskoleprov.nu där provdeltagare anmäler sig och då anger namn, personnummer, adress och telefonnummer, dels hpadmin.uhr.se, som är ett system där handläggare på lärosätena administrerar lokaler, personal och prov- deltagare samt skickar placeringsbesked till personalen och kallelser
192
SOU 2017:49 |
Universitets- och högskolesektorn |
till provdeltagare. UHR äger och förvaltar webbplatserna men det är lärosätena som är personuppgiftsansvariga. UHR är dock person- uppgiftsansvarig för det register där resultaten från högskoleprovet finns samlade,
Studieadministration
För sin studieadministration använder samtliga statliga lärosäten och några av de enskilda utbildningsanordnarna sig bl.a. av det nationella systemet Ladok. Ladok är det enskilt största systemet inom universi- tets- och högskolesektorn. Systemet ägs av 38 lärosäten och Centrala studiestödsnämnden (CSN) tillsammans genom ett konsortium.2 Systemutvecklingen sker gemensamt för alla lärosäten men varje lärosäte som använder systemet ansvarar för sitt eget Ladokregister.
Behandlingen av personuppgifter i studieadministrativt syfte reg- leras i 2 kap. förordningen om redovisning av studier m.m. vid uni- versitet och högskolor. Enligt 2 kap. 3 och 5 §§ omfattar behand- lingen personuppgifter i form namn, personnummer, behörighet, urvalsgrund, skyldighet att betala och betalning av anmälningsavgift och studieavgift, antagning, deltagande i utbildning och prov, studie- resultat, betyg, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet, examen och sådana uppgifter som krävs för att uppgifter ska kunna lämnas till Statistiska centralbyrån (SCB) och UHR. Registret får också innehålla de uppgifter om studenter som behövs för resultatredovisning. Av 2 kap. 5 a § framgår att en högskola även får behandla sådana känsliga personuppgifter som avses i 13 § person- uppgiftslagen (1998:204, PUL) i antagningsärenden, om den enskilde har lämnat samtycke till detta. Av 2 kap. 8 § framgår att uppgift om medborgarskap som lärosätena behöver för beslut om skyldighet att betala anmälningsavgift eller studieavgift också får behandlas men att sådan uppgift ska gallras så snart studieregistret har uppdaterats med uppgift om studenten tillhör den personkrets som ska betala anmäl- ningsavgift eller studieavgift.
Ladok används också för utbyte av information mellan högsko- lor och andra myndigheter. Till CSN rapporteras uppgifter som be- hövs för beviljande av studiemedel. Som framgått ovan lämnas de
2
193
Universitets- och högskolesektorn |
SOU 2017:49 |
uppgifter till UHR som behövs för behörighets- och meritvärder- ing i samband med ansökan och antagning till högskoleutbildning. SCB får uppgifter som sammanställs till statistik om högskolan på uppdrag av UKÄ. Eftersom Ladok omfattas av offentlighetsprinci- pen lämnas också uppgifter på begäran flitigt ut till bl.a. media, rek- ryteringsföretag, föreningar eller andra som vill rikta erbjudanden till nuvarande eller tidigare studenter.
En stor del av de administrativa tjänsterna i form av bl.a. registre- ring till kurser, anmälan till tentamen, begäran om studieintyg, kurs- bevis och examensbevis har samlats i webbaserade s.k. studentpor- taler. Dessa portaler hämtar uppgifterna från Ladok. Även studen- terna använder sig därför av Ladok.
En ny version av Ladok håller på att utvecklas, Ladok3, som ska vara klar 2018. Enligt planeringen ska nuvarande Ladok stängas ner under 2018. I Ladok3 kommer en tjänst som delas med antagnings- systemet NyA att drivas. Genom tjänsten hämtas uppgifter från Skatteverket och gemensamma data för alla studenter i Sverige är namn, personnummer, adress, kön och uppgift om personen är avli- den. Det betyder inte att alla lärosäten har tillgång till alla uppgifter utan endast det som är centralt för alla parter delas.
För administration vid tentamen kan lärosätena använda sig av ett system som heter TentaAdmin, vilket tillhandahålls av UHR. Syste- met hämtar sin information från de system som anslutet lärosäte an- vänder för lokaler och tentander. Det kan också användas helt eller delvis manuellt beroende på lärosätets förutsättningar. Systemet används till att boka, placera och informera vakter samt för att pla- cera och informera tentander.
Utbildningen
All utbildning på grundnivå och avancerad nivå ska bedrivas i form av kurser som får sammanföras till utbildningsprogram (6 kap. 13 § högskoleförordningen). Som hjälpmedel i undervisningen används s.k. lärplattformar. Plattformarna är webbaserade och i dessa har samlats sådana specifika moment som krävs för genomförandet av en kurs, t.ex. hämtning av kursmaterial och inlämnande av uppgifter. Genom plattformarna underlättas dessutom kommunikationen mel-
194
SOU 2017:49 |
Universitets- och högskolesektorn |
lan lärare och studenter och information kan spridas på ett snabbt och enkelt sätt.
I plattformarna behandlas personuppgifter och liksom student- portalerna hämtas uppgifterna in från det aktuella lärosätets Ladok- system.
Tillgodoräknande av tidigare utbildning och verksamhet
En student kan under vissa förutsättningar få tillgodoräkna sig tidi- gare utbildning eller verksamhet (se 6 kap.
De lärosäten som erbjuder kurser inom Lärarlyftet II kan för vali- dering av tidigare meriter använda sig av ett digitalt ansöknings- och administrationssystem som tillhandahålls av UHR. Efter att UHR anslutit en administratör på ett lärosäte till systemet, Valda, kan den- ne skapa kurser, lägga till antagna inom en antagningsomgång, ta emot ansökningar om validering och öppna ärenden för handläggning.
När en person ansöker om validering för tillgodoräknande av kurser och lärandemål ska denne ange namn, personnummer och aktuella kontaktuppgifter. Sökanden ska även lämna en utförlig be- skrivning av hur denne uppfyller lärandemålen och bifoga de filer som styrker ansökan. Valda stöder sedan den fortsatta hanteringen av ärendet genom hela processen av kartläggning, bedömning och beslutsfattande. Alla avslutade ärenden sparas i ett nationellt arkiv där alla anslutna lärosäten kan få en uppfattning om hur tidigare be- dömningar sett ut, vilket bl.a. ska förhindra att samma meriter be- döms på olika sätt.
Bibliotek
Enligt 12 § bibliotekslagen (2013:801) ska det finnas tillgång till hög- skolebibliotek vid alla universitet och högskolor som omfattas av högskolelagen. Dessa bibliotek ska svara för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid högskolan. Ett högskolebibliotek ska avgiftsfritt ställa litteratur ur de egna samlingarna till andra högskolebiblioteks förfogande (2 kap.
195
Universitets- och högskolesektorn |
SOU 2017:49 |
16 § högskoleförordningen). För statliga högskolors del finns det således en skyldighet att ha ett bibliotek. I denna verksamhet be- handlas också personuppgifter i syfte att hålla reda på utlånade böcker. På högskolorna finns ofta ett särskilt kort som har flera funktioner som är nödvändiga för att bedriva studier på lärosätet. Att fungera som lånekort kan vara en sådan funktion.
Alumner
Hos lärosätena finns databaser där tidigare studenter, s.k. alumner, kan registrera sig. Genom registreringen kan alumner t.ex. komma i kontakt med andra alumner eller högskolan. Genom alumnverksam- heten kan även kontakterna med näringslivet öka och förbättras.
Vid registreringen förs personuppgifter i form av namn, person- nummer och utbildning över från Ladok. Därutöver kan alumnen lägga till uppgifter om sitt nuvarande arbete m.m. Alumnen kan själv välja i vilken omfattning vissa uppgifter ska synas.
Att registrera sig i en alumndatabas vid ett lärosäte är helt frivil- ligt och vid registreringen godkänner alumnen att dennes person- uppgifter behandlas.
5.3Rättslig grund för personuppgiftsbehandling
5.3.1Utredningens uppdrag i denna del
Kommittédirektiven
För att personuppgifter ska få behandlas helt eller delvis automatiskt eller annan behandling ska få ske av personuppgifter som ingår i eller kommer att ingå i ett register krävs att en rättslig grund i artikel 6.1 i dataskyddsförordningen är tillämplig. Enligt artikel 6.3 första stycket ska grunden för den behandling av personuppgifter som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den nationella rätten som den personuppgiftsansvarige omfattas av. En- ligt kommittédirektiven behöver det analyseras vad dataskyddsför- ordningens krav i denna del innebär i fråga om nationell författnings- reglering. Dataskyddsutredningen ska analysera om det behövs kom- pletterande bestämmelser som ger ett generellt stöd för myndighe-
196
SOU 2017:49 |
Universitets- och högskolesektorn |
ters och andra organs behandling och lämna behövliga och lämpliga författningsförslag.
När det gäller behandling av personuppgifter som utförs av bl.a. myndigheter och enskilda inom utbildningsområdet, förutom forsk- ningsverksamhet, uppdras det åt utredningen att analysera om en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, för att säkerställa att nödvändig behandling av person- uppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.
Utredningen ska därför undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom universitets- och högskole- sektorn som är möjlig och kan behövas utöver dataskyddsförord- ningen och den generella reglering som Dataskyddsutredningen kommer att föreslå samt lämna de författningsförslag som behövs.
Utredningens närmare utgångspunkter
Inom universitets- och högskolesektorn finns det en författning som särskilt tar sikte på behandling av personuppgifter, förordningen om redovisning av studier m.m. vid universitet och högskolor (se avsnitt 5.6). Med undantag för den medicinska verksamheten inom studenthälsan, som omfattas av patientdatalagen (2008:355), gäller i övrigt bestämmelserna i personuppgiftslagen. Den 25 maj 2018 kommer personuppgiftslagen att upphävas och dataskyddsförord- ningen och den av Dataskyddsutredningen föreslagna lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) ska börja tillämpas.
För en personuppgiftsansvarig som bedriver högskoleutbildning innebär detta att denne måste ha stöd för sin behandling i en rättslig grund enligt artikel 6.1 i dataskyddsförordningen, om behandlingen helt eller delvis företas på automatisk väg eller om behandlingen avser personuppgifter som ingår i eller kommer att ingå i ett register. För lärosätena kommer möjliga grunder för behandling av person- uppgifter huvudsakligen att vara att den registrerade har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål (6.1 a), att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personupp-
197
Universitets- och högskolesektorn |
SOU 2017:49 |
giftsansvarige (6.1 c) eller att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning (6.1 e).
För enskilda utbildningsanordnare finns möjligheten att använda sig av ytterligare en grund i dataskyddsförordningen, nämligen för sådan behandling som är nödvändig för ändamål som rör den per- sonuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (6.1 f).
Beträffande de rättsliga grunderna i artikel 6.1 c och e i data- skyddsförordningen krävs, enligt artikel 6.3 första stycket, att de är fastställda i enlighet med unionsrätten eller en medlemsstats natio- nella rätt som den personuppgiftsansvarige omfattas av för att de ska vara tillämpliga. Detta är nytt i jämförelse med personuppgiftslagen. Såsom redogjorts för i avsnitt 3.4.1 är Dataskyddsutredningens upp- fattning att det med grunden för behandlingen i artikel 6.3 första stycket avses den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen. Enligt Dataskyddsutredningens bedömning innebär kravet på att grunden för behandlingen ska fast- ställas inte att det krävs en särskild reglering med anledning av att dataskyddsförordningen ska börja tillämpas. Förekomsten av reglering avgör dock i vilken utsträckning personuppgiftsansvariga kan åberopa de rättsliga grunder som avses i artikel 6.1 c och e (SOU 2017:39, avsnitt 8.3.1).
Av artikel 6.3 andra stycket framgår att syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av all- mänt intresse eller som ett led i den personuppgiftsansvariges myn- dighetsutövning. Vidare anges att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmel- serna i förordningen. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
De första frågor som utredningen har att ta ställning till är om det finns en eller flera rättsliga grunder som är tillämpliga för statliga högskolors och enskilda utbildningsanordnares behandling av per- sonuppgifter. Om utredningen kommer fram till att lärosätena full- gör en rättslig förpliktelse eller utför en uppgift av allmänt intresse eller att det i deras verksamhet finns inslag av myndighetsutövning,
198
SOU 2017:49 |
Universitets- och högskolesektorn |
måste det även undersökas vilket rättsligt stöd det finns för verksam- heterna att utföra dessa uppgifter, dvs. om grunderna är fastställda i svensk rätt. Eftersom utredningen bedömer att uppgift av allmänt intresse är den rättsliga grund som lärosätena oftast kan tillämpa vid behandling av personuppgifter, är det lärosätenas möjligheter att tillämpa den grunden som först kommer att analyseras.
5.3.2Uppgift av allmänt intresse
Bedömning: Genom bestämmelser i högskolelagen med anslu- tande föreskrifter och lagen om tillstånd att utfärda vissa examina samt beslut fattade med stöd av dessa bestämmelser är det i svensk rätt fastställt att anordnande och bedrivande av högskole- utbildning är en uppgift av allmänt intresse.
Artikel 6.1 e i dataskyddsförordningen kan därmed utgöra rättslig grund för nödvändig personuppgiftsbehandling för att utöva verksamhet som har sin grund i nämnda föreskrifter när personuppgiftslagen upphävs. Det finns således inget behov av en särskild reglering för att lärosätena ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse.
Är anordnande och bedrivande av högskoleutbildning en fastställd uppgift av allmänt intresse?
Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Av första ledet i artikel 6.1 e framgår att en behandling är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse. Artikel 6.1 e är inte begränsad till offentliga aktörer, utan även privaträttsliga organ kan utföra en uppgift av allmänt intresse.
För att nämnda grund ska kunna tillämpas vid personuppgifts- behandling krävs dock att uppgiften av allmänt intresse är fastställd i unionsrätten eller en medlemsstats nationella rätt som den person- uppgiftsansvarige omfattas av (artikel 6.3 första stycket). Data- skyddsutredningen föreslår en bestämmelse i 2 kap. 4 § dataskydds- lagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvän-
199
Universitets- och högskolesektorn |
SOU 2017:49 |
dig bl.a. för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av bl.a. lag eller annan författ- ning eller av beslut som har meddelats med stöd av lag eller annan författning. Det är således inte tillräckligt att konstatera att det gene- rellt föreligger en uppgift av allmänt intresse för att den aktuella grunden ska kunna tillämpas som stöd för behandling av personupp- gifter. Av skäl 41 framgår vidare att den rättsliga grunden bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den.
Vad utredningen har att analysera är följaktligen om det för stat- liga högskolor och enskilda utbildningsanordnare finns en i svensk rätt fastställd uppgift av allmänt intresse. Utredningen ska i så fall även analysera om den reglering där uppgiften fastställs är tydlig och precis och om dess tillämpning är förutsägbar för de personer som omfattas av den.
Statliga högskolor
Begreppet allmänt intresse är ett unionsrättsligt begrepp som ännu inte har definierats. I artikel 14.1 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02) anges att var och en har rätt till utbildning och till tillträde till yrkesutbildning och fortbildning. Att utbildning och fortbildning är en grundläggande rättighet talar för att i vart fall anordnande och bedrivande av hög- skoleutbildning, på
Vidare bedömer Dataskyddsutredningen att det med hänsyn till svensk förvaltningstradition är rimligt att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt upp- drag av riksdag eller regering är av allmänt intresse (SOU 2017:39, avsnitt 8.3.4).
Enligt 1 kap. 2 § andra stycket regeringsformen ska det allmänna trygga rätten till utbildning. Av 2 kap. 18 § första stycket framgår att det allmänna ska svara för att högre utbildning finns. Redan av detta kan det utläsas att anordnande och bedrivande av högskole- utbildning enligt svensk rätt är en uppgift av allmänt intresse.
200
SOU 2017:49 |
Universitets- och högskolesektorn |
Därtill finns högskolelagen med anslutande författningar som innehåller närmare bestämmelser om högskoleutbildning. I förarbe- tena till högskolelagen uttalas bl.a. följande (prop. 1992/93:1 s. 9 f.).
Genom högre utbildning och forskning kan de kulturella och huma- nistiska värden som är en del av det goda samhället förstärkas. Det är också bara genom en avancerad utbildning och forskning som Sverige kan hävda sig i en hårdnande internationell konkurrens. Att både öka antalet högskoleutbildade och att höja kvaliteten inom utbildningen och forskningen blir i detta perspektiv avgörande för Sveriges framtida utveckling.
[…]
I ökande utsträckning kommer vi att leva i en internationell miljö där kunskapsmässig kompetens är avgörande för vårt lands välstånd.
Utredningens bedömning är således att anordnande och bedrivande av högskoleutbildning är en uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. Frågan härefter blir om denna uppgift är fastställd i svensk rätt.
Vad anordnande och bedrivande av högskoleutbildning innebär för statliga högskolor preciseras i högskolelagen och högskoleför- ordningen. För Sveriges lantbruksuniversitet och Försvarshög- skolan finns ytterligare bestämmelser i deras respektive förordning. Enligt 1 kap. 2 § högskolelagen ska staten som huvudman anordna högskolor för utbildning och forskning. Av lagrummet framgår att det i högskolornas uppgift även ingår att samverka med det omgi- vande samhället och informera om sin verksamhet samt verka för att forskningsresultat tillkomna vid högskolan kommer till nytta.
Att anordnande och bedrivande av högskoleutbildning är en uppgift av allmänt intresse framgår uttryckligen av högskolelagen. I 1 kap. 10 a § anges att examina ska avläggas på grundnivå, avance- rad nivå eller forskarnivå. Enligt 1 kap. 13 § får ett tillstånd att ut- färda examina lämnas bara om bl.a. det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas. I de fall till- stånd att utfärda examina har lämnats, har det därmed ansetts fin- nas ett allmänt intresse av sådan utbildning.
I 1 kap. högskolelagen preciseras ytterligare vad uppgiften att anordna och bedriva högskoleutbildning innebär. Av bestämmelser- na där framgår bl.a. följande. Utbildningen ska ges på grundnivå, avancerad nivå och forskarnivå. Utbildning på t.ex. grundnivå ska
201
Universitets- och högskolesektorn |
SOU 2017:49 |
väsentligen bygga på de kunskaper som eleverna får på nationella program i gymnasieskolan eller motsvarande kunskaper. Utbild- ningen ska utveckla studenternas förmåga att göra självständiga och kritiska bedömningar samt deras förmåga att självständigt urskilja, formulera och lösa problem. Utbildningen ska även utveckla studen- ternas beredskap att möta förändringar i arbetslivet. Inom det om- råde som utbildningen avser ska studenterna, utöver kunskaper och färdigheter, utveckla förmåga att söka och värdera kunskap på veten- skaplig nivå, följa kunskapsutvecklingen och utbyta kunskaper även med personer utan specialkunskaper inom området.
Ytterligare precisering av vad uppgiften att anordna och bedriva högskoleutbildning innebär framgår av 6 kap. högskoleförordningen. All utbildning på grundnivå och avancerad nivå ska bedrivas i form av kurser. För en kurs ska det finnas en kursplan. I kursplanen ska anges kursens nivå, antal högskolepoäng, mål, krav på särskild behö- righet, formerna för bedömning av studenternas prestationer och de övriga föreskrifter som behövs (6 kap.
Enligt 6 kap. 4 § högskoleförordningen får det inom utbildningen vidare bara avläggas de examina som anges i bilaga 2 till högskoleför- ordningen (examensordningen). I examensordningen anges det på vilken nivå en viss examen ska avläggas och vilka krav som ska upp- fyllas för en viss examen (6 kap. 5 §). I 5 kap. 1 § förordningen för Sveriges lantbruksuniversitet och 4 kap. 1 § förordningen för För- svarshögskolan finns motsvarande bestämmelser.
I examensordningen i bilagan till högskoleförordningen finns så- ledes en förteckning över vilka examina som får avläggas på grund- nivå, avancerad nivå och forskarnivå. För respektive examen finns också en beskrivning av vilka krav som ska uppfyllas i fråga om t.ex. antal högskolepoäng, kunskaper och färdigheter samt självständiga
202
SOU 2017:49 |
Universitets- och högskolesektorn |
arbeten. I examensbeskrivningarna anges vidare att också de preci- serade krav som varje högskola själv bestämmer inom ramen för kra- ven i examensbeskrivningen ska gälla. Motsvarande bestämmelser finns i bilagorna till förordningen för Sveriges lantbruksuniversitet och förordningen för Försvarshögskolan.
På en genomgången kurs ska det vidare sättas ett betyg och en student som har fått en kurs godkänd ska på begäran få ett kursbevis av högskolan. En student som uppfyller fordringarna för en examen ska på begäran få ett examensbevis av högskolan (6 kap. 9, 18 och 20 §§ högskoleförordningen). Även dessa bestämmelser gäller för Sveriges lantbruksuniversitet och Försvarshögskolan enligt 5 kap. 2 § respektive 4 kap. 2 § i de förordningar som särskilt reglerar deras verksamhet.
Genom högskolelagen, högskoleförordningen och förordning- arna för Sveriges lantbruksuniversitet och Försvarshögskolan finns således tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva högskoleutbildning innebär för statliga högskolor. Utredningens bedömning är därför att det för statliga högskolor finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva högskoleutbildning. Detta innebär att samtliga åtgärder som högskolorna företar i syfte att bedriva utbildningsverksamhet och som har sin grund i nu nämnda föreskrifter är att anse som utförande av en uppgift av allmänt intresse enligt dataskyddsförordningen. Någon ytterligare reglering behöver följaktligen inte införas för att högskolorna ska kunna tillämpa artikel 6.1 e i dataskyddsförordningen för sådan personupp- giftsbehandling som är nödvändig för att utföra uppgifter eller upp- fylla åligganden enligt högskolelagen med anslutande föreskrifter.
Förutom högskolelagen med anslutande föreskrifter kan uppgif- ter och åligganden för de statliga högskolorna även framgå av andra författningar, t.ex. förordningen om redovisning av studier m.m. vid universitet och högskolor. Enligt Dataskyddsutredningen måste uppgiften av allmänt intresse dock inte vara uttryckt i lag eller för- ordning, utan kan även framgå av beslut, förutsatt att dessa har med- delats med stöd av lag eller annan författning (SOU 2017:39, av- snitt 8.3.4). Som angetts ovan föreslår Dataskyddsutredningen en bestämmelse som förtydligar detta förhållande.
Uppgifter och åligganden kan således även framgå av reglerings- brev till de statliga högskolorna. Som nämnts ovan ska det för en
203
Universitets- och högskolesektorn |
SOU 2017:49 |
kurs och ett utbildningsprogram vidare finnas en kursplan respektive en utbildningsplan (6 kap. 14 och 16 §§ högskoleförordningen). Be- slut om fastställande av sådana planer ska fattas av personer med vetenskaplig eller konstnärlig kompetens (2 kap. 5 § högskolelagen och prop. 2009/10:149 s. 35 f.).
Stöd för nödvändig behandling för att utföra uppgiften att anord- na och bedriva högskoleutbildning är således inte begränsad till hög- skolelagen med anslutande föreskrifter, utan kan även finnas i andra författningar och beslut som meddelats i konstitutionell ordning.
Av artikel 5.2 i dataskyddsförordningen följer att det är den per- sonuppgiftsansvarige, dvs. högskolan, som ska ansvara för och kunna visa att behandlingen är laglig, dvs. att det finns en rättslig grund som kan tillämpas på behandlingen. Det ankommer således på hög- skolan att bedöma om behandlingen är nödvändig för att utföra en uppgift som har sin grund i relevanta beslut och författningar, t.ex. för att utfärda kurs- eller examensbevis eller för att genomföra hög- skoleprovet (6 kap. 9 och 20 §§ samt 7 kap. 20 § högskoleförord- ningen). Om behandlingen saknar koppling till uppgifter, åligganden och verksamhet som har sin grund i för högskolorna relevanta för- fattningar och beslut, kan den inte anses nödvändig för att utföra uppgiften att anordna och bedriva högskoleutbildning. Högskolorna måste då i egenskap av personuppgiftsansvariga avgöra om arti- kel 6.1 e av annat skäl kan vara tillämplig, eller om någon annan av de rättsliga grunderna i artikel 6.1 kan tillämpas på den avsedda behand- lingen.
När det gäller statliga högskolor konstaterar dock utredningen, i likhet med Dataskyddsutredningen, att myndigheters verksamhet i allt väsentligt är av allmänt intresse. Den rättsliga grunden i arti- kel 6.1 e i dataskyddsförordningen kan därför vanligen tillämpas. Högskolors uppdrag och åligganden framgår av författningar och regeringsbeslut antagna i enlighet med grundlagens bestämmelser om normgivningskompetens. De åtgärder som högskolorna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har där- med i sig en legal grund som har offentliggjorts genom tydliga, pre- cisa och förutsägbara regler. Detta innebär att när högskolorna fullgör sina författningsreglerade uppgifter är frågan vid bedömning av om artikel 6.1 e i dataskyddsförordningen är tillämplig och som den personuppgiftsansvarige måste ta ställning till normalt endast om personuppgiftsbehandlingen är nödvändig för att utföra det
204
SOU 2017:49 |
Universitets- och högskolesektorn |
aktuella uppdraget eller åliggandet. Det bör alltså i en sådan situation endast undantagsvis bli aktuellt att ifrågasätta om högskolan utför en lagligen fastställd uppgift av allmänt intresse.
Enskilda utbildningsanordnare
Ovan gör utredningen bedömningen att det genom bestämmelserna i högskolelagen med anslutande föreskrifter finns en för statliga högskolor fastställd uppgift av allmänt intresse i form av att anordna och bedriva högskoleutbildning. Den nämnda regleringen bedöms vara tydlig och precis och dess tillämpning är förutsägbar för de per- soner som omfattas av den. Frågan är om det för enskilda utbild- ningsanordnare finns en motsvarande reglering som gör att även de kan tillämpa den rättsliga grunden i första ledet i artikel 6.1 e i data- skyddsförordningen, dvs. uppgift av allmänt intresse, för nödvändig personuppgiftsbehandling.
I förarbetena till högskolelagen uttalar regeringen att statligt huvudmannaskap i myndighetsform bara är en av många möjliga verksamhetsformer för universitet och högskolor. Det behövs också alternativ till den statliga verksamheten om mångfald och kon- struktiv konkurrens ska befordras (prop. 1992/93:1 s. 24).
Av 1 § lagen om tillstånd att utfärda vissa examina framgår att enskilda utbildningsanordnare kan få tillstånd att utfärda sådana examina som regeringen, enligt vad som anges i högskolelagen, med- delat föreskrifter om. Tillstånd lämnas enligt 6 § av regeringen men endast om utbildningen uppfyller de krav som uppställs i 2 §.
Enligt 2 § första stycket ska utbildningen vila på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet samt bedrivas så att den i övrigt uppfyller de krav som uppställs på utbildning i 1 kap. högskolelagen. För varje examen som tillståndet avser ska utbild- ningen också svara mot de särskilda krav som enligt förordnings- bestämmelser gäller för denna examen vid de universitet och hög- skolor som omfattas av högskolelagen.
Även för enskilda utbildningsanordnare finns det således bestäm- melser i högskolelagen och högskoleförordningen som preciserar vad anordnande och bedrivande av högskoleutbildning innebär.
Enligt 1 kap. 13 § högskolelagen får ett tillstånd att utfärda exa- mina lämnas bara om utbildningen uppfyller de krav som i detta
205
Universitets- och högskolesektorn |
SOU 2017:49 |
kapitel ställs på utbildningen och de särskilda krav som finns i för- ordning. En ytterligare förutsättning är att det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas.
För att en enskild utbildningsanordnare ska beviljas tillstånd att utfärda examina krävs således att kraven på utbildningen som anges i 1 kap. högskolelagen är uppfyllda samt att det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas. I de fall tillstånd att utfärda examina har lämnats till en enskild utbild- ningsanordnare har det därmed ansetts finnas ett allmänt intresse av sådan utbildning.
I 1 kap. högskolelagen, som i tillämpliga delar gäller för enskilda utbildningsanordnare, preciseras ytterligare vad uppgiften att anord- na och bedriva högskoleutbildning innebär. Av bestämmelserna där framgår bl.a. följande. Utbildning på t.ex. grundnivå ska väsentligen bygga på de kunskaper som eleverna får på nationella program i gymnasieskolan eller motsvarande kunskaper. Utbildningen ska ut- veckla studenternas förmåga att göra självständiga och kritiska be- dömningar samt deras förmåga att självständigt urskilja, formulera och lösa problem. Utbildningen ska även utveckla studenternas beredskap att möta förändringar i arbetslivet. Inom det område som utbildningen avser ska studenterna, utöver kunskaper och färdig- heter, utveckla förmåga att söka och värdera kunskap på vetenskaplig nivå, följa kunskapsutvecklingen och utbyta kunskaper även med personer utan specialkunskaper inom området.
Som angetts ovan finns det i 2 § andra stycket lagen om tillstånd att utfärda vissa examina ytterligare ett krav på utbildningen för att tillstånd att utfärda examina ska beviljas. Utbildningen ska svara mot de särskilda krav som enligt förordningsbestämmelser gäller för den- na examen vid de universitet och högskolor som omfattas av hög- skolelagen. De krav som utbildningen ska uppfylla finns i bilaga 2 till högskoleförordningen, examensordningen, där alla statligt reglerade examina beskrivs. En enskild utbildningsanordnare måste därmed utforma sina utbildningar på sådant sätt att studenterna, genom att fullgöra utbildningarna, kan uppfylla de krav som examensordningen föreskriver för att uppnå aktuella examina. I examensordningen anges för de olika examina att också de preciserade krav som varje högskola själv bestämmer inom ramen för kraven i denna examens- beskrivning ska gälla. Genom sistnämnda bestämmelse överlämnas därmed rätten till såväl statliga högskolor som enskilda utbildnings-
206
SOU 2017:49 |
Universitets- och högskolesektorn |
anordnare att närmare precisera hur kraven i examensordningen ska uppfyllas.3
I den del som gäller utbildning som bedrivs inom ramen för läm- nat tillstånd att utfärda examina har enskilda utbildningsanordnare därmed samma reglering att förhålla sig till som statliga högskolor, dvs. att utbildningen ska vila på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet, att den ska bedrivas så att den uppfyller de krav som uppställs på utbildning i 1 kap. högskolelagen samt att den ska svara mot de särskilda krav som gäller enligt examens- ordningen. Därtill överlämnar examensordningen till såväl statliga högskolor som enskilda utbildningsanordnare att närmare precisera kraven på hur undervisningen ska utformas.
Genom lagen om tillstånd att utfärda vissa examina, med dess hänvisningar till bestämmelser i högskolelagen och högskoleförord- ningen, är det enligt utredningens bedömning följaktligen fastställt att även enskilda utbildningsanordnare utför en uppgift av allmänt intresse när de anordnar och bedriver utbildning inom ramen för det tillstånd som lämnats. Mot bakgrund av att regleringen i aktuella delar är i stort sett densamma som för statliga högskolor, saknas det skäl till annan bedömning än att regleringen är tydlig och precis samt förutsägbar för de personer som omfattas av den. Enskilda utbild- ningsanordnare kan därmed, inom ramen för det tillstånd som läm- nats, tillämpa första ledet i artikel 6.1 e i dataskyddsförordningen för sådan behandling som är nödvändig för att utföra uppgiften att anordna och bedriva högskoleutbildning.
Som angetts i föregående avsnitt anser Dataskyddsutredningen att uppgiften av allmänt intresse inte behöver vara uttryckt i lag eller förordning, utan att den även kan framgå av beslut förutsatt att dessa har medelats med stöd av lag eller annan författning. Detta innebär att även de preciserade krav de enskilda utbildningsanordnarna beslutar fastställer den rättsliga grunden uppgift av allmänt intresse. Utredningen vill dock understryka att detta blir ytterligare preciser- ingar av grunden men att sådana normalt inte är nödvändiga för att uppgiften av allmänt intresse ska anses vara fastställd i nationell rätt i enlighet med dataskyddsförordningen.
3 Se även s. 15 i dåvarande Högskoleverkets Rapport 2008:37 R, Rättssäkerheten för studen- ter hos enskilda utbildningsanordnare med examensrätt.
207
Universitets- och högskolesektorn |
SOU 2017:49 |
Uppgifter och åligganden kan för enskilda utbildningsanordnares del vidare även framgå av regeringens beslut att bevilja tillstånd att utfärda examina. Som exempel på sistnämnda förhållande kan nämnas 4 § lagen om tillstånd att utfärda vissa examina. Enligt den bestäm- melsen får ett sådant tillstånd förenas med villkor om rätt för enskilda att ta del av handlingar hos utbildningsanordnaren. Av 2 kap. 4 § offentlighets- och sekretesslagen (2009:400, OSL) och lagens bilaga framgår att vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos bl.a. Chalmers tekniska högskola aktie- bolag, som är en enskild utbildningsanordnare. Chalmers ska vid till- lämpningen av offentlighets- och sekretesslagen då jämställas med myndigheter.
Stöd för nödvändig behandling för att utföra uppgiften att anord- na och bedriva högskoleutbildning är således inte begränsad till lagen om tillstånd att utfärda vissa examina, med dess hänvisningar till hög- skolelagen och högskoleförordningen, utan kan finnas även i andra författningar och beslut som meddelats i konstitutionell ordning.
Det kan dock konstateras att regleringen av de statliga högskolor- nas verksamhet är mer omfattande än den som finns för de enskilda utbildningsanordnarnas verksamhet. För enskilda utbildningsanord- nare saknas preciserade bestämmelser om t.ex. antagningsförfaran- det, studieadministration, tillgodoräknande av tidigare utbildning och verksamhet, disciplinära åtgärder och avskiljande. Detta uteslu- ter enligt utredningens bedömning inte att artikel 6.1 e i dataskydds- förordningen kan tillämpas även på behandling för sådana uppgifter och ändamål. Enligt Dataskyddsutredningen behöver ändamålet inte framgå av den författning eller det beslut där själva uppgiften fast- ställs. Ändamålet med varje enskild behandling måste dock vara nöd- vändigt för att utföra den fastställda uppgiften. För att illustrera detta förhållande har Dataskyddsutredningen ett exempel om biblio- tekslagen enligt följande (SOU 2017:39, avsnitt 8.3.4).
Som exempel kan nämnas att det enligt 3 § bibliotekslagen (2013:801) fastställs att kommunerna ansvarar för folkbibliotek. I 9 § bibliotekslagen anges att allmänheten avgiftsfritt ska få låna eller på annat sätt få tillgång till litteratur under en viss tid oavsett publiceringsform. Man skulle förstås kunna tänka sig att biblioteken skulle låna ut böcker, utan att veta vilka låntagarna är. Det förefaller dock föga lämpligt, eftersom det kan antas att böcker då inte skulle lämnas tillbaka. Det bör därför kunna anses nödvändigt, i unionsrättslig mening, för biblioteken att samla in
208
SOU 2017:49 |
Universitets- och högskolesektorn |
personuppgifter från dem som lånar böcker, i syfte att föra ett register över låntagare och deras lån. Detta ändamål är därmed nödvändigt för att utföra uppgiften, att bedriva biblioteksverksamhet. Behandlingen av personuppgifter kan således ske enligt artikel 6.1 e, på den rättsliga grund som utgörs av bibliotekslagen.
Bibliotekslagen anger inte att folkbiblioteken ska föra ett register över låntagare och deras lån. Dataskyddsutredningen anser ändå att artikel 6.1 e i dataskyddsförordningen är tillämplig på behandlingar med sådant syfte, eftersom det får anses vara nödvändigt för att utföra uppgiften att bedriva biblioteksverksamhet.
I fråga om enskilda utbildningsanordnare saknas bestämmelser om bl.a. tillträde till utbildning, vilket för statliga högskolors del regleras i 7 kap. högskoleförordningen. För att kunna bedriva hög- skoleutbildning måste av naturliga skäl dock någon form av antag- ning av studenter ske. På motsvarande sätt som i Dataskyddsutred- ningens exempel om bibliotekslagen finns det därmed, enligt utred- ningens uppfattning, en så stark koppling mellan antagning och upp- giften att anordna och bedriva högskoleutbildning att nödvändig personuppgiftsbehandling i samband med antagning måste kunna ske med stöd av artikel 6.1 e.
Enligt utredningens uppfattning är antagning således att betrakta som ett ändamål som är nödvändigt för att utföra uppgiften att an- ordna och bedriva högskoleutbildning. På motsvarande sätt bör det förhålla sig med t.ex. studieadministration, tillgodoräknande av tidi- gare utbildning och verksamhet, disciplinära åtgärder och avskiljande.
När det är tveksamt om den verksamhet som en privaträttslig aktör bedriver är av allmänt intresse i unionsrättslig mening är det, enligt Dataskyddsutredningens bedömning, i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseav- vägning i enlighet med artikel 6.1 f (se avsnitt 5.3.5) eller att inhämta den registrerades samtycke (SOU 2017:39, avsnitt 8.3.4).
Av artikel 5.2 i dataskyddsförordningen följer att det är den per- sonuppgiftsansvarige, dvs. den enskilde utbildningsanordnaren, som ska ansvara för och kunna visa att behandlingen är laglig, dvs. att det finns en rättslig grund som kan tillämpas på behandlingen. Det an- kommer således på lärosätet att bedöma om behandlingen är nöd- vändig för att utföra en uppgift som har sin grund i relevanta beslut och författningar. Om behandlingen saknar koppling till uppgifter och åligganden som har sin grund i för lärosätena relevanta författ-
209
Universitets- och högskolesektorn |
SOU 2017:49 |
ningar och beslut, kan den inte anses nödvändig för att utföra upp- giften att anordna och bedriva högskoleutbildning. Lärosätena måste då i egenskap av personuppgiftsansvariga avgöra om artikel 6.1 e av annat skäl kan vara tillämplig, eller om någon annan av de rättsliga grunderna i artikel 6.1 kan tillämpas på den avsedda behandlingen, t.ex. artikel 6.1 f.
Ändamålet med behandlingen måste vara nödvändigt
Det bör betonas att rättslig grund inte är en tillräcklig förutsättning för att behandling av personuppgifter ska vara tillåten. I artikel 5.1 i dataskyddsförordningen anges bl.a. att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål (led b). Principen om att ändamålen ska vara berättigade ut- gör i likhet med principen om laglighet en direkt koppling till de rättsliga grunderna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte för- enligt med artikel 5.
Kopplingen mellan den rättsliga grunden i artikel 6.1 e och kravet på särskilda, uttryckligt angivna och berättigade ändamål förstärks genom artikel 6.3 andra stycket. Där anges att syftet med behand- lingen i fråga om behandling enligt artikel 6.1 e, dvs. bl.a. uppgift av allmänt intresse, ska vara nödvändigt för att utföra uppgiften.
Enligt Dataskyddsutredningen ställer förordningen inte något krav på att ändamålen ska vara fastställda i författning. Dataskydds- utredningen anser följaktligen att ändamålet med behandlingen inte behöver framgå av det sammanhang där uppgiften av allmänt intresse fastställs. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. Bestämmelsen i artikel 6.3 andra stycket uttrycker således det samband som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de särskilda ändamålen för behandlingen, vilket i normalfallet är den personuppgiftsansvarige (SOU 2017:39, avsnitt 8.3.4).
I föregående avsnitt, i fråga om det för enskilda utbildnings- anordnare finns en i svensk rätt fastställd uppgift av allmänt intresse, gavs några exempel på behandlingar av personuppgifter som enligt
210
SOU 2017:49 |
Universitets- och högskolesektorn |
utredningens uppfattning är nödvändiga för ändamål som i sin tur är nödvändiga för att utföra uppgiften att anordna och bedriva hög- skoleutbildning. Ytterligare exempel är följande.
Så långt det kan ske med hänsyn till kvalitetskravet i 1 kap. 4 § första stycket högskolelagen ska statliga högskolor som studenter ta emot de sökande som uppfyller behörighetskraven för studierna (4 kap. 1 § högskolelagen). Vid urval till tillträde till utbildning på grundnivå och avancerad nivå ska hänsyn tas till de sökandes meriter. Urvalsgrunder är bl.a. betyg och resultat från högskoleprovet (7 kap. 12 § högskoleförordningen). Mot bakgrund av nämnda bestämmel- ser måste det kunna anses nödvändigt, i unionsrättslig mening, för lärosätena att samla in och behandla personuppgifter i syfte att rang- ordna sökandena. Detta ändamål är därmed nödvändigt för att utföra uppgiften att anordna och bedriva högskoleutbildning.
Av 7 kap. 20 § högskoleförordningen framgår att de högskolor som ska använda högskoleprovet som urvalsgrund vid antagning av studenter också ska genomföra provet. Det måste därför kunna anses nödvändigt för lärosätena att samla in personuppgifter från de som vill skriva provet, i syfte att hålla reda på vilka och hur många dessa är. Detta ändamål är därmed nödvändigt för att genomföra högskoleprovet, vilket i sin tur uppenbarligen är en i svensk rätt fastställd uppgift av allmänt intresse.
Som framgått ovan bestäms, för statliga högskolors del, det när- mare innehållet i en kurs, undervisningsformerna och examinations- formen av kursplanen. Av kursplanen kan framgå att det finns obligatoriska moment, t.ex. grupparbeten och självständiga arbeten, som studenten behöver delta i och göra för att få godkänt på kursen. Enligt 6 kap. 18 § högskoleförordningen ska betyg sättas på en genomgången kurs. För att nämnda obligatoriska moment ska kunna bedömas och betyg sättas krävs personuppgiftsbehandling i syfte att kontrollera att obligatoriska moment genomförts samt för att mäta eller värdera studentens prestation och kunskapsnivå. För statliga högskolors del krävs sådan behandling också i syfte att fullgöra dokumentationsskyldigheten enligt förordningen om redovisning av studier m.m. vid universitet och högskolor. Av 2 kap. 3 § framgår att det i ett studieregister för varje student ska dokumenteras uppgifter om bl.a. deltagande i utbildning och prov, studieresultat, betyg och examen. Att behandla personuppgifter för ovan nämnda ändamål är
211
Universitets- och högskolesektorn |
SOU 2017:49 |
därmed nödvändigt för att utföra uppgiften att anordna och bedriva högskoleutbildning.
Vidare ska en student som fått en kurs godkänd eller som upp- fyller fordringarna för en examen få ett kursbevis respektive ett exa- mensbevis (6 kap. 9 och 20 §§ högskoleförordningen). Det måste då kunna anses nödvändigt att behandla personuppgifter i syfte att undersöka om studenten uppfyller villkoren för respektive bevis. Detta ändamål är därmed nödvändigt för att uppfylla åliggandet att utfärda det aktuella beviset och för att utföra uppgiften att bedriva högskoleutbildning. Även här behöver behandling också ske i syfte att fullgöra dokumentationsskyldigheten enligt 2 kap. 3 § förord- ningen om redovisning av studier m.m. vid universitet och högskolor.
Utöver ovan nämnda exempel finns det förstås många fler be- handlingar som är nödvändiga för ändamål som i sin tur är nödvän- diga för att högskolorna ska kunna utföra de uppgifter och uppfylla de åligganden som ryms inom ramen för uppgiften av allmänt intres- se, dvs. att anordna och bedriva högskoleutbildning. En uttömmande uppräkning är av naturliga skäl inte möjlig att presentera.
Avslutningsvis är det viktigt att betona att det är den personupp- giftsansvarige som ska ansvara för och kunna visa att uppgifter behandlas för berättigade och nödvändiga ändamål (artikel 5.2 i data- skyddsförordningen).
5.3.3Myndighetsutövning
Bedömning: Statliga högskolor vidtar vissa åtgärder med stöd av högskolelagen och anslutande föreskrifter som innefattar myn- dighetsutövning gentemot en student, t.ex. vid beslut om antag- ning, tillgodoräknande av utbildning eller yrkesverksamhet, exa- mination och disciplinära åtgärder. Det är i dessa situationer möjligt för högskolorna att tillämpa den rättsliga grunden i andra ledet i artikel 6.1 e i dataskyddsförordningen för sådan behand- ling som är nödvändig som ett led i myndighetsutövningen. Något behov av ytterligare reglering föreligger inte.
För enskilda utbildningsanordnare saknas det i de allra flesta fall en offentligrättslig reglering för nämnda uppgifter. Deras möjligheter att tillämpa andra ledet i artikel 6.1 e för sin person- uppgiftsbehandling är därmed mycket begränsade.
212
SOU 2017:49 |
Universitets- och högskolesektorn |
För uppgifter som är att betrakta som myndighetsutövning kan dock såväl statliga högskolor som enskilda utbildnings- anordnare för nödvändig personuppgiftsbehandling tillämpa den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av all- mänt intresse. Något behov av ytterligare reglering föreligger där- för inte med anledning av enskilda utbildningsanordnares begrän- sade möjligheter att tillämpa andra ledet i artikel 6.1 e.
Enligt andra ledet i artikel 6.1 e i dataskyddsförordningen får person- uppgifter behandlas om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Av artikel 6.3 första stycket framgår att rätten att utöva myndighet ska vara fastställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Dataskyddsutredningen föreslår en bestämmelse i 2 kap. 4 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskydds- förordningen om behandlingen är nödvändig som ett led i den per- sonuppgiftsansvariges myndighetsutövning enligt lag eller annan författning. Enligt artikel 6.3 andra stycket ska syftet med behand- lingen vara nödvändigt som ett led i den personuppgiftsansvariges myndighetsutövning. Ändamålet behöver således inte framgå av det sammanhang där den myndighetsutövande befogenheten fastställs. Ändamålet med behandlingen måste dock vara nödvändigt som ett led i myndighetsutövningen. För tillämpningen av den rättsliga grun- den myndighetsutövning gäller således motsvarande krav som för den rättsliga grunden uppgift av allmänt intresse.
Begreppet myndighetsutövning har en unionsrättslig innebörd. Enligt Dataskyddsutredningen bör man till dess annat framkommer kunna utgå från att det som i Sverige brukar anses som myndighets- utövning faller in under begreppet. Myndighetsutövning karaktäri- seras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befo- genheten till myndighetsutövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyn- diganden från de högsta statsorganen. Utanför begreppet myndig- hetsutövning faller råd, upplysningar och faktiskt handlande som inte innebär tvång mot den enskilde (SOU 2017:39, avsnitt 8.3.3).
Enligt 6 kap. 18 § högskoleförordningen ska betyg sättas på en genomgången kurs, om inte högskolan föreskriver något annat.
213
Universitets- och högskolesektorn |
SOU 2017:49 |
Betyget ska beslutas av en av högskolan särskilt utsedd lärare (exami- nator). En student som har fått en kurs godkänd ska på begäran få kursbevis av högskolan. En student som uppfyller fordringarna för en examen ska på begäran få examensbevis av högskolan (6 kap. 9 och 20 §§ högskoleförordningen). En högskolas beslut att avslå en students begäran att få examensbevis eller kursbevis är överklagbart (12 kap. 2 § 6 högskoleförordningen). Betygsättning och examina- tion är således exempel på statliga högskolors myndighetsutövning som fastställts i svensk rätt. Även beslut om antagning, tillgodo- räknande av utbildning eller yrkesverksamhet samt disciplinpåföljd är för statliga högskolors del myndighetsutövning som är fastställd i svensk rätt. Sådana beslut får överklagas enligt bestämmelserna i 12 kap. 2 § 2 och 3 samt 3 § högskoleförordningen. Statliga högsko- lor kan i dessa fall därmed använda sig av andra ledet i artikel 6.1 e i dataskyddsförordningen som rättslig grund för nödvändig person- uppgiftsbehandling.
Genom regeringens beslut att lämna tillstånd att utfärda examina ingår av naturliga skäl beslut om t.ex. antagning, examination och disciplinära åtgärder också i enskilda utbildningsanordnares verk- samhet. Det finns således inslag som är att likna vid myndighets- utövning även i deras verksamhet.
Av 12 kap. 4 § andra stycket regeringsformen framgår att förvalt- ningsuppgifter kan överlämnas åt juridiska personer och enskilda individer. Innefattar uppgiften myndighetsutövning får ett överläm- nande dock endast göras med stöd av lag. Enligt Dataskydds- utredningens förslag till 2 kap. 4 § 2 dataskyddslagen får personupp- gifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig som ett led i myndighetsutövning enligt lag eller annan författning.
Enligt 1 kap. 17 § första stycket högskolelagen får en högskola som anges i bilaga till lagen utfärda en gemensam examen tillsam- mans med bl.a. en enskild utbildningsanordnare. Av andra stycket framgår att med gemensam examen avses examina som får utfärdas av de lärosäten som tillsammans har anordnat en utbildning som kan leda till dessa examina. Utbildningen ska ha anordnats inom ett ut- bildningssamarbete mellan sådana lärosäten som avses i första stycket. Motsvarande bestämmelse finns i 2 a § lagen om tillstånd att utfärda vissa examina. Av 1 kap. 18 § högskolelagen följer vidare att en högskola som avses i 1 kap. 17 § inom ramen för ett utbildnings-
214
SOU 2017:49 |
Universitets- och högskolesektorn |
samarbete får besluta att i viss utsträckning överlåta förvaltnings- uppgifter i fråga om antagning till och tillgodoräknande av utbild- ning till bl.a. en enskild utbildningsanordnare. I övrigt saknas det offentligrättslig reglering avseende enskilda utbildningsanordnares rätt till myndighetsutövning.
Utöver examinationsrätten, som regeringen kan lämna tillstånd till med stöd av 6 § lagen om tillstånd att utfärda vissa examina, är sådana inslag i enskilda utbildningsanordnares verksamhet som är att likna vid myndighetsutövning således i ytterst liten omfattning offentligrättsligt reglerad. Enskilda utbildningsanordnares möjlig- heter att tillämpa andra ledet i artikel 6.1 e, dvs. myndighetsutöv- ning, är därmed mycket mindre än de är för statliga högskolor.
Att enskilda utbildningsanordnare har begränsade möjligheter att tillämpa andra ledet i artikel 6.1 e är dock inget problem. I fråga om t.ex. antagning, tillgodoräknande och disciplinära åtgärder, som sak- nar offentligrättslig reglering, kan enskilda utbildningsanordnare för nödvändig personuppgiftsbehandling, enligt utredningens bedöm- ning, i stället tillämpa första ledet i artikel 6.1 e, dvs. uppgift av all- mänt intresse. Även statliga högskolor kan förstås tillämpa den rätts- liga grunden uppgift av allmänt intresse i sådana frågor som för deras del utgör offentligrättsligt reglerad myndighetsutövning.
Avslutningsvis bör det betonas att det enligt artikel 5.2 i data- skyddsförordningen är den personuppgiftsansvarige som ska ansvara för och kunna visa bl.a. att behandlingen är laglig och att ändamålet är berättigat och nödvändigt.
5.3.4Rättslig förpliktelse
Bedömning: För statliga högskolor finns det i svensk rätt fast- ställda rättsliga förpliktelser som åvilar högskolorna och som gör det nödvändigt att behandla personuppgifter. Även för vissa en- skilda utbildningsanordnare kan det finnas sådana fastställda rättsliga förpliktelser. Den rättsliga grunden i artikel 6.1 c i data- skyddsförordningen kan då tillämpas. Något behov av ytterligare reglering finns inte.
I dessa fall kan även den rättsliga grunden i första ledet i arti- kel 6.1 e, dvs. uppgift av allmänt intresse, vara tillämplig.
215
Universitets- och högskolesektorn |
SOU 2017:49 |
Enligt artikel 6.1 c i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Av artikel 6.3 första stycket framgår att den rättsliga förpliktelsen ska vara fast- ställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
Dataskyddsutredningen gör bedömningen att förpliktelsen inte nödvändigtvis måste framgå av en författning eller liknande. Rätts- liga förpliktelser kan också framgå av exempelvis förelägganden, myndighetsbeslut och domar som har meddelats med stöd av gäl- lande rätt. Dataskyddsutredningen har därför föreslagit en bestäm- melse i 2 kap. 3 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som bl.a. gäller enligt lag eller annan författning eller som följer av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.2). Inom aktuellt område skulle rättsliga förpliktelser därmed kunna föras in i regeringens beslut genom vilket tillstånd att utfärda exa- mina lämnas.
Enligt artikel 6.3 andra stycket första meningen i dataskydds- förordningen ska syftet med behandlingen fastställas i den rättsliga grunden. Syftet med behandlingen ska alltså vara bestämd av den författning, beslut m.m. som anger eller ger stöd för förpliktelsen.
Dataskyddsutredningen anser att en förpliktelse som är alltför svepande och ger den personuppgiftsansvarige en alltför stor hand- lingsfrihet i fråga om hur den ska uppfyllas, inte utgör en rättslig grund för behandling av personuppgifter (SOU 2017:39, av- snitt 8.3.2). Den rättsliga förpliktelsen måste således i sig vara till- räckligt tydlig när det gäller den behandling av personuppgifter som krävs.
Ett exempel på en svepande rättslig förpliktelse finns enligt utred- ningens mening i 4 kap. 1 § högskolelagen. I lagrummet anges att så långt det kan ske med hänsyn till kvalitetskravet i 1 kap. 4 § första stycket ska högskolorna som studenter ta emot de sökande som upp- fyller behörighetskraven för studierna. Stadgandet måste anses utgöra en rättslig förpliktelse men det är oklart vilken personuppgifts- behandling som är nödvändig för att fullgöra den. Det är därmed inte
216
SOU 2017:49 |
Universitets- och högskolesektorn |
fråga om en sådan rättslig förpliktelse som enligt dataskyddsförord- ningen kan läggas till grund för personuppgiftsbehandling.
Ett exempel på en rättslig förpliktelse som enligt utredningens bedömning är tillräckligt tydlig för att ligga till grund för nödvändig personuppgiftsbehandling finns i 6 kap. 20 § första stycket högskole- förordningen. I nämnda bestämmelse anges att en student som har fått en kurs godkänd ska på begäran få kursbevis av högskolan. Ett annat, liknande exempel finns i 6 kap. 9 § högskoleförordningen. I bestämmelsen anges att en student som uppfyller fordringarna för en examen ska på begäran få examensbevis av högskolan. Båda dessa exempel förutsätter att i vart fall namn och personnummer behand- las för att kurs- och examensbeviset ska kunna utfärdas.
Det tydligaste exemplet på en rättslig förpliktelse finns annars i förordningen om redovisning av studier m.m. vid universitet och högskolor. Enligt 2 kap. 1 § ska varje högskola dokumentera upp- gifter om studenter och föra ett studieregister där vissa uppgifter enligt 3 och 5 §§ ska dokumenteras.
Vidare anser Datainspektionen att skyldigheterna för myndig- heter enligt offentlighetsprincipen är en sådan rättslig skyldighet som avses i den bestämmelse i personuppgiftslagen som motsvarar artikel 6.1 c i dataskyddsförordningen, dvs. 10 § b PUL.4 För att fullgöra de rättsliga skyldigheter som följer av offentlighetsprincipen skulle därmed såväl statliga högskolor som enskilda utbildnings- anordnare kunna tillämpa artikel 6.1 c för nödvändig personupp- giftsbehandling. Genom bestämmelserna i 2 kap. 4 § OSL och lagens bilaga omfattas, som nämnts ovan i avsnitt 5.3.2, nämligen även vissa enskilda utbildningsanordnare av offentlighetsprincipen, bl.a. Chalmers tekniska högskola aktiebolag.
Personuppgiftsbehandlingen inom universitets- och högskolesek- torns utbildningsverksamhet bör till största delen dock kunna ske med stöd av första ledet i artikel 6.1 e, dvs. uppgift av allmänt intres- se, eftersom den i stor utsträckning grundas på offentligrättsliga regler. Det torde därför vara i undantagsfall som artikel 6.1 c behöver tillämpas av lärosätena. Även i ovan nämnda situationer kan enligt utredningens mening artikel 6.1 e tillämpas för nödvändig person- uppgiftsbehandling.
4 Datainspektionens rapport Övervakning i arbetslivet, Kontroll av de anställdas Internet- och
217
Universitets- och högskolesektorn |
SOU 2017:49 |
5.3.5Intresseavvägning
Bedömning: Enskilda utbildningsanordnare kan för sin person- uppgiftsbehandling använda sig av den rättsliga grunden i arti- kel 6.1 f i dataskyddsförordningen, dvs. för sådan behandling som är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registre- rades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.
Nämnda rättsliga grund skulle kunna vara tillämplig när det är tveksamt om den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, är tillämplig. Eftersom det för en- skilda utbildningsanordnare finns en i svensk rätt fastställd upp- gift av allmänt intresse att anordna och bedriva högskoleutbild- ning är det endast i undantagsfall som den rättsliga grunden i arti- kel 6.1 f behöver tillämpas.
Enligt artikel 6.1 f i dataskyddsförordningen är behandling laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (intresseavvägning).
Av artikel 6.1 andra stycket framgår att denna grund inte gäller för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom statliga högskolor är myndigheter som fullgör sina uppgifter när de anordnar och bedriver utbildning enligt högskolelagen med anslutande föreskrifter, är det endast enskilda utbildningsanordnare som kan tillämpa denna grund till stöd för sin personuppgiftsbehandling.
Enligt Dataskyddsutredningen är det, vid tveksamhet om den privaträttsliga aktören kan tillämpa den rättsliga grunden uppgift av allmänt intresse, i stället ofta möjligt att grunda nödvändig behand- ling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen (SOU 2017:39, avsnitt 8.3.4).
Enligt ovan är det utredningens bedömning att anordnande och bedrivande av högskoleutbildning är en i svensk rätt fastställd upp- gift av allmänt intresse, både med staten och med en enskild fysisk eller juridisk person som huvudman. Dataskyddsutredningen bedö- mer att det inte spelar någon roll om verksamheten utförs på direkt
218
SOU 2017:49 |
Universitets- och högskolesektorn |
uppdrag av en myndighet eller på eget initiativ, om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten. Enligt Dataskyddsutredningen finns då en rättslig grund för nödvändig behandling enligt artikel 6.1 e (SOU 2017:39, av- snitt 8.3.4). Enligt utredningens uppfattning bör den rättsliga grun- den i artikel 6.1 f därmed sällan bli aktuell att tillämpa av enskilda utbildningsanordnare i sådan verksamhet som omfattas av tillståndet att utfärda examina.
5.3.6Samtycke
Bedömning: Enskilda utbildningsanordnare och statliga högsko- lor kan i viss utsträckning använda sig av samtycke som rättslig grund för sin personuppgiftsbehandling.
Enligt artikel 6.1 a i dataskyddsförordningen är behandling laglig om den registrerade har lämnat sitt samtycke till att dennes personupp- gifter behandlas för ett eller flera specifika ändamål.
Med samtycke avses enligt artikel 4.11 varje slag av frivillig, speci- fik, informerad och otvetydig viljeyttring, genom vilken den registre- rade, antingen genom ett uttalande eller genom en entydig bekräf- tande handling, godtar behandling av personuppgifter som rör honom eller henne.
Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Det kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (se skäl 32 till förordningen).
En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör enligt skäl 42 tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifter- na är avsedda. Ett samtycke bör inte betraktas som frivilligt om den
219
Universitets- och högskolesektorn |
SOU 2017:49 |
registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.
Enligt skäl 43 till dataskyddsförordningen bör samtycke inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registre- rade och den personuppgiftsansvarige, särskilt om den personupp- giftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
Någon sådan skrivning finns inte i skälen till dataskyddsdirekti- vet, men mot bakgrund av att definitionen av samtycke i princip är densamma och de uttalanden som gjorts av bl.a. Artikel
Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offent- ligrättsligt reglerade. Om behandlingen grundar sig på samtycke ska den personuppgiftsansvarige, enligt artikel 7.1, kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter. Ett exempel på när såväl en statlig högskola som en enskild utbildnings- anordnare kan använda samtycke som rättslig grund är, enligt utred- ningens bedömning, vid registrering av tidigare studenter i alumn- databaser (se avsnitt 5.2), eftersom det är fråga om en tjänst som är helt frivillig, utan direkt koppling till den lagstadgade rätten att stu- dera för den som uppfyller behörighetskraven.
5 Yttrande 15/2011 om definitionen av begreppet samtycke artikel
220
SOU 2017:49 |
Universitets- och högskolesektorn |
5.3.7Sammanfattning
Artikel 5 i dataskyddsförordningen innehåller bestämmelser om prin- ciperna för behandling av personuppgifter. Enligt 5.1 a ska person- uppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållan- de till den registrerade. I artikel 6.1 anges att behandling av person- uppgifter är laglig endast om och i den mån som åtminstone ett av de i bestämmelsen angivna villkoren är uppfyllt.
Utredningen har i de föregående avsnitten kommit fram till att statliga högskolor och enskilda utbildningsanordnare kan tillämpa flera olika rättsliga grunder i artikel 6.1 i dataskyddsförordningen till stöd för sin personuppgiftsbehandling. I vissa situationer kan dess- utom flera rättsliga grunder vara tillämpliga samtidigt var för sig.
De rättsliga grunder som kan vara tillämpliga är samtycke (a), rättslig förpliktelse (c) eller uppgift av allmänt intresse eller myndig- hetsutövning (e). Statliga högskolors möjligheter att tillämpa de rättsliga grunderna rättslig förpliktelse och myndighetsutövning är större än för de enskilda utbildningsanordnarna. Enskilda utbild- ningsanordnare kan dock tillämpa den rättsliga grunden intresseav- vägning (f), vilket inte är möjligt för statliga högskolor när de fullgör sina uppgifter enligt högskolelagen och anslutande föreskrifter. Den rättsliga grund som främst blir aktuell för såväl statliga högskolor som enskilda utbildningsanordnare att tillämpa är dock första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, eftersom uppgiften att anordna och bedriva högskoleutbildning är en i svensk rätt fastställd uppgift av allmänt intresse, både med staten eller med en enskild fysisk eller juridisk person som huvudman.
När dataskyddsförordningen ska börja tillämpas kan en ändamåls- enlig och nödvändig personuppgiftsbehandling, som samtidigt skyd- dar den enskildes fri- och rättigheter, för lärosätenas del därmed ske med stöd av bestämmelserna i artikel 6 i dataskyddsförordningen. Något ytterligare regleringsbehov aktualiseras följaktligen inte för att lärosätena ska kunna tillämpa ovan nämnda rättsliga grunder.
221
Universitets- och högskolesektorn |
SOU 2017:49 |
5.4Känsliga personuppgifter
och uppgifter som rör lagöverträdelser
5.4.1Utredningens uppdrag i denna del
I kommittédirektiven konstateras att det inom utbildningsområdet i vissa fall är nödvändigt att behandla känsliga personuppgifter. Upp- draget i denna del är därför att analysera om det, utöver dataskydds- förordningen och den generella reglering som Dataskyddsutred- ningen föreslår, finns ett behov av kompletterande regleringar för behandling av känsliga personuppgifter inom universitets- och hög- skolesektorn samt att lämna de författningsförslag som behövs.
Utredningen har inte fått något specifikt uppdrag om behandling av personuppgifter som rör lagöverträdelser. Eftersom utredningen ska föreslå kompletterande regleringar som ska möjliggöra en ända- målsenlig behandling som samtidigt skyddar den enskildes fri- och rättigheter, ingår det dock i uppdraget att också analysera behovet av reglering i denna del.
Enligt artikel 10 i dataskyddsförordningen får behandling av pers- onuppgifter som rör bl.a. fällande domar i brottmål endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Det finns således ett förbud för enskilda att behandla uppgifter som rör fällande domar i brottmål, om inte behandlingen kan anses stå under en myndighets kontroll eller den nationella rätten medger sådan behandling.
Även om uppgifter som rör fällande domar i brottmål inte är en känslig uppgift, torde behandling av sådana uppgifter allmänt kunna anses som integritetskänslig. Utredningen anser därför att denna fråga lämpligen behandlas i samma avsnitt som behandling av käns- liga personuppgifter.
5.4.2Behov av att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål
Statliga högskolor och enskilda utbildningsanordnare kan behöva behandla känsliga personuppgifter i ett flertal olika sammanhang. Det är inte möjligt att ge en uttömmande beskrivning av samtliga
222
SOU 2017:49 |
Universitets- och högskolesektorn |
sådana behandlingar. Nedan lämnas därför en redogörelse för de be- handlingar av känsliga personuppgifter som i huvudsak förekommer hos lärosätena. Även behovet av behandling av personuppgifter som rör fällande domar i brottmål redogörs för nedan.
Högskoleprovet
För alla högskolor i Sverige ska det finnas ett gemensamt högskole- prov (7 kap. 20 § högskoleförordningen). Provdeltagare som styrker lässvårigheter och provdeltagare med diagnosen specifik lässvårighet eller blandad inlärningsstörning har rätt till förlängd skrivtid. Prov- deltagare med dokumenterad svag synskada har rätt till förlängd skrivtid och uppförstorat prov i formatet A3. Provdeltagare med dokumenterad grav synskada har rätt att skriva ett speciellt fram- taget prov i punktskrift och
För nämnda provdeltagare behandlas därmed uppgifter om hälsa, dvs. känsliga personuppgifter. Högskoleförordningen, där det anges att det ska finnas ett gemensamt högskoleprov, gäller för statliga högskolor. Även enskilda utbildningsanordnare kan dock genomföra högskoleprov, vilket Stiftelsen högskolan i Jönköping gör.
Studenter med funktionsnedsättning
Enligt 1 § förordningen (2001:526) om de statliga myndigheternas ansvar för genomförande av funktionshinderspolitiken ska myndig- heter under regeringen utforma och bedriva sin verksamhet med beaktande av de funktionshinderspolitiska målen. Myndigheterna ska verka för att personer med funktionsnedsättning ges full delak- tighet i samhällslivet och jämlikhet i levnadsvillkor. Myndigheterna ska särskilt verka för att deras lokaler, verksamhet och information är tillgängliga för personer med funktionsnedsättning.
223
Universitets- och högskolesektorn |
SOU 2017:49 |
Enligt 2 kap. 5 § diskrimineringslagen (2008:567) får den som be- driver verksamhet som avses i skollagen eller annan utbildningsverk- samhet inte diskriminera något barn eller någon elev, student eller studerande som deltar i eller söker till verksamheten.
Annan utbildningsverksamhet syftar på flera olika former av utbildning, bl.a. högskoleutbildning enligt högskolelagen och utbild- ning som kan leda fram till en examen som en enskild utbildnings- anordnare får utfärda enligt lagen om tillstånd att utfärda vissa exa- mina (prop. 2013/14:198 s. 76 f.).
Med diskriminering avses enligt 1 kap. 4 § bl.a. bristande tillgäng- lighet. Med bristande tillgänglighet avses att en person med en funk- tionsnedsättning missgynnas genom att sådana åtgärder för tillgäng- lighet inte har vidtagits för att den personen ska komma i en jäm- förbar situation med personer utan denna funktionsnedsättning som är skäliga utifrån krav på tillgänglighet i lag och annan författning och med hänsyn till de ekonomiska och praktiska förutsättningarna, varaktigheten och omfattningen av förhållandet eller kontakten mel- lan verksamhetsutövaren och den enskilde, samt andra omständig- heter av betydelse.
Förbudet mot diskriminering innebär att även åtgärder i fråga om annat än den fysiska miljön kan krävas. Sådana åtgärder bör kunna handla om stöd eller personlig service samt om information och kommunikation (prop. 2013/14:198 s. 78 f.).
I högskolelagen och högskoleförordningen finns bestämmelser som för statliga högskolors del kompletterar diskrimineringslagen i ovan nämnda delar.
Statliga högskolor ska, så långt det är möjligt, som studenter ta emot de sökande som uppfyller behörighetskraven för studierna. Kan inte alla behöriga sökande till en utbildning tas emot ska ett ur- val göras bland de sökande (4 kap. 1 och 3 §§ högskolelagen). Stat- liga högskolor kan i enstaka fall göra avsteg från de urvalsgrunder som enligt bestämmelserna i 7 kap. högskoleförordningen ska tilläm- pas. Detta framgår av 7 kap. 16, 27 och 32 §§ högskoleförordningen. Göteborgs universitet har en antagningsordning som anger att medi- cinska skäl och permanent eller mycket långvarig funktionsnedsätt- ning kan vara skäl för avsteg under vissa förutsättningar. Stiftelsen högskolan i Jönköping, som är en enskild utbildningsanordnare, har en antagningsordning av vilken det framgår att lärosätet tillämpar en urvalsgrund där en dokumenterad funktionsnedsättning under vissa
224
SOU 2017:49 |
Universitets- och högskolesektorn |
förutsättningar kan beaktas. Såväl statliga högskolor som enskilda ut- bildningsanordnare kan därmed behöva behandla känsliga person- uppgifter i antagningsförfarandet.
Mot bakgrund av ovan angivna bestämmelser i diskriminerings- lagen, som gäller för såväl statliga högskolor som enskilda utbild- ningsanordnare, har studenter med en varaktig funktionsnedsättning vidare möjligheten att ansöka om särskilt pedagogiskt stöd. Exempel på sådant stöd kan vara anteckningsstöd, extra handledning, tecken- språkstolkning och anpassade examinationer. I samband med ansök- ningar om särskilt pedagogiskt stöd och när beslutade stödåtgärder ska verkställas behandlas således också känsliga personuppgifter.
För handläggningen av ansökningar använder vissa lärosäten, både statliga högskolor och enskilda utbildningsanordnare, ett natio- nellt administrations- och informationssystem för samordnare, Nais. Systemet tillhandahålls av UHR men det är respektive lärosäte som är personuppgiftsansvarig. Studenten ska ange namn och kontakt- uppgifter i form av telefonnummer och
Enligt 2 § andra stycket förordningen (2011:1163) om statsbidrag för särskilt utbildningsstöd får statsbidrag lämnas till universitet och högskolor för kostnader för särskilt utbildningsstöd som erbjuds studerande med svåra rörelsehinder eller psykiska och neuropsykiat- riska funktionsnedsättningar. Av 5 § första stycket framgår att det är Specialpedagogiska skolmyndigheten som prövar frågor om bi- draget. Enligt 6 § är den som har tagit emot statsbidrag skyldig att lämna sådan ekonomisk och annan redovisning till Specialpeda- gogiska skolmyndigheten som myndigheten begär. Av Specialpeda- gogiska skolmyndighetens förteckning över vilka lärosäten som fått statsbidrag under 2016 framgår att ett antal statliga högskolor och Chalmers tekniska högskola, som är en enskild utbildnings- anordnare, fått sådant bidrag. Såväl statliga högskolor som enskilda utbildningsanordnare kan därmed behöva behandla känsliga person- uppgifter i samband med en ansökan om statsbidrag för särskilt ut- bildningsstöd.
225
Universitets- och högskolesektorn |
SOU 2017:49 |
Disciplinära åtgärder och avskiljande
Statliga högskolor
I 2 kap. 7 § diskrimineringslagen anges att om en utbildningsanord- nare får kännedom om att bl.a. en student som deltar i eller söker till utbildningsanordnarens verksamhet anser sig i samband med verk- samheten ha blivit utsatt för trakasserier eller sexuella trakasserier, är utbildningsanordnaren skyldig att utreda omständigheterna kring de uppgivna trakasserierna och i förekommande fall vidta de åtgärder som skäligen kan krävas för att förhindra trakasserier i framtiden. Med utbildningsanordnare avses bl.a. statliga högskolor (prop. 2007/08:95 s. 506 och 509 samt prop. 2013/14:198 s. 76 f.).
Av 1 kap. 4 § diskrimineringslagen framgår att med trakasserier avses ett uppträdande som kränker någons värdighet och som har samband med någon av diskrimineringsgrunderna kön, könsöver- skridande identitet eller uttryck, etnisk tillhörighet, religion eller annan trosuppfattning, funktionsnedsättning, sexuell läggning eller ålder. Av samma lagrum framgår att med sexuella trakasserier avses ett uppträdande av sexuell natur som kränker någons värdighet.
Vidare får, enligt 10 kap. 1 § första stycket och 2 § högskole- förordningen, disciplinära åtgärder i form av varning och avstängning vidtas mot studenter som
1.med otillåtna hjälpmedel eller på annat sätt försöker vilseleda vid prov eller när en studieprestation annars ska bedömas,
2.stör eller hindrar undervisning, prov eller annan verksamhet inom ramen för utbildningen vid högskolan,
3.stör verksamheten vid högskolans bibliotek eller annan särskild inrättning inom högskolan, eller
4.utsätter en annan student eller en arbetstagare vid högskolan för sådana trakasserier eller sexuella trakasserier som avses i 1 kap. 4 § diskrimineringslagen.
Enligt 10 kap. 9 § ska grundad misstanke om sådan förseelse som anges ovan skyndsamt anmälas till rektor. Rektor ska låta utreda ärendet och ge studenten tillfälle att yttra sig över anmälningen. Rek- tor ska därefter, i förekommande fall efter samråd med en lagfaren ledamot, avgöra om omständigheterna är sådana att ärendet ska läm-
226
SOU 2017:49 |
Universitets- och högskolesektorn |
nas utan vidare åtgärd, föranleda varning av rektor, eller hänskjutas till en disciplinnämnd för prövning.
Nu angivna bestämmelser i 10 kap. högskoleförordningen om disciplinära åtgärder gäller även för Sveriges lantbruksuniversitet och Försvarshögskolan (se 5 kap. 4 § förordningen för Sveriges lantbruks- universitet och 4 kap. 7 § förordningen för Försvarshögskolan).
I utredningar och ärenden om disciplinära åtgärder kan statliga högskolor således behöva behandla känsliga personuppgifter, i vart fall i ärenden med anledning av trakasserier eller sexuella trakasserier. I fråga om trakasserier och sexuella trakasserier behöver det dock inte vara fråga om ett ärende om disciplinär åtgärd mot en student. I förarbetena till 2 kap. 7 § diskrimineringslagen uttalas att någon begränsning av utbildningsanordnarens skyldighet med avseende på vem som uppträder trakasserande inte bör ställas upp. Utbildnings- anordnarens skyldighet att utreda och vidta åtgärder mot trakasserier kan exempelvis omfatta det fallet att en student trakasserar en annan student eller att en lärare eller annan anställd trakasserar en elev. Skyldigheten bör också ta sikte på konsulter och andra som utbild- ningsanordnaren anlitar i sin verksamhet (prop. 2007/08:95 s. 299).
Vidare får regeringen enligt 4 kap. 6 § högskolelagen meddela föreskrifter om att en student tills vidare ska avskiljas från utbild- ningen i fall då studenten lider av psykisk störning, missbrukar alko- hol eller narkotika eller har gjort sig skyldig till allvarlig brottslighet. Som ytterligare förutsättning för ett avskiljande gäller att det, till följd av något av sådant förhållande som angetts, bedöms föreligga en påtaglig risk att studenten kan komma att skada annan person eller värdefull egendom under utbildningen.
Regeringen har meddelat sådana föreskrifter i förordningen (2007:989) om avskiljande av studenter från högskoleutbildning. Enligt 1 § gäller förordningens bestämmelser för avskiljande av studenter från högskoleutbildning inom ett universitet eller en hög- skola som har staten som huvudman och som omfattas av högskole- lagen. Av 6 och 7 §§ framgår att frågor om avskiljande prövas av Högskolans avskiljandenämnd och inleds endast efter skriftlig anmä- lan från rektor för ett universitet eller en högskola eller den som rektor har utsett.
Enligt 3 § ska ett beslut om avskiljande alltid innebära att studen- ten tills vidare inte får fortsätta den pågående utbildningen. Ett beslut om avskiljande ska också innebära att studenten tills vidare
227
Universitets- och högskolesektorn |
SOU 2017:49 |
inte får antas till eller fortsätta annan utbildning av samma slag, om inte avskiljandenämnden beslutar något annat. Om det anges i beslutet innebär ett beslut om avskiljande också att studenten tills vidare inte får antas till eller fortsätta någon annan högskole- utbildning.
Även i utredningar och ärenden i fråga om avskiljande kan således statliga högskolor behöva behandla känsliga personuppgifter. I såda- na fall kan personuppgifter som rör fällande domar i brottmål också behöva behandlas, eftersom en av grunderna för avskiljande är att studenten har gjort sig skyldig till allvarlig brottslighet.
Enskilda utbildningsanordnare
Skyldigheten enligt 2 kap. 7 § diskrimineringslagen att utreda upp- givna trakasserier och, i förekommande fall, vidta de åtgärder som skäligen kan krävas för att förhindra trakasserier i framtiden gäller också för enskilda utbildningsanordnare (prop. 2007/08:95 s. 506 och 509 samt prop. 2013/14:198 s. 76 f.). Även enskilda utbildnings- anordnare kan således ha behov av att behandla känsliga personupp- gifter i utredningar och ärenden om disciplinära åtgärder med anled- ning av trakasserier eller sexuella trakasserier. Som konstaterats ovan gäller skyldigheten enligt 2 kap. 7 § också fall där t.ex. en lärare trakasserar en student. Ett ärende med anledning av trakasserier eller sexuella trakasserier behöver således inte avse frågan om det ska vid- tas någon disciplinär åtgärd mot en student.
Vidare finns det inget som hindrar att enskilda utbildnings- anordnare har motsvarande regler om disciplinära åtgärder och avskiljande som den offentligrättsliga reglering som gäller för statliga högskolor. Chalmers tekniska högskola aktiebolag, Handelshögsko- lan i Stockholm och Stiftelsen högskolan i Jönköping är exempel på enskilda utbildningsanordnare som har en disciplinstadga eller ett regelverk för disciplinära åtgärder.
I dessa disciplinstadgar eller regelverk finns det bestämmelser om varning, avstängning och avskiljande eller relegering. De förseelser och omständigheter som kan ligga till grund för en disciplinär åtgärd eller avskiljande är bl.a. sådana som nämns i 10 kap. 1 § högskole- förordningen, 4 kap. 6 § högskolelagen och förordningen om avskil- jande av studenter från högskoleutbildning. Det är således fråga om
228
SOU 2017:49 |
Universitets- och högskolesektorn |
fall där studenten t.ex. använt otillåtna hjälpmedel, stört eller hindrat undervisning, utsatt någon för trakasserier, lider av psykisk störning, missbrukar alkohol eller narkotika eller gjort sig skyldig till allvarlig brottslighet.
Även enskilda utbildningsanordnare har således behov av att kun- na behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål i utredningar och ärenden om disciplinära åtgärder och avskiljande.
Offentlighetsprincipen
Eftersom statliga högskolor är myndigheter omfattas de av offent- lighetsprincipen och bestämmelserna i tryckfrihetsförordningen och offentlighets- och sekretesslagen om rätten att ta del av allmänna handlingar. För att kunna uppfylla detta åliggande kan det förstås bli nödvändigt att behandla känsliga personuppgifter.
För enskilda utbildningsanordnares del får ett tillstånd att utfärda examina förenas med villkor om rätt för enskilda att ta del av hand- lingar hos utbildningsanordnaren. Av 2 kap. 4 § OSL och lagens bilaga framgår att denna skyldighet gäller för bl.a. Chalmers tekniska högskola aktiebolag och Stiftelsen högskolan i Jönköping. Även enskilda utbildningsanordnare kan därmed ha behov av att behandla känsliga personuppgifter i samband med att de uppfyller sina ålig- ganden enligt offentlighetsprincipen.
Hälsovård
Enligt 1 kap. 11 § högskoleförordningen ska statliga högskolor an- svara för att studenterna har tillgång till hälsovård, särskilt före- byggande hälsovård som har till ändamål att främja studenternas fysiska och psykiska hälsa. De som är verksamma inom studenthäl- san registrerar personuppgifter i form av namn, personnummer och kontaktuppgifter. Det skapas också en patientjournal där det förstås behandlas känsliga personuppgifter.
Även om högskoleförordningen gäller för statliga högskolor kan även enskilda utbildningsanordnare erbjuda studenthälsovård, vilket bl.a. Handelshögskolan i Stockholm gör. Den personuppgiftsbehand- ling som sker inom studenthälsans medicinska verksamhet omfattas
229
Universitets- och högskolesektorn |
SOU 2017:49 |
dock och kommer även fortsättningsvis att omfattas av patient- datalagens bestämmelser. Det ingår inte i utredningens uppdrag att se över patientdatalagen utan det ingår i Socialdataskyddsutredningens uppdrag (S 2016:05, dir. 2016:52).
Sammanfattning
Statliga högskolor och enskilda utbildningsanordnare kan behöva behandla känsliga personuppgifter på ett flertal områden. Utöver vad som förekommer inom studenthälsans verksamhet, sker sådana behandlingar huvudsakligen
–i samband med högskoleprovet,
–i antagningsförfarandet,
–vid handläggning av ansökningar om särskilt pedagogiskt stöd och när beslutade stödåtgärder ska verkställas,
–i samband med ansökan om statsbidrag för kostnader för sär- skilt utbildningsstöd,
–i utredningar och ärenden om trakasserier eller sexuella trakas- serier,
–i utredningar och ärenden om disciplinära åtgärder och avskil- jande, och
–vid uppfyllandet av de skyldigheter som följer av att omfattas av offentlighetsprincipen.
I utredningar och ärenden om avskiljande kan dessutom person- uppgifter som rör fällande domar i brottmål behöva behandlas.
5.4.3Gällande bestämmelser
I fråga om statliga högskolors skyldigheter enligt offentlighetsprin- cipen kan konstateras att enligt 8 § första stycket PUL tillämpas inte bestämmelserna i personuppgiftslagen i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförord- ningen att lämna ut personuppgifter.
230
SOU 2017:49 |
Universitets- och högskolesektorn |
Vidare får såväl statliga högskolor som enskilda utbildningsanord- nare i dagsläget behandla känsliga personuppgifter i s.k. ostrukturerat material, förutsatt att behandlingen inte innebär en kränkning av den registrerades personliga integritet (5 a § PUL). Därutöver kan statliga högskolor, med stöd av 8 § personuppgiftsförordningen (1998:1191, PUF) behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för hand- läggningen av det. Om dessa bestämmelser inte är tillämpliga på be- handlingen av känsliga personuppgifter måste samtycke inhämtas från den registrerade enligt 15 § PUL för att känsliga personuppgif- ter ska få behandlas.
I fråga om personuppgifter som rör fällande domar i brottmål är det, enligt 21 § första stycket PUL, förbjudet för andra än myn- digheter att behandla personuppgifter om lagöverträdelser som inne- fattar bl.a. brott och domar i brottmål. Förbudet gäller således inte för statliga högskolor utan endast enskilda utbildningsanordnare. Med stöd av 5 a § PUL kan dock även enskilda utbildningsanordnare behandla sådana uppgifter i ostrukturerat material.
Vidare får, enligt 21 § tredje stycket PUL, regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om un- dantag från förbudet i 21 § första stycket. I 9 § PUF har Data- inspektionen bemyndigats att meddela föreskrifter om sådana undantag. Datainspektionen har meddelat sådana föreskrifter genom DIFS 1998:3 (Datainspektionens föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m.), som ändrats genom DIFS 2010:1. Enligt 1 § b i föreskrifterna får, utan hinder av förbudet i 21 § PUL, sådana personuppgifter behandlas om behandlingen avser uppgift i anteck- ningar som förs i fristående skolors elevvårdande verksamhet eller i motsvarande verksamhet hos enskilda anordnare av högskoleut- bildning. Även Datainspektionens föreskrifter ger således en möjlig- het för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål.
231
Universitets- och högskolesektorn |
SOU 2017:49 |
5.4.4Dataskyddsförordningen och dataskyddslagen
Känsliga personuppgifter
Med särskilda kategorier av personuppgifter (känsliga personupp- gifter) avses enligt artikel 9.1 i dataskyddsförordningen personupp- gifter som avslöjar ras eller etniskt ursprung, politiska åsikter, reli- giös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Enligt artikel 9.1 är huvudregeln att det är förbjudet att behandla känsliga personuppgifter. Förbudet är dock förenat med en rad vik- tiga undantag. De som aktualiseras i detta sammanhang är arti- kel 9.2 a och g. Enligt 9.2 a ska förbudet i 9.1 inte tillämpas om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa uppgifter för ett eller flera specifika ändamål. Enligt 9.2 g ska förbudet i 9.1 inte tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Utifrån denna möjlighet för medlemsstaterna att skapa förutsätt- ningar för att möjliggöra behandling av känsliga personuppgifter har Dataskyddsutredningen i dataskyddslagen föreslagit tre generella undantag från förbudet att behandla känsliga personuppgifter för myndigheter (SOU 2017:39, avsnitt 10.6.2).
Det första gäller behandling av uppgifter i löpande text om upp- gifterna har lämnats i ett ärende eller är nödvändiga för handlägg- ningen av ett ärende (3 kap. 3 § 1 dataskyddslagen). Enligt Data- skyddsutredningen bör begränsningen till löpande text inte utesluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande.
Det andra undantaget gäller om uppgifterna har lämnats till myn- digheten och behandlingen krävs enligt lag (3 kap. 3 § 2 dataskydds- lagen). Bestämmelsen möjliggör behandling av känsliga personupp- gifter som är oundviklig i myndigheternas verksamhet som en direkt följd av tryckfrihetsförordningens, offentlighets- och sekretesslagens
232
SOU 2017:49 |
Universitets- och högskolesektorn |
och förvaltningslagens (1986:223) bestämmelser om allmänna hand- lingar, diarieföring och skyldighet att ta emot
Utöver detta föreslås myndigheter få behandla känsliga person- uppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt in- trång i den registrerades personliga integritet (3 kap. 3 § 3 data- skyddslagen). Syftet med paragrafen är att möjliggöra behandling av känsliga personuppgifter i enstaka fall även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte direkt krävs enligt annan lag. Så kan exempelvis vara fallet inom en myn- dighet i samband med utvärdering. Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Vid bedömning- en av om behandlingen utgör ett otillbörligt intrång ska vikt läggas vid t.ex. uppgifternas känslighet och den inställning de registrerade kan antas ha till att uppgiften behandlas.
Som skyddsåtgärd, för att säkerställa den registrerades grund- läggande rättigheter och intressen, föreslår Dataskyddsutredningen avslutningsvis, i 3 kap. 4 § dataskyddslagen, ett förbud för myndig- heter att vid behandling som sker enbart med stöd av 3 kap. 3 § använda sökbegrepp som avslöjar känsliga personuppgifter. Vid tillämpningen av bestämmelsen ska, enligt 1 kap. 5 § i den föreslagna dataskyddslagen, dock andra organ än myndigheter jämställas med myndigheter, i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sek- retesslagen gäller i organets verksamhet.
Det bör även nämnas att artikel 9.2 i dataskyddsförordningen innehåller flera bestämmelser förutom samtycke som är direkt till- lämpliga. Vidare har Dataskyddsutredningen genom förslag till bestämmelser i 3 kap. dataskyddslagen möjliggjort behandling av känsliga personuppgifter rörande bl.a. hälso- och sjukvård, arkiv och statistik.
233
Universitets- och högskolesektorn |
SOU 2017:49 |
Personuppgifter som rör fällande domar i brottmål
Enligt artikel 10 i dataskyddsförordningen får behandling av person- uppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämp- liga skyddsåtgärder för de registrerades rättigheter och friheter fast- ställs.
Dataskyddsutredningen har lämnat förslag till bestämmelser om behandling av personuppgifter som rör lagöverträdelser i 3 kap. 9– 12 §§ dataskyddslagen.
I 9 § anges att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångs- medel får enligt artikel 10 i dataskyddsförordningen behandlas av myndigheter.
Enligt Dataskyddsutredningen är det av stor vikt att regleringen i artikel 10 i dataskyddsförordningen, även vad avser myndigheters behandling, tydliggörs så långt möjligt i nationell rätt. Dataskydds- utredningen anser att ett sådant införlivande behövs när det gäller myndigheters behandling av uppgifter om lagöverträdelser, bl.a. för att tydliggöra att myndigheter inte behöver uttryckligt stöd i före- skrifter eller särskilda beslut för att få behandla uppgifter om lag- överträdelser (SOU 2017:39, avsnitt 11.4).
Enligt 3 kap. 10 § får den myndighet som regeringen bestämmer i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §. Ytterligare ett bemyndigande finns i 12 §. Enligt nämnda bestämmelse får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana uppgifter som avses i 9 §.
I 3 kap. 11 § anges att behandling av sådana personuppgifter som avses i 9 § får ske om behandlingen är nödvändig för att den person- uppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.
I 4 och 5 §§ förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning föreslår Dataskyddsutredningen kom- pletterande bestämmelser avseende behandling av personuppgifter som rör lagöverträdelser.
234
SOU 2017:49 |
Universitets- och högskolesektorn |
Enligt 4 § får personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångs- medel behandlas av andra än myndigheter om
1.behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall,
2.behandlingen avser enstaka uppgifter och är nödvändig för att till polisen anmäla misstanke om brott, eller
3.behandlingen avser enstaka uppgifter och är nödvändig för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.
Enligt Dataskyddsutredningens förslag till 5 § första stycket förord- ningen med kompletterande bestämmelser till EU:s dataskyddsför- ordning får Datainspektionen meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. I andra stycket anges att Datainspek- tionen även i enskilda fall får besluta om att tillåta behandling av sådana personuppgifter som avses i första stycket.
5.4.5Behov av särskild reglering
Förslag: I lagen om tillstånd att utfärda vissa examina ska det in- föras en bestämmelse som medger att enskilda utbildningsanord- nare får behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för hand- läggningen av ett ärende.
Vidare ska det införas en bestämmelse som anger att enskilda utbildningsanordnare får behandla känsliga personuppgifter, om uppgifterna har lämnats till den enskilde utbildningsanordnaren och behandlingen krävs enligt lag.
Det ska även införas en bestämmelse som medger att enskilda utbildningsanordnare får behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt in- trång i den registrerades personliga integritet.
Det ska även införas en bestämmelse som möjliggör för en- skilda utbildningsanordnare att i löpande text behandla person-
235
Universitets- och högskolesektorn |
SOU 2017:49 |
uppgifter som rör fällande domar i brottmål i ett ärende om avskil- jande av student från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otill- börligt intrång i den registrerades personliga integritet som be- handlingen kan innebära.
En bestämmelse som anger att en enskild utbildningsanordnare inte får använda sökbegrepp som avslöjar känsliga personuppgifter och uppgifter som rör fällande domar i brottmål ska också införas.
Slutligen ska det införas upplysningsbestämmelser som anger att nämnda bestämmelser kompletterar dataskyddsförordningen samt att bestämmelser om personuppgiftsbehandling också finns i dataskyddslagen.
Bedömning: Statliga högskolor kan finna stöd för nödvändig be- handling av känsliga personuppgifter i Dataskyddsutredningens förslag till dataskyddslag.
Statliga högskolor kan med stöd av artikel 10 i dataskyddsför- ordningen även behandla personuppgifter som rör fällande domar i brottmål. Dataskyddslagen föreslås innehålla en upplysnings- bestämmelse om att myndigheter får behandla sådana uppgifter.
Det finns inget behov av att införa någon ytterligare reglering för statliga högskolors behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.
Ovan har utredningen kommit fram till att statliga högskolor och enskilda utbildningsanordnare kan behöva behandla känsliga person- uppgifter huvudsakligen i samband med högskoleprovet, i antag- ningsförfarandet, vid ansökningar om särskilt pedagogiskt stöd och när beslutade stödåtgärder ska verkställas, i samband med ansökan om statsbidrag för särskilt utbildningsstöd, i utredningar och ären- den om trakasserier, sexuella trakasserier, disciplinära åtgärder och avskiljande samt för att uppfylla de skyldigheter som följer av offent- lighetsprincipen. I fråga om avskiljande kan även personuppgifter som rör fällande domar i brottmål behöva behandlas.
Enligt utredningens bedömning utesluter inte dataskyddsförord- ningen att samtycke kan användas som rättslig grund för behandling av personuppgifter, även känsliga sådana, av både statliga högskolor och enskilda utbildningsanordnare. En bedömning måste dock göras
236
SOU 2017:49 |
Universitets- och högskolesektorn |
av vilken slags behandling som samtycket avser för att avgöra om det är lämpligt.
För den behandling av känsliga personuppgifter som behövs för att lärosätena ska kunna fullgöra uppdraget som ankommer på dem enligt bl.a. högskolelagen och lagen om tillstånd att utfärda vissa exa- mina bör dock lärosätena inte vara beroende av om den registrerade lämnar sitt samtycke till sådan behandling. Detta eftersom det kan ifrågasättas om den registrerade i många fall har något verkligt val i frågan om behandlingen ska ske eller inte och därmed en reell möj- lighet att motsätta sig behandlingen. Därtill är det av naturliga skäl uteslutet att samtycke kan användas som rättslig grund för behand- lingar i samband med utredningar eller ärenden om t.ex. disciplinära åtgärder. Enligt utredningens bedömning bör det för den behandling av känsliga personuppgifter som är nödvändig därför finnas ytter- ligare rättsliga grunder som kan användas som stöd för sådan be- handling.
I fråga om behandling av personuppgifter som rör fällande do- mar i brottmål i utredningar och ärenden om avskiljande omfattas inte statliga högskolor av förbudet i 21 § PUL. Enskilda utbild- ningsanordnare kan i dagsläget behandla sådana uppgifter med stöd av 5 a § PUL. När dataskyddsförordningen ska börja tillämpas kommer den bestämmelsen dock att upphävas. Det kan därför vara nödvändigt att införa en rättslig grund som möjliggör för enskilda utbildningsanordnare att behandla sådana uppgifter i motsvarande utredningar och ärenden som kan leda till att en student tvingas lämna utbildningen.
Behandling i löpande text
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 1 dataskydds- lagen får myndigheter behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Enligt artikel 9.2 g får känsliga personuppgifter behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. En myndighet kan således inte tillämpa en sådan bestämmelse som Dataskyddsutredningen föreslår i vilken typ av ärende som helst.
237
Universitets- och högskolesektorn |
SOU 2017:49 |
Med stöd av nämnda förslag bedömer utredningen att statliga högskolor även fortsättningsvis kommer att kunna behandla käns- liga personuppgifter i ärenden om anpassning vid högskoleprov, avsteg vid antagning, särskilt pedagogiskt stöd och statsbidrag för särskilt utbildningsstöd. Nämnda ärenden syftar till att personer med funktionsnedsättningar ska kunna söka högskoleutbildningar och studera på samma villkor som personer utan funktionsned- sättning.
Rätten till anpassning vid högskoleprovet framgår av
Vidare bedömer utredningen att statliga högskolor även kan till- lämpa Dataskyddsutredningens förslag i ärenden om trakasserier och sexuella trakasserier. Avseende dessa ärenden följer det av 2 kap. 7 § diskrimineringslagen att statliga högskolor ska utreda och, i före- kommande fall, vidta skäliga åtgärder för att förhindra trakasserier i framtiden. Lagstiftaren anser således att det är så viktigt att enskilda
238
SOU 2017:49 |
Universitets- och högskolesektorn |
kan studera i en trygg och säker miljö att nämnda skyldighet att ut- reda trakasserier har införts. Vidare är trakasserier och sexuella tra- kasserier enligt 1 kap. 4 § diskrimineringslagen att betrakta som diskriminering, vilket enligt ovan är förbjudet enligt FN:s allmänna förklaring om de mänskliga rättigheterna och Europeiska unionens stadga om de grundläggande rättigheterna. Regeringsformen anger också att diskriminering ska motverkas. Sammantaget anser utred- ningen att skyldigheten att utreda och vidta åtgärder med anledning av trakasserier och sexuella trakasserier är ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen.
Utredningen bedömer vidare att statliga högskolor kan tillämpa Dataskyddsutredningens förslag även i ärenden om disciplinära åt- gärder och avskiljande. Förutsättningar för sådana beslut har möjlig- gjorts genom olika författningar. Därtill tar disciplinära åtgärder och avskiljande sikte på bl.a. säkerheten och ordningen för övriga studen- ter och högskolornas arbetstagare samt den mänskliga rättigheten att skyddas mot diskriminering i form av bl.a. trakasserier. Enligt utred- ningens bedömning är det även avseende dessa ärenden därmed fråga om sådana viktiga allmänna intressen som avses i artikel 9.2 g i data- skyddsförordningen.
Sammanfattningsvis anser utredningen att statliga högskolor kan tillämpa Dataskyddsutredningens förslag för nödvändig behandling av känsliga personuppgifter i ärenden om anpassning vid högskole- prov, avsteg vid antagning, särskilt pedagogiskt stöd, statsbidrag för särskilt utbildningsstöd, trakasserier, sexuella trakasserier, discipli- nära åtgärder och avskiljande. Någon ytterligare reglering krävs därmed inte för att statliga högskolor, i de fall det är nödvändigt, ska kunna behandla känsliga personuppgifter för nämnda ändamål när dataskyddsförordningen ska börja tillämpas. Vidare kan det inte uteslutas att det finns andra typer av ärenden där statliga högskolor behöver behandla känsliga personuppgifter. Sådan behandling kan då också ske med stöd av Dataskyddsutredningens förslag, förutsatt bl.a. att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse.
Det förhåller sig dock annorlunda med de enskilda utbildnings- anordnarna. Som framgår av avsnitt 5.4.2 kan motsvarande ärenden som nämnts ovan finnas hos enskilda utbildningsanordnare. I dessa fall har enskilda utbildningsanordnare, förutsatt att det är relevant och nödvändigt, således samma behov av att kunna behandla känsliga
239
Universitets- och högskolesektorn |
SOU 2017:49 |
personuppgifter som de statliga högskolorna. I dagsläget kan sådan behandling av känsliga personuppgifter ske i ostrukturerat material med stöd av 5 a § PUL, men den bestämmelsen kommer att upp- hävas när dataskyddsförordningen ska börja tillämpas. Dataskydds- utredningens förslag omfattar inte enskilda utbildningsanordnare. Utredningen anser därför att det finns behov av att införa en bestäm- melse som möjliggör för enskilda utbildningsanordnare att behandla känsliga personuppgifter i ärenden på motsvarande sätt som för statliga högskolor. Eftersom de enskilda utbildningsanordnarna redan i dagsläget har möjlighet att utföra sådana behandlingar av känsliga personuppgifter, bedömer utredningen att integritetsintrånget för den enskilde varken blir större eller mindre genom att en sådan bestämmelse införs. Sammantaget anser utredningen att det ska infö- ras en bestämmelse enligt vilken känsliga personuppgifter, med stöd av artikel 9.2 g i dataskyddsförordningen, får behandlas av enskilda utbildningsanordnare i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Kopp- lingen till artikel 9.2 g innebär, liksom för statliga högskolor som utredningen konstaterar ovan, att känsliga personuppgifter inte kan behandlas i vilken typ av ärende som helst. Det krävs att behandling- en är nödvändig av hänsyn till ett viktigt allmänt intresse. Av arti- kel 5.2 framgår att det är den personuppgiftsansvarige som ska ansva- ra för och kunna visa att man har stöd för de behandlingar man utför.
Behandling som krävs på grund av lag
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 2 dataskydds- lagen får myndigheter behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag. Enligt Dataskyddsutredningens förslag till 1 kap. 5 § ska vid tillämpning- en av 3 kap. 3 § 2 andra organ än myndigheter jämställas med myn- digheter i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekre- tesslagen gäller i organets verksamhet.
Dataskyddsutredningens förslag i nämnda delar innebär, enligt utredningens bedömning, att både statliga högskolor och, i före- kommande fall, enskilda utbildningsanordnare kommer att kunna
240
SOU 2017:49 |
Universitets- och högskolesektorn |
uppfylla de åligganden enligt bl.a. offentlighetsprincipen som ankom- mer på dem, t.ex. att diarieföra handlingar som innehåller känsliga personuppgifter och att lämna ut allmänna handlingar. Någon ytter- ligare reglering krävs därmed inte för att lärosätena ska kunna upp- fylla sina åligganden enligt offentlighetsprincipen.
Absolut nödvändig behandling i andra fall
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 3 dataskydds- lagen får myndigheter behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behand- lingen inte innebär ett otillbörligt intrång i den registrerades per- sonliga integritet. Bestämmelsen ska enligt Dataskyddsutredningen möjliggöra behandling av känsliga personuppgifter hos myndigheter i enstaka fall, även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte krävs enligt annan lag. Som exempel på när bestämmelsen kan vara tillämplig anger Dataskyddsutred- ningen bl.a. inom en myndighet i samband med utvärdering (SOU 2017:39, avsnitt 10.6.2).
Bestämmelsen i dataskyddslagen är direkt tillämplig på statliga högskolor. När det gäller statliga högskolors behandling av känsliga personuppgifter kan exempel på när paragrafen kan vara tillämplig, enligt utredningens bedömning, vara när beslut att bevilja anpassning vid högskoleprovet eller särskilt pedagogiskt stöd ska verkställas.
Även för enskilda utbildningsanordnare kan behandling av käns- liga personuppgifter vara berättigad i vissa fall när det saknas kopp- ling till ett visst ärende och då behandlingen inte krävs enligt annan lag. Som framgått ovan förekommer det att enskilda utbildnings- anordnare genomför högskoleprov. Hos enskilda utbildningsanord- nare finns också möjligheten att ansöka om särskilt pedagogiskt stöd. Även för enskilda utbildningsanordnare kan det därmed finnas behov av att behandla känsliga personuppgifter i samband med att beslut att bevilja anpassning vid högskoleprovet eller särskilt peda- gogiskt stöd ska verkställas. Sådan behandling kan i dagsläget ske i ostrukturerat material med stöd av 5 a § PUL. När dataskyddsför- ordningen ska börja tillämpas kommer dock personuppgiftslagen att upphävas.
241
Universitets- och högskolesektorn |
SOU 2017:49 |
Om någon reglering som möjliggör fortsatt sådan behandling inte införs är enskilda utbildningsanordnare hänvisade till att använda sig av samtycke från den registrerade. Att enbart använda sig av samtycke kan vara problematiskt, särskilt i fråga om anpassning vid högskoleprovet, eftersom provdeltagaren då måste skicka in ett sam- tycke till personuppgiftsbehandling i anslutning till att intyg om lässvårigheten, inlärningsstörningen eller synskadan skickas in. Det kan vidare ifrågasättas om samtycke kan användas som rättslig grund för all behandling som krävs i fråga om särskilt pedagogiskt stöd, eftersom det kan vara svårt för den enskilde att överblicka omfatt- ningen och arten av de behandlingar som krävs när beslutade stöd- åtgärder ska verkställas.
I övervägandena till förslaget till 3 kap. 3 § 3 dataskyddslagen anger Dataskyddsutredningen att sådan behandling som bestämmel- sen tar sikte på måste regleras på ett sätt som beaktar dataskydds- förordningens krav på proportionalitet och skyddsåtgärder. Bestäm- melsen innehåller därför rekvisitet ”absolut nödvändigt” för att markera att behandling av känsliga personuppgifter i här aktuella fall bara ska ske efter en noggrann prövning i det enskilda fallet. Data- skyddsutredningen anser vidare att prövningen också bör ske med beaktande av vilket intrång behandlingen utgör för den registrerades integritet. Dataskyddsutredningen har därför formulerat bestämmel- sen på sådant sätt att en avvägning ska göras av om en i och för sig absolut nödvändig behandling av känsliga personuppgifter innebär ett otillbörligt intrång i den registrerades integritet, vilket skulle kunna få till följd att behandlingen inte är tillåten (SOU 2017:39, avsnitt 10.6.2). Bestämmelsen i den föreslagna 3 kap. 3 § 3 data- skyddslagen innehåller således rekvisit som starkt markerar att be- stämmelsen ska tillämpas restriktivt och först efter noggranna avväg- ningar mellan behovet av behandlingen och intrånget i den enskildes integritet.
Utredningen anser sammanfattningsvis att en bestämmelse mot- svarande 3 kap. 3 § 3 dataskyddslagen ska införas även för enskilda utbildningsanordnare. Dessa aktörer har samma behov som statliga högskolor att i vissa fall kunna behandla känsliga personuppgifter även när det saknas koppling till ett visst ärende eller när behand- lingen inte krävs enligt annan lag. En bestämmelse med sådana starkt begränsande rekvisit, tillgodoser, enligt utredningens bedömning,
242
SOU 2017:49 |
Universitets- och högskolesektorn |
dataskyddsförordningens krav på proportionalitet och skyddsåtgär- der.
Behandling av personuppgifter som rör fällande domar i brottmål
Förbudet i artikel 10 för behandling av personuppgifter som rör fällande domar i brottmål gäller inte för myndigheter. Dataskydds- utredningen föreslår att en upplysningsbestämmelse om detta ska finnas i 3 kap. 9 § dataskyddslagen. Även när dataskyddsförord- ningen ska börja tillämpas kommer således statliga högskolor att kunna behandla personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande enligt 4 kap. 6 § högskolelagen och för- ordningen om avskiljande av studenter från högskoleutbildning. Någon ytterligare reglering i denna del krävs därmed inte för de statliga högskolornas behandlingar.
För enskilda utbildningsanordnare är det dock annorlunda. Som framgår ovan har de enskilda utbildningsanordnarna egna regelverk om avskiljande som i stort sett motsvarar de som gäller för statliga högskolor. De har därmed samma behov som statliga högskolor att behandla personuppgifter som rör fällande domar i brottmål. Sådan behandling kan i dagsläget ske i ostrukturerat material med stöd av 5 a § PUL samt Datainspektionens föreskrifter, vilka meddelats med stöd av bemyndigande i 9 § PUF. När dataskyddsförordningen ska börja tillämpas kommer dock personuppgiftslagen att upphävas.
Enligt Dataskyddsutredningens förslag till 4 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning får personuppgifter som rör bl.a. fällande domar i brottmål behandlas av andra än myndigheter om
1.behandlingen är nödvändig för att rättsliga anspråk ska kunna fast- ställas, göras gällande eller försvaras i ett enskilt fall,
2.behandlingen avser enstaka uppgifter och är nödvändig för att till polisen anmäla misstanke om brott, eller
3.behandlingen avser enstaka uppgifter och är nödvändig för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.
243
Universitets- och högskolesektorn |
SOU 2017:49 |
Enligt utredningens bedömning är det inte möjligt för enskilda ut- bildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål i ett ärende om avskiljande med stöd av Data- skyddsutredningens ovan nämnda förslag.
Enligt Dataskyddsutredningens förslag till 5 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning be- myndigas Datainspektionen att meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör bl.a. fällande domar i brottmål. I vilken mån Datainspektionen kom- mer att använda sig av det föreslagna bemyndigandet och i så fall på vilket sätt är i dagsläget oklart.
Dataskyddsförordningen och dataskyddslagen tillåter således inte att enskilda utbildningsanordnare behandlar personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande och det sak- nas förslag till undantag som möjliggör sådan behandling. Frågan är då om utredningen bör föreslå en sådan bestämmelse.
I förarbetena till den numera upphävda lagen (2001:1286) om lika- behandling av studenter i högskolan uttalar regeringen bl.a. följande (prop. 2001/02:27 s. 75, se även prop. 2008/09:68 s. 47).
Regeringen har dock i andra sammanhang ansett att det inte är lämp- ligt att reglera förhållandet mellan en student eller en sökande och en enskild utbildningsanordnare i offentligrättslig ordning. Exempelvis regleras inte frågor om avskiljande och disciplinära åtgärder rörande studenter hos enskilda utbildningsanordnare. Vidare kan inte en en- skild utbildningsanordnares beslut överklagas enligt bestämmelserna i högskoleförordningen och förordningen för Sveriges lantbruksuniver- sitet. I relationen mellan en enskild utbildningsanordnare och en stu- dent är parterna hänvisade till att föra en talan i civilrättslig ordning.
Att det saknas reglering för enskilda utbildningsanordnare om avskil- jande synes således inte bero på att frågan är av underordnad betydel- se för deras del, utan endast på att det inte ansetts lämpligt med en offentligrättslig reglering av dessa frågor. Vidare syftar ett avskiljande till att förhindra att en student skadar sin omgivning. Det måste där- med, enligt utredningens bedömning, anses vara lika angeläget att enskilda utbildningsanordnare har möjlighet att behandla personupp- gifter som rör fällande domar i brottmål i deras motsvarighet till ären- den om avskiljande. En sådan bestämmelse bör således införas.
244
SOU 2017:49 |
Universitets- och högskolesektorn |
En bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål måste, enligt artikel 10 i dataskyddsförordningen, omfattas av lämp- liga skyddsåtgärder för de registrerades rättigheter och friheter. En sådan bestämmelse bör därför bestå av rekvisit som starkt betonar att det är fråga om en restriktiv tillämpning där en noggrann avväg- ning behöver göras mellan behovet av behandling och intrånget i den enskildes integritet. Enligt utredningens uppfattning kan utform- ningen av Dataskyddsutredningens förslag till 3 kap. 3 § 3 data- skyddslagen tjäna som riktmärke.
Behandling av personuppgifter som rör fällande domar i brottmål skulle då kunna tillåtas om det är absolut nödvändigt, vilket innebär att regleringen ska tillämpas restriktivt och inte möjliggöra uppre- pad, omfattande, strukturell eller storskalig behandling.
För att ytterligare begränsa bestämmelsens tillämpning bör den, enligt utredningens uppfattning, också innehålla en avvägningsnorm. Av 4 kap. 6 § andra stycket högskolelagen framgår att en förutsätt- ning för avskiljande på grund av att studenten bl.a. har gjort sig skyldig till allvarlig brottslighet, är att det till följd av ett sådant för- hållande bedöms föreligga en påtaglig risk att studenten kan komma att skada annan person eller värdefull egendom under utbildningen. Den bestämmelse som ska möjliggöra för enskilda utbildningsanord- nare att behandla personuppgifter som rör fällande domar i brottmål kan då lämpligen innehålla en avvägningsnorm enligt vilken intresset för andras säkerhet och värdefull egendom ska ställas mot den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära. Det åligger därmed den enskilde utbild- ningsanordnaren att göra en noggrann avvägning i varje enskilt fall om den avsedda behandlingen kan göras.
Sammanfattningsvis anser utredningen att det ska införas en be- stämmelse som anger att personuppgifter som rör fällande domar i brottmål får behandlas av en enskild utbildningsanordnare i löpande text i ett ärende om avskiljande av student från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intres- set av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära. Utredningens bedömning är avslutningsvis att en bestämmelse, med sådana starkt begränsande rekvisit, uppfyller kraven i artikel 10 i dataskyddsförordningen.
245
Universitets- och högskolesektorn |
SOU 2017:49 |
Skyddsåtgärder – sökförbud
Förslagen till bestämmelser i dataskyddslagen som Dataskyddsut- redningen lämnar för att möjliggöra för myndigheter att i vissa fall behandla känsliga personuppgifter har sin grund i artikel 9.2 g. För att i denna del leva upp till förordningens krav på lämpliga och sär- skilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen, föreslår Dataskyddsutredningen även en skyddsåtgärd i form av en sökbegränsning i 3 kap. 4 § dataskydds- lagen (SOU 2017:39, avsnitt 10.6.2).
Dataskyddsutredningen menar att sökningar som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som i sig inne- bär en integritetskränkning. Enligt Dataskyddsutredningen ligger företeelsen nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Dataskyddsutredningen anser att med ett sökförbud uppnås ett relativt effektivt skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna.
Dataskyddsutredningen konstaterar vidare att ett sådant sökför- bud innebär att offentlighetsprincipen inskränks enligt den så kallade begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförord- ningen. En begäran att få tillgång till en sammanställning av uppgif- ter som är resultatet av en sådan förbjuden sökning ska alltså avslås på den grunden att sammanställningen inte anses förvarad hos myn- digheten. Dataskyddsutredningen anser att den omständigheten att sammanställningar av känsliga personuppgifter inte kommer att lämnas ut är en inte obetydlig integritetsvinst för de registrerade. Dataskyddsutredningen understryker dock att den s.k. begräns- ningsregeln inte hindrar att sökningar görs i färdiga elektroniska handlingar vid en begäran om tillgång till allmänna handlingar, dvs. sökning får på begäran ske i upptagningar där myndigheten eller den som lämnat in handlingen till myndigheten har gett upptagningen ett bestämt, fixerat, innehåll som går att återskapa gång på gång.
Enligt Dataskyddsutredningen bör sökbegränsningar av detta slag omfatta alla typer av tekniska åtgärder som innebär att uppgif- ter används för att strukturera eller systematisera information så att känsliga personuppgifter avslöjas.
246
SOU 2017:49 |
Universitets- och högskolesektorn |
Dataskyddsutredningens förslag till sökförbud i 3 kap. 4 § data- skyddslagen gäller endast för myndigheter. Ett undantag finns dock. Vid tillämpningen av bestämmelsen ska, enligt 1 kap. 5 § dataskydds- lagen, andra organ än myndigheter jämställas med myndigheter, i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen gäller i organets verksamhet. Enskilda utbildningsanordnare omfattas som regel således inte av den föreslagna bestämmelsen, utan endast stat- liga högskolor. De skäl som finns för att sökbegränsningar ska gälla för statliga högskolors del gör sig enligt utredningens bedömning dock gällande även avseende enskilda utbildningsanordnare. En motsvarande bestämmelse som begränsar deras möjligheter till be- handling av känsliga personuppgifter bör därför också införas.
För enskilda utbildningsanordnares behandling av personuppgif- ter som rör fällande domar i brottmål bör vidare ett motsvarande förbud också gälla för att använda sökbegrepp som avslöjar sådana uppgifter. På så sätt fastställs, i enlighet med artikel 10 i dataskydds- förordningen, ytterligare en skyddsåtgärd för de registrerades rättig- heter och friheter.
Nya bestämmelser i lagen om tillstånd att utfärda vissa examina
Enligt ovan har utredningen kommit fram till att statliga högskolor i Dataskyddsutredningens förslag kan finna stöd för nödvändig behandling av känsliga personuppgifter i ärenden om anpassning vid högskoleprovet, avsteg vid antagning, ansökningar om särskilt peda- gogiskt stöd, statsbidrag för särskilt utbildningsstöd, trakasserier, sexuella trakasserier, disciplinära åtgärder, avskiljande och eventuella ytterligare ärenden där det finns en koppling till ett viktigt allmänt intresse. Vidare kan både statliga högskolor och, i förekommande fall, enskilda utbildningsanordnare i Dataskyddsutredningens förslag finna stöd för nödvändig personuppgiftsbehandling vid uppfyllandet av åligganden enligt offentlighetsprincipen. Därtill kan statliga hög- skolor finna stöd i Dataskyddsutredningens förslag även för sådan behandling som i enstaka fall är absolut nödvändig. Något behov av ytterligare reglering för statliga högskolors del finns därmed inte.
För enskilda utbildningsanordnare finns det enligt utredningens bedömningar ovan dock ett behov av reglering. För deras del behö-
247
Universitets- och högskolesektorn |
SOU 2017:49 |
ver det införas bestämmelser som möjliggör nödvändig behandling av känsliga personuppgifter i samma typ av ärenden som finns hos de statliga högskolorna. Utredningen gör även bedömningen att det finns behov av en reglering som möjliggör för enskilda utbild- ningsanordnare att i enstaka fall behandla känsliga personuppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Där- till anser utredningen att det finns behov av en reglering som möjlig- gör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande av stu- denter. Vad utredningen har att ta ställning till är därefter var sådana bestämmelser lämpligast bör placeras.
I Dataskyddsutredningens förslag till 3 kap. 8 § dataskyddslagen ges ett bemyndigande till regeringen att meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförord- ningen att behandla känsliga personuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse. I förslaget till 3 kap. 10 och 12 §§ dataskyddslagen bemyndigas regeringen, eller den myndighet som regeringen bestämmer, att meddela föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör bl.a. fällande domar i brottmål. Det är således ur ett dataskyddsperspektiv möjligt att föreskriva om dessa undantag i en förordning. De bestäm- melser som myndigheter och, i fråga om offentlighetsprincipen, enskilda utbildningsanordnare har att tillämpa enligt dataskyddslagen är dock i lagform. Utredningens bedömning är därför att det är lämp- ligt att bestämmelserna som ger enskilda utbildningsanordnare stöd för att behandla känsliga personuppgifter och uppgifter som rör fäl- lande domar i brottmål förs in på samma normhierarkiska nivå. Detta görs lämpligen i lagen om tillstånd att utfärda vissa examina, eftersom det för enskilda utbildningsanordnares del är genom den lagen som den rättsliga grunden uppgift av allmänt intresse fastställs.
I lagen om tillstånd att utfärda vissa examina ska det därför införas en bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.
När det gäller offentlighetsprincipen är det som framgår ovan inte nödvändigt att införa en bestämmelse som möjliggör nödvändig behandling vid uppfyllandet av de åligganden som följer av offent- lighetsprincipen, eftersom Datasskyddsutredningens förslag i denna
248
SOU 2017:49 |
Universitets- och högskolesektorn |
del omfattar även enskilda utbildningsanordnare. För tydlighets skull anser utredningen dock att det är lämpligt att all reglering av enskilda utbildningsanordnares behandling av känsliga personuppgifter finns i samma författning. I lagen om tillstånd att utfärda vissa examina an- ser utredningen följaktligen att det ska införas en bestämmelse som anger att enskilda utbildningsanordnare får behandla känsliga per- sonuppgifter, om uppgifterna har lämnats till lärosätet och behand- lingen krävs enligt lag.
För behandling av känsliga personuppgifter ska det i lagen om till- stånd att utfärda vissa examina även införas en bestämmelse om att enskilda utbildningsanordnare får behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med be- handlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Det ska även införas en bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande.
Avslutningsvis ska det införas en bestämmelse om sökförbud samt upplysningsbestämmelser avseende förhållandet till dataskyddsför- ordningen och dataskyddslagen.
5.5Behov av ytterligare reglering
Bedömning: Dataskyddsförordningen, dataskyddslagen, förord- ningen om redovisning av studier m.m. vid universitet och hög- skolor samt utredningens förslag till författningsreglering av enskilda utbildningsanordnares behandling av känsliga person- uppgifter och uppgifter som rör fällande domar i brottmål utgör en ändamålsenlig reglering för enskilda utbildningsanordnares och statliga högskolors nödvändiga personuppgiftsbehandling samt ett välavvägt skydd för enskildas personliga integritet.
Den personuppgiftsbehandling som statliga högskolor utför är inte sådan att det krävs en lagreglering enligt 2 kap. 6 § regerings- formen.
Någon ytterligare reglering, utöver förslagen till reglering av enskilda utbildningsanordnares behandling av känsliga personupp- gifter och uppgifter som rör fällande domar i brottmål, behövs därmed inte.
249
Universitets- och högskolesektorn |
SOU 2017:49 |
När personuppgiftslagen upphävs kommer den personuppgifts- behandling som utförs inom universitets- och högskolesektorn i huvudsak att omfattas av dataskyddsförordningens och dataskydds- lagens bestämmelser. Undantagen är dels den behandling som sker med stöd av förordningen om redovisning av studier m.m. vid uni- versitet och högskolor, dels den behandling som sker inom student- hälsans verksamhet vilken omfattas av patientdatalagen. Därtill läm- nar utredningen i föregående avsnitt förslag till reglering av enskilda utbildningsanordnares behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.
Frågan är således om det, utöver nämnda regleringar och förslag, krävs eller om det av annat skäl är lämpligt med en ytterligare författ- ning i form av en särskild lag för att reglera personuppgiftsbehand- lingen inom universitets- och högskolesektorn.
Dataskyddsförordningen möjliggör genom artikel 6.2 och 6.3 för medlemsstaterna att införa särskilda registerförfattningar. Varken dessa bestämmelser eller förordningen i sig innebär dock något krav på att det införs sådana författningar.
Enligt utredningens bedömning i avsnitt 5.3 kan enskilda utbild- ningsanordnare och statliga högskolor som rättslig grund för sin nödvändiga behandling av personuppgifter tillämpa artikel 6.1 a, c eller e i dataskyddsförordningen. Enskilda utbildningsanordnare kan dessutom tillämpa artikel 6.1 f. Som framgår ovan är det utred- ningens bedömning att det inte behövs någon särskild reglering för att lärosätena ska kunna tillämpa dessa rättsliga grunder. Enligt ovan bedömer utredningen även att nämnda rättsliga grunder i data- skyddsförordningen är tillräckliga för sådan behandling som är nödvändig för att lärosätena ska kunna utföra och uppfylla de upp- gifter och åligganden som framgår av bl.a. högskolelagen och lagen om tillstånd att utfärda vissa examina.
För nödvändig eller absolut nödvändig behandling av känsliga personuppgifter kan statliga högskolor tillämpa de bestämmelser i dataskyddslagen som Dataskyddsutredningen föreslagit med arti- kel 9.2 g som grund. Som framgår ovan är det utredningens bedöm- ning att dessa bestämmelser, i förening med möjligheten att i viss utsträckning använda sig av samtycke, är tillräckliga för sådan be- handling av känsliga personuppgifter som är nödvändig eller absolut
250
SOU 2017:49 |
Universitets- och högskolesektorn |
nödvändig i de statliga högskolornas verksamhet enligt bl.a. hög- skolelagen.
För enskilda utbildningsanordnares behandling av känsliga per- sonuppgifter och uppgifter som rör fällande domar i brottmål före- slår utredningen att det införs bestämmelser som möjliggör sådan nödvändig eller absolut nödvändig behandling. Som framgår ovan bedömer utredningen att den föreslagna regleringen på dessa om- råden är tillräcklig för sådan behandling i enskilda utbildnings- anordnares verksamhet enligt bl.a. lagen om tillstånd att utfärda vissa examina. Den föreslagna regleringen omfattas vidare av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter i enlig- het med dataskyddsförordningens bestämmelser i artikel 9.2 g och artikel 10.
Utöver förordningen om redovisning av studier m.m. vid univer- sitet och högskolor kommer det således att finnas rättslig grund för statliga högskolors och enskilda utbildningsanordnares behandlingar även när dataskyddsförordningen ska börja tillämpas den 25 maj 2018. Ur den synvinkeln saknas det anledning att införa en särskild registerförfattning för högskolornas personuppgiftsbehandlingar.
Regeringsformens krav
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gent- emot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet i bestämmelsen gäller bara mot åtgärder från det allmännas sida och träffar därmed inte åtgärder som en enskild vidtar i förhållande till en annan enskild (prop. 2009/10:80 s. 250). Skyddet mot betydande intrång i den personliga integriteten enligt regeringsformen gäller således endast åtgärder som statliga högskolor vidtar i förhållande till sina studenter. Av 2 kap. 20 § framgår att skyddet får begränsas genom lag.
Bestämmelsen i 2 kap. 6 § andra stycket regeringsformen trädde i kraft den 1 januari 2011. Genom en särskild övergångsbestämmelse har äldre regleringar, som inte har lagform, dock varit gällande t.o.m. utgången av 2015. Någon särskild lag om högskolornas personupp- giftsbehandling har inte införts med anledning av grundlagsänd-
251
Universitets- och högskolesektorn |
SOU 2017:49 |
ringen. Någon utredning med uppgiften att analysera behovet av en särskild författningsreglering inom universitets- och högskolesek- torn med anledning av grundlagsändringen har inte heller tillsatts. Det förefaller därmed som att regeringen och lagstiftaren bedömt att statliga högskolors behandling av personuppgifter inte är sådan att den kräver särskilt lagstöd enligt 2 kap. 20 § regeringsformen, utan att de möjligheter till behandling av personuppgifter som finns enligt personuppgiftslagen och förordningen om redovisning av studier m.m. vid universitet och högskolor är både tillräckliga och inte för långtgående för integritetsskyddet.
Vidare har det inte framkommit att högskolornas personupp- giftsbehandlingar sedan den 1 januari 2016 har ändrats eller avses ändras på ett sätt som medför att behovet av att införa en särskild registerlag har förändrats. Det är inte några ofullkomligheter i lagstiftningen eller ifrågasatta integritetskränkningar som har föran- lett utredningsuppdraget, utan enbart den kommande nya
Högskolornas behandling av personuppgifter består huvudsakli- gen av uppgifter i form av namn, personnummer, kontaktuppgifter och studieresultat. Dessa behandlas främst i samband med ansökan till högskoleutbildning, i olika administrativa system och i under- visningen. Vidare bör det beaktas att det är fråga om en frivillig studieform samt att en stor del av behandlingarna har särskilt författ- ningsstöd genom bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor. I nämnda förordning regleras förutsättningarna för de två absolut största systemen inom universitets- och högskolesektorn, nämligen antagningssystemet NyA och systemet för studieadministration, Ladok.
Vidare förekommer det inte behandling av känsliga eller integ- ritetskänsliga uppgifter i någon större utsträckning. Behandling av sådana uppgifter har i dagsläget stöd i personuppgiftslagen och kom- mer för statliga högskolors del senare att ha stöd i dataskyddslagen.
Den personuppgiftsansvarige ska dessutom enligt artikel 5 i data- skyddsförordningen se till att personuppgifterna är adekvata, rele- vanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). Vidare får personuppgifterna inte förvaras i en form som möjliggör identifiering av den registrerade un- der en längre tid än vad som är nödvändigt för de ändamål för vilka
252
SOU 2017:49 |
Universitets- och högskolesektorn |
personuppgifterna behandlas (lagringsminimering). Dessa bestäm- melser begränsar den personuppgiftsansvariges möjligheter att be- handla fler personuppgifter än nödvändigt för längre tid än nödvän- digt.
Sammantaget bedömer utredningen att statliga högskolors per- sonuppgiftsbehandling inte är sådan att den utgör ett betydande in- trång i regeringsformens mening. Någon lagreglering med anledning av bestämmelserna i regeringsformen behövs därmed inte.
Finns det andra skäl att införa en särskild lag?
I avsnitt 4.9 redovisar utredningen sin uppfattning att bestämmel- serna i dataskyddsförordningen ger ett mycket starkt skydd för den enskildes integritet och rättigheter. I nämnda avsnitt gör utredningen bedömningen att en särskild författning som reglerar den skollags- reglerade utbildningsverksamhetens personuppgiftsbehandling inte skulle innebära att skyddet för enskildas integritet och rättigheter blev starkare. Utredningen bedömer vidare att en sådan reglering dessutom skulle kunna vara kontraproduktiv på så sätt att den skulle kunna komma att begränsa möjligheterna att behandla personupp- gifter på ett sätt som bidrar till ett effektivt och tidsenligt sätt att, med utnyttjande av tillgängliga tekniska hjälpmedel, bedriva utbild- ning med ett gott resultat.
Enligt utredningens mening gör motsvarande överväganden sig gällande även i fråga om den personuppgiftsbehandling som utförs av statliga högskolor och enskilda utbildningsanordnare. Utredningen bedömer således att det saknas skäl till ytterligare reglering av per- sonuppgiftsbehandlingen inom universitets- och högskolesektorn.
5.6Förordningen om redovisning av studier m.m. vid universitet och högskolor
5.6.1Utredningens uppdrag i denna del
Förordningen om redovisning av studier m.m. vid universitet och högskolor gäller utöver personuppgiftslagen vid helt eller delvis automatiserad behandling av personuppgifter. I förordningen finns det bestämmelser som hänvisar till personuppgiftslagen. När data-
253
Universitets- och högskolesektorn |
SOU 2017:49 |
skyddsförordningen ska börja tillämpas kommer personuppgifts- lagen att upphävas. Utredningen har därför fått i uppdrag att se över vilka ändringar i förordningen om redovisning av studier m.m. vid universitet och högskolor som behöver göras med anledning av dataskyddsförordningen, den generella reglering som Dataskydds- utredningen kommer att föreslå och de övriga förslag utredningen kan komma att lämna.
Utredningens uppdrag i denna del innebär således att anpassa bestämmelserna i förordningen till dataskyddsförordningens regler- ing, varvid utredningen ska beakta de förslag till ny generell reglering som Dataskyddsutredningen föreslår (dataskyddslagen). Andra behov av ändringar i förordningen om redovisning av studier m.m. vid universitet och högskolor ligger därmed utanför uppdraget. En- ligt direktiven finns det dock möjlighet att belysa även andra fråge- ställningar som är relevanta för uppdraget samt komma med förslag i sådana delar.
Analysen av behovet av ändringar i förordningen inleds i följande avsnitt med vilken eller vilka rättsliga grunder som är tillämpliga på de behandlingar som förordningen reglerar. Därefter, i avsnitt 5.6.3, går utredningen genom förordningens bestämmelser och lyfter fram frågeställningar och lämnar förslag till ändringar utifrån att data- skyddsförordningen ska börja tillämpas. I det sista avsnittet (5.6.4) lyfter utredningen fram vilket behov av översyn av övriga bestäm- melser i förordningen om redovisning av studier m.m. vid universitet och högskolor som kommit fram under utredningens gång. Det rör sig alltså om behov av överväganden som inte motiveras av de nya regelverk om personuppgiftsbehandling som ska börja tillämpas den 25 maj 2018.
5.6.2Rättslig grund för personuppgiftsbehandling
Bedömning: Bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor utgör i enlighet med artikel 6.1 c i dataskyddsförordningen fastställda rättsliga förplik- telser för statliga högskolor och SCB att föra olika register. Föran- det av registren är dessutom för statliga högskolor och SCB fast- ställda uppgifter av allmänt intresse i enlighet med första ledet i
254
SOU 2017:49 |
Universitets- och högskolesektorn |
artikel 6.1 e. För UHR:s del finns det en fastställd uppgift av all- mänt intresse att föra ett antagningsregister.
Enligt artikel 6.2 och 6.3 andra stycket är det tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämp- ningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva 6.1 c och e. Förordningen om redovisning av studier m.m. vid universitet och högskolor är där- med i sig förenlig med dataskyddsförordningen.
Enligt artikel 6.1 i dataskyddsförordningen krävs att åtminstone ett av de i artikeln uppräknade villkoren är uppfyllt för att behandling av personuppgifter ska vara laglig. Ett sådant villkor är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (6.1 c). Av artikel 6.3 första stycket framgår att den rättsliga förpliktelsen ska fastställas i enlighet med unions- rätten eller en medlemsstats nationella rätt som den personuppgifts- ansvarige omfattas av.
I fråga om rättslig förpliktelse föreslår Dataskyddsutredningen en förtydligande bestämmelse i 2 kap. 3 § dataskyddslagen, enligt vilken personuppgifter får behandlas med stöd av artikel 6.1 c om behand- lingen är nödvändig för att fullgöra en rättslig förpliktelse som bl.a. gäller enligt lag eller annan författning eller följer av beslut som har meddelats med stöd av lag eller annan författning.
Av artikel 6.3 andra stycket första meningen framgår att, i fråga om den rättsliga grunden rättslig förpliktelse, syftet med behand- lingen ska fastställas i den rättsliga grunden. Enligt Dataskydds- utredningen torde kravet innebära att en förpliktelse inte kan läggas till grund för behandling av personuppgifter om syftet med behand- lingen inte framgår av den författning som förpliktelsen grundas på och inte heller, i förekommande fall, kan utläsas av det beslut som anger förpliktelsen. Hur bestämmelsen ska tolkas är dock oklart (SOU 2017:39, avsnitt 8.3.2).
I 2 kap. 1 § första stycket förordningen om redovisning av studier m.m. vid universitet och högskolor anges att högskolorna ska doku- mentera uppgifter om studenter. I andra stycket anges att högsko- lorna ska föra ett studieregister och där ange uppgifterna individuellt för varje student samt att registret får föras med hjälp av auto- matiserad behandling. Enligt utredningens bedömning är nämnda bestämmelser ett utryck för en rättslig förpliktelse för högskolorna.
255
Universitets- och högskolesektorn |
SOU 2017:49 |
I 2 kap. 2 § anges för vilka ändamål registret ska föras, bl.a. för att säkra att uppgifter om sökande till utbildning, genomgångna studier, betyg över utbildningar och examina bevaras. Syftet med registret och behandlingarna framgår således av 2 §. Den rättsliga förplik- telsen för högskolorna att föra ett studieregister är därmed fastställd i svensk rätt.
I 3 kap. 1 § anges att SCB ska föra ett register och där ange uppgifterna individuellt för varje student samt att registret får föras med hjälp av automatiserad behandling. Även för SCB finns det i förordningen om redovisning av studier m.m. vid universitet och högskolor därmed en rättslig förpliktelse att föra ett register.
Enligt 3 kap. 2 § första stycket får registret användas av SCB för att ge underlag för att framställa sådan officiell statistik över utbild- ningen vid landets högskolor som behövs för uppföljning, utvärder- ing och information samt annan statistik, om ändamålet med behand- lingen inte är oförenligt med nämnda ändamål. Enligt andra stycket får registret användas också för forskning. Syftet med registret och behandlingarna framgår således av 2 §. Den rättsliga förpliktelsen för SCB att föra registret är därmed fastställd i svensk rätt.
Av 3 kap. 10 § första stycket framgår att SCB, ur sådana register som finns inom SCB, även ska sammanställa ett antal uppgifter om de personer som är anställda vid en högskola. Enligt andra stycket ska uppgifterna sammanställas i ett register som förs med hjälp av automatiserad behandling. Av första stycket framgår vidare att ända- målet är att utgöra underlag för statistik över högskolornas personal. Enligt utredningens bedömning är det därmed även i denna del fråga om en för SCB fastställd rättslig förpliktelse att föra en viss typ av register.
En annan rättslig grund som aktualiseras med anledning av bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor är den som finns i första ledet i arti- kel 6.1 e i dataskyddsförordningen, dvs. för sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse. Av artikel 6.3 första stycket framgår att även denna grund ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansarige omfattas av.
Dataskyddsutredningen föreslår att det i 2 kap. 4 § dataskydds- lagen ska finnas en förtydligande bestämmelse på motsvarande sätt som i fråga om rättslig förpliktelse, dvs. att personuppgifter får be-
256
SOU 2017:49 |
Universitets- och högskolesektorn |
handlas med stöd av artikel 6.1 e om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av bl.a. lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.4). Vidare konsta- terar Dataskyddsutredningen att statliga och kommunala myndig- heters verksamhet i allt väsentligt är av allmänt intresse och att det är den rättsliga grunden i artikel 6.1 e som vanligen bör tillämpas av myndigheter. Dataskyddsutredningen anför vidare följande.
Myndigheternas uppdrag och åligganden framgår av författningar, reger- ingsbeslut och kommunala reglementen, antagna i enlighet med grund- lagens bestämmelser om normgivningskompetens och kommunalt själv- styre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering av myndigheternas obligatoriska uppgifter krävs därmed inte på generell nivå för att myndigheter ska kunna vidta nödvändiga behandlingsåtgär- der för att fullgöra sina uppgifter.
Utredningen konstaterar att statliga högskolor och SCB är myndig- heter och att deras uppgift att föra olika register regleras i förordning. Bedömningen är därför att förandet av de olika registren är en för statliga högskolor och SCB i svensk rätt fastställd uppgift av allmänt intresse.
Vidare har UHR, enligt 2 § förordningen med instruktion för Universitets- och högskolerådet, till uppgift att på uppdrag av univer- sitet och högskolor som omfattas av högskolelagen eller av enskilda utbildningsanordnare som har tillstånd att utfärda examina enligt lagen om tillstånd att utfärda vissa examina biträda vid antagning av studenter och ansvara för ett samordnat antagningsförfarande.
Av 4 kap. 1 § första stycket förordningen om redovisning av studier m.m. vid universitet och högskolor framgår att UHR får föra ett antagningsregister och där ange uppgifterna individuellt för varje student. Vidare anges att registret får föras med hjälp av auto- matiserad behandling. Av andra stycket framgår att ändamålet med registret är att bl.a. vara till hjälp för högskolor vid antagning av studenter.
Mot bakgrund av angivna bestämmelser finns det, enligt utred- ningens mening, därmed en i svensk rätt fastställd uppgift av allmänt intresse för UHR:s del att föra ett antagningsregister.
257
Universitets- och högskolesektorn |
SOU 2017:49 |
Utredningen konstaterar sammanfattningsvis att det för statliga högskolor och SCB finns två i svensk rätt fastställda rättsliga grun- der till stöd för behandling av personuppgifter i deras respektive register, artikel 6.1 c och första ledet i artikel 6.1 e, dvs. rättslig för- pliktelse och uppgift av allmänt intresse. För UHR:s del är den rätts- liga grunden uppgift av allmänt intresse tillämplig.
Vidare framgår det av artikel 6.2 att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till be- handling för att efterleva punkt 6.1 c och e. Enligt artikel 6.3 andra stycket andra meningen kan dessutom den rättsliga grunden, som fastställs i den nationella rätten, innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen i form av bl.a. de allmänna villkor som ska gälla för den personuppgiftsan- svariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Dataskyddsförordningen medger således att det i nationell rätt finns sådana regleringar (registerförfattningar) som införts genom t.ex. förordningen om redovisning av studier m.m. vid universitet och högskolor.
Vidare ska, enligt artikel 6.3 andra stycket sista meningen i data- skyddsförordningen, den rättsliga regleringen uppfylla ett mål av all- mänt intresse och vara proportionell mot det legitima mål som efter- strävas.
Utredningen konstaterar att förordningen om redovisning av stu- dier m.m. vid universitet och högskolor tillkommit i den ordning som regeringsformen utpekar för föreskrifter av nu aktuellt slag. Bestämmelserna har bedömts relevanta och proportionerliga av reger- ingen. Inte heller har såvitt framkommit någon tillsynsmyndighet uttalat någon kritik eller tveksamhet i dessa avseenden. Det är därför rimligt att utgå från att de ändamål m.m. som fastställts i samband med författningsarbetet är relevanta och proportionerliga i förhål- lande till det integritetsintrång behandlingarna kan innebära. Denna bedömning är giltig även i de avseenden som avses i dataskydds- förordningen. Utredningen har inte heller vid genomgången av för- ordningen funnit några exempel på bestämmelser som kan sägas vara
258
SOU 2017:49 |
Universitets- och högskolesektorn |
irrelevanta eller oproportionerliga. Utredningen anser således att föreskrifterna uppfyller kraven i artikel 6.3 andra stycket i data- skyddsförordningen.
Med anledning av att dataskyddsförordningen och en ny generell lagstiftning som i vissa delar kompletterar förordningen ska börja tillämpas, påkallas dock ställningstaganden till och ändringar i vissa av bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor. En genomgång av befintliga bestäm- melser görs i följande avsnitt.
5.6.3Behov av ändringar med anledning av dataskyddsförordningen
Förslag: I 1 kap. 1 § andra stycket ska hänvisningen till person- uppgiftslagen utgå.
Det ska införas en ny paragraf, 1 a §, i vilken det ska upplysas om att förordningen kompletterar dataskyddsförordningen. Vidare ska förhållandet till dataskyddslagen regleras.
Bestämmelserna i 1 kap.
Bestämmelsen i 2 kap. 1 § tredje stycket ska upphävas. Bestämmelserna i 2 kap. 5 a § och 4 kap. 3 §, vilka reglerar
högskolornas respektive UHR:s möjligheter att behandla käns- liga personuppgifter i antagningsärenden, ska ändras på så sätt att de ska hänvisa till artikel 9.1 i dataskyddsförordningen i stäl- let för till 13 § PUL.
Förordningen om redovisning av studier m.m. vid universitet och högskolor består av fyra kapitel. Det första kapitlet innehåller all- männa bestämmelser. I det andra kapitlet finns bestämmelser om studieregister. Personuppgiftsbehandlingen i Ladok träffas av regler- ingen i detta kapitel. Det tredje kapitlet innehåller bestämmelser om rapportering och framställning av officiell statistik. Slutligen, i det fjärde kapitlet, finns bestämmelser om antagningsregister. Person- uppgiftsbehandlingen i UHR:s antagningssystem NyA omfattas av regleringen i detta kapitel. Nedan redogörs för regleringen i respek- tive paragraf och vilka behov av ändringar som utredningen anser är
259
Universitets- och högskolesektorn |
SOU 2017:49 |
påkallade med anledning av att dataskyddsförordningen ska börja tillämpas.
1 kap. 1 §
Första stycket
I första stycket anges att det i förordningen finns bestämmelser om registrering av uppgifter om studier inom utbildning på grundnivå, avancerad nivå och forskarnivå vid statliga universitet och högskolor. Bestämmelserna i förordningen gäller således inte för enskilda utbild- ningsanordnare. I första stycket anges vidare att det i förordningen finns bestämmelser om rapportering av uppgifter till SCB om studen- ter för officiell statistik, framställning av personalstatistik vid SCB och registrering av uppgifter om studie- och yrkesmeriter vid UHR.
Upplysningsbestämmelserna i första stycket om förordningens tillämpningsområde saknas det skäl att ändra, eftersom de enligt utredningens bedömning är förenliga med dataskyddsförordningen.
Andra stycket
I andra stycket finns en upplysning om att förordningen gäller utöver personuppgiftslagen vid helt eller delvis automatiserad behandling av personuppgifter.
När dataskyddsförordningen ska börja tillämpas kommer person- uppgiftslagen att upphävas. Hänvisningen till personuppgiftslagen ska således utgå. I övrigt saknas det enligt utredningens bedömning skäl till ändring av andra stycket. I sammanhanget aktualiseras dock frågan om behovet av att upplysa om och reglera förhållandet till bestämmelserna i dataskyddsförordningen och dataskyddslagen.
Dataskyddsförordningen är direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Förordningen om redovisning av studier m.m. vid universitet och högskolor innehåller endast sådana tillåtna bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen. För att tillämparen ska få en fullständig bild av vilken reglering som gäller bör en bestämmelse med en upplysning om att dataskyddsförordningen gäller tas in i för- ordningen.
260
SOU 2017:49 |
Universitets- och högskolesektorn |
Dataskyddslagen kommer, på samma sätt som personuppgifts- lagen, att vara subsidiär i förhållande till annan lagstiftning om behandling av personuppgifter. Av tydlighetsskäl bör en hänvisning till dataskyddslagen införas, så som i dagsläget görs till personupp- giftslagen.
Utredningen föreslår därför att det i en ny paragraf, 1 a §, ska anges att förordningen kompletterar dataskyddsförordningen. I andra stycket ska förhållandet till dataskyddslagen regleras.
Tredje stycket
I det tredje stycket i 1 § anges att ett universitet, en högskola, SCB och UHR är personuppgiftsansvariga för behandling av personupp- gifter i sin verksamhet.
Av definitionen i artikel 4.7 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsam- mans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
Enligt utredningens bedömning är därmed bestämmelsen i 1 kap. 1 § tredje stycket förordningen om redovisning av studier m.m. vid universitet och högskolor förenlig med dataskyddsförordningen. Bestämmelsen om vilka som är personuppgiftsansvariga kan och bör därför behållas.
1 kap. 2 och 3 §§
I 2 § anges att med högskolor avses i förordningen både universitet och högskolor. I följande paragraf finns därefter definitioner av student och doktorand. Enligt utredningens bedömning är bestäm- melserna förenliga med dataskyddsförordningens bestämmelser. Skäl att ändra dessa finns följaktligen inte.
261
Universitets- och högskolesektorn |
SOU 2017:49 |
1 kap. 4 §
I 4 § regleras vilken information som ska lämnas till den som ansöker om antagning till en utbildning. Enligt bestämmelsen ska högskolan informera den sökande om att uppgifter som har lämnats, liksom uppgifter om studier kommer att behandlas automatiserat i register. Informationen ska innehålla en upplysning om att bestämmelser om registren finns i förordningen och omfatta den information som ska lämnas enligt personuppgiftslagen.
Vilken information som enligt dataskyddsförordningen ska till- handahållas den registrerade regleras i artikel 13 och 14. I artikel 13 regleras vilken information som ska tillhandahållas om personupp- gifterna samlas in från den registrerade. I artikel 14 regleras vilken information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade. Enligt artikel 13.1 c och 14.1 c ska den registrerade förses med information om ändamålen med den behand- ling för vilken personuppgifterna är avsedda samt den rättsliga grun- den för behandlingen. Enligt artikel 14.1 d ska den registrerade även informeras om de kategorier av personuppgifter som behandlingen gäller.
Utredningen bedömer därmed att dataskyddsförordningens be- stämmelser om vilken information som ska lämnas till den registre- rade omfattar sådan information som en högskola enligt 1 kap. 4 § förordningen om redovisning av studier m.m. vid universitet och högskolor ska lämna till sökanden. Dataskyddsförordningens be- stämmelser är direkt tillämpliga. Något skäl för att, med stöd av arti- kel 23, begränsa den enskildes rättigheter och de personuppgifts- ansvarigas skyldigheter enligt artikel 13 och 14 föreligger enligt utred- ningens bedömning inte. Mot denna bakgrund anser utredningen att bestämmelsen i 1 kap. 4 § förordningen om redovisning av studier m.m. vid universitet och högskolor ska upphävas.
1 kap. 5 §
I 5 § finns en upplysning om att bestämmelserna i personuppgifts- lagen om rättelse och skadestånd gäller vid behandling av person- uppgifter enligt förordningen.
I personuppgiftslagen finns bestämmelser om rättelse i 28 §. En- ligt lagrummet är den personuppgiftsansvarige skyldig att på begäran
262
SOU 2017:49 |
Universitets- och högskolesektorn |
av den registrerade snarast rätta, blockera eller utplåna sådana per- sonuppgifter som inte har behandlats i enlighet med personuppgifts- lagen eller föreskrifter som har utfärdats med stöd av lagen. Eftersom 28 § PUL endast avser sådana personuppgifter som inte har behand- lats i enlighet med personuppgiftslagen eller föreskrifter som utfär- dats med stöd av lagen, har det i förordningen om redovisning av studier m.m. vid universitet och högskolor varit nödvändigt att hän- visa till personuppgiftslagens bestämmelser.
Enligt artikel 16 i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få fel- aktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande.
Eftersom personuppgiftslagen kommer att upphävas behöver 5 § i förordningen om redovisning av studier m.m. vid universitet och högskolor ändras. Mot bakgrund av att dataskyddsförordningen är direkt tillämplig såvitt gäller rättelse, till skillnad mot vad som gäller enligt personuppgiftslagen, ska någon materiell bestämmelse i natio- nell rätt inte införas. Enligt utredningens mening saknas vidare anledning att införa en upplysningsbestämmelse om att det i förord- ningen finns bestämmelser om rättelse. Med hänsyn till detta föreslår utredningen att 1 kap. 5 §, i den del som avser rättelse, ska upphävas.
Som nämnts ovan anger 5 § att även bestämmelserna i person- uppgiftslagen om skadestånd gäller vid behandling av personupp- gifter enligt förordningen.
Enligt 48 § PUL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgifts- lagen har orsakat. Även avseende rätten till skadestånd har det där- med varit nödvändigt att i förordningen om redovisning av studier m.m. vid universitet och högskolor hänvisa till personuppgifts- lagens bestämmelser.
I dataskyddsförordningen regleras rätten till skadestånd i arti- kel 82. Av artikel 82.1 följer att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskydds- förordningen ska ha rätt till ersättning från den personuppgifts- ansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Av skäl 146 framgår att behandling som strider mot dataskyddsför-
263
Universitets- och högskolesektorn |
SOU 2017:49 |
ordningen även omfattar behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med data- skyddsförordningen och medlemsstaternas nationella rätt med när- mare specifikation av dataskyddsförordningens bestämmelser.
Dataskyddsutredningen föreslår att 8 kap. 1 § dataskyddslagen ska innehålla en bestämmelse som upplyser om att rätten till ersätt- ning som regleras i artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra för- fattningar som kompletterar dataskyddsförordningen. Förordningen om redovisning av studier m.m. vid universitet och högskolor är en författning som kompletterar dataskyddsförordningen.
Eftersom artikel 82 i dataskyddsförordningen är direkt tillämplig bör 1 kap. 5 § förordningen om redovisning av studier m.m. vid uni- versitet och högskolor även upphävas i den del som avser skade- stånd. Utredningen gör samma bedömning som i det föregående i fråga om behovet av att i stället göra om bestämmelsen till en upp- lysningsparagraf. 5 § bör följaktligen upphävas i sin helhet.
1 kap. 6 §
I 6 § anges att beslut om rättelse och avslag på ansökan om infor- mation enligt 26 § PUL får överklagas hos allmän förvaltnings- domstol följer av 22 a § förvaltningslagen.
Enligt artikel 79.1 i dataskyddsförordningen ska varje registrerad som anser att hans eller hennes rättigheter har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen ha rätt till ett effektivt rätts- medel, utöver rätten att lämna in ett klagomål till en tillsynsmyn- dighet. Av artikel 79.2 framgår att talan mot en personuppgiftsansva- rig eller ett personuppgiftsbiträde ska väckas vid domstolarna i den medlemsstat där den personuppgiftsansvarige eller personuppgifts- biträdet är etablerad. Talan får även väckas vid domstolarna i den medlemsstat där den registrerade har sin hemvist, såvida inte den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet som agerar inom ramen för sin myndighetsutövning.
Enligt Dataskyddsutredningens förslag till 8 kap. 2 § första stycket dataskyddslagen får beslut enligt artiklarna 12.5,
264
SOU 2017:49 |
Universitets- och högskolesektorn |
egenskap av personuppgiftsansvarig överklagas till allmän förvalt- ningsdomstol. De rättigheter som kan föranleda överklagbara beslut enligt Dataskyddsutredningens förslag rör således bl.a. register- utdrag (artikel 15) och rättelse (artikel 16). Dataskyddsutredningens förslag omfattar därmed vad 1 kap. 6 § förordningen om redovisning av studier m.m. vid universitet och högskolor upplyser om. Frågan utredningen har att ta ställning till är därmed om 6 § ska ändras på så sätt att den hänvisar till dataskyddslagen i stället för som i dagsläget till personuppgiftslagen.
I förarbetena i samband med att överklagandebestämmelserna i personuppgiftslagen infördes uttalas bl.a. följande (prop. 2005/06:173 s. 53).
Genom införandet av en bestämmelse om överklagande i personupp- giftslagen är det inte längre nödvändigt att i särskilda registerförfatt- ningar, som hänvisar till personuppgiftslagen, ta in överklagandebestäm- melser. Så länge sådana särskilda bestämmelser inte upphävts gäller de dock i första hand eftersom särbestämmelser i annan författning gäller framför personuppgiftslagen (2 §). Det kan finnas anledning att vid över- syn av registerförfattningar särskilt uppmärksamma frågan om överkla- gande.
Eftersom utredningen föreslår en bestämmelse i 1 a § andra stycket som hänvisar till dataskyddslagen där det finns en bestämmelse om överklagande, anser utredningen följaktligen att upplysningsbestäm- melsen om överklagande i 1 kap. 6 § ska upphävas.
2 kap. 1 §
Första och andra stycket
Enligt 1 § första stycket ska varje högskola dokumentera uppgifter om studenter. I andra stycket anges att varje högskola ska föra ett studieregister och där ange uppgifterna individuellt för varje student. Vidare anges att registret får föras med hjälp av automatiserad be- handling.
Utredningen bedömer i avsnitt 5.6.2 att det genom nu nämnda bestämmelser finns en för statliga högskolor fastställd rättslig förplik- telse och uppgift av allmänt intresse att föra ett studieregister. Vidare anser utredningen att sådana bestämmelser är möjliga att införa och behålla med stöd av artikel 6.2 och 6.3 andra stycket i dataskydds-
265
Universitets- och högskolesektorn |
SOU 2017:49 |
förordningen. Bestämmelserna i 2 kap. 1 § första och andra stycket förordningen om redovisning av studier m.m. vid universitet och högskolor är således förenliga med dataskyddsförordningen och kan och bör behållas.
Tredje stycket
Enligt 2 kap. 1 § tredje stycket ska en högskola upprätthålla en god intern kontroll över studieregistret och det ska finnas en beskrivning av hur registret förs.
I dataskyddsförordningen finns det bestämmelser om register över behandling och säkerhet i samband med behandling i artikel 30 respektive artikel 32. Dessa bestämmelser är mer preciserade och långtgående än vad 2 kap. 1 § tredje stycket förordningen om redo- visning av studier m.m. vid universitet och högskolor anger. Bestäm- melsen i tredje stycket kan och bör därför upphävas, eftersom bestämmelserna i dataskyddsförordningen är direkt tillämpliga.
Fjärde stycket
Av 2 kap. 1 § fjärde stycket framgår att om en högskola avser att införa ett nytt system för att föra registret eller göra väsentliga för- ändringar i ett befintligt system, ska högskolan samråda dels med Ekonomistyrningsverket i syfte att säkerställa att de uppgifter i registret som ligger till grund för resurstilldelningen blir tillförlitliga, dels med UKÄ och UHR i syfte att säkerställa att uppgifterna i registret uppfyller krav på kvalitet och jämförbarhet mellan olika högskolor.
Skyldigheten att i vissa fall samråda med Ekonomistyrningsver- ket, UKÄ och UHR tar inte direkt sikte på personuppgiftsbehand- ling. Någon ändring av fjärde stycket är därmed inte påkallad med anledning av att dataskyddsförordningen ska börja tillämpas.
2 kap. 2 §
I 2 § första stycket anges att ändamålet med studieregistret är att säkra att uppgifter om sökande till utbildning, genomgångna studier,
266
SOU 2017:49 |
Universitets- och högskolesektorn |
betyg över utbildningar och examina bevaras. Härutöver ska uppgif- terna kunna läggas till grund för uppföljning och utvärdering, för antagning av studenter, för beslut om anmälningsavgift och studie- avgift, för avstängning av studieavgiftsskyldiga studenter, för admi- nistration inom respektive högskola, för ändamål som anges i 6 och 6 a §§ (i dessa paragrafer regleras utlämnande av uppgifter), för sådan officiell statistik som avses i 3 kap. samt för resurstilldelning. Enligt andra stycket får registret användas även för forskning.
I avsnitt 5.6.2 redovisas utredningens uppfattning att tillämpliga rättsliga grunder för behandling av personuppgifter enligt 2 kap. för- ordningen om redovisning av studier m.m. vid universitet och hög- skolor är artikel 6.1 c och första ledet i artikel 6.1 e i dataskydds- förordningen, dvs. rättslig förpliktelse och uppgift av allmänt intresse. Enligt artikel 6.2 och 6.3 andra stycket är det då tillåtet att i en registerförfattning behålla specifika bestämmelser i form av bl.a. ändamålsbegränsningar. Utredningen anser följaktligen att 2 kap. 2 § förordningen om redovisning av studier m.m. vid universitet och högskolor är förenlig med dataskyddsförordningen och att bestäm- melsen kan och bör behållas.
2 kap. 3 §
Av 3 § första stycket framgår att det i studieregistret ska dokumen- teras uppgifter om behörighet, urvalsgrund, skyldighet att betala och betalning av anmälningsavgift och studieavgift, antagning, del- tagande i utbildning och prov, studieresultat, betyg, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet samt examen. Enligt andra stycket ska studieregistret därutöver innehålla sådana uppgifter som krävs för att högskolan ska kunna lämna uppgifter till SCB enligt 3 kap. och UHR enligt 4 kap. Av tredje stycket framgår att studieregistret också får innehålla de uppgifter om studenter som behövs för resultatredovisning.
I fråga om vilka uppgifter som ska och får behandlas i studie- registret gör utredningen motsvarande bedömning som den i 2 kap. 2 § om ändamålsbegränsningar, eftersom det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att i en regis- terförfattning behålla specifika bestämmelser även i form av vilken typ av uppgifter som ska behandlas. Utredningen bedömer därför att
267
Universitets- och högskolesektorn |
SOU 2017:49 |
3 § är förenlig med dataskyddsförordningen och att den kan och bör behållas.
2 kap. 4 §
Enligt 4 § ska uppgifterna i studieregistret om dels deltagande i ut- bildning, dels studieresultat föras i kronologisk och systematisk ordning. Underlaget för uppgifterna ska behandlas i enlighet med föreskrifterna om verifikationer i förordningen (2000:606) om myn- digheters bokföring.
Även i denna del gör utredningen motsvarande bedömning som den i 2 kap. 2 § om ändamålsbegränsningar, eftersom det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att i en registerförfattning behålla specifika bestämmelser även i form av förfaranden för behandling. Utredningen bedömer således att bestämmelserna i 4 § är förenliga med dataskyddsförordningen och att de kan och bör behållas.
2 kap. 5 §
Av 5 § framgår att i studieregistret ska varje students identitet anges med hjälp av namn och personnummer. Om ett svenskt person- nummer saknas, anges ett för denna student vid högskolan unikt nummer.
I fråga om att namn ska anges i studieregistret gör utredningen motsvarande bedömning som enligt ovan görs avseende 2 kap. 3 § och de uppgifter som enligt den bestämmelsen ska anges i studie- registret. Bestämmelsen i 5 § är i denna del således förenlig med dataskyddsförordningen.
I fråga om personnummer får, enligt 22 § PUL, uppgifter om per- sonnummer eller samordningsnummer utan samtycke behandlas bara när det är klart motiverat med hänsyn till ändamålet med behand- lingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Av 50 § c PUL följer att regeringen får meddela närmare före- skrifter om i vilka fall användning av personnummer är tillåten.
Enligt artikel 87 första meningen i dataskyddsförordningen får medlemsstaterna närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt
268
SOU 2017:49 |
Universitets- och högskolesektorn |
för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registre- rades rättigheter och friheter enligt dataskyddsförordningen.
Dataskyddsutredningen föreslår att det i 3 kap. 13 § dataskydds- lagen ska införas en bestämmelse med samma ordalydelse som 22 § PUL. Vidare föreslår Dataskyddsutredningen en bestämmelse i 3 kap. 14 § dataskyddslagen som anger att regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten. Bestämmelsen motsvarar såle- des delvis 50 § c PUL.
Utredningen anser att det i aktuellt sammanhang är klart moti- verat med hänsyn till ändamålet med behandlingen och vikten av en säker identifiering att personnummer eller annat för studenten vid högskolan unikt nummer används för identifiering. Därtill finns det ett bemyndigande för regeringen i dataskyddslagen att meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten. Sammantaget anser utredningen att 2 kap. 5 § förordningen om redovisning av studier m.m. vid uni- versitet och högskolor även i den del som avser behandling av per- sonnummer eller annat unikt nummer är förenlig med dataskydds- förordningen och dataskyddslagen. Paragrafen kan och bör därför behållas oförändrad.
2 kap. 5 a §
Bestämmelsen reglerar behandling av känsliga personuppgifter. I be- stämmelsen anges att en högskola får behandla känsliga person- uppgifter som avses i 13 § PUL i antagningsärenden, om den enskilde har lämnat samtycke till detta.
Enligt 13 § första stycket PUL är det förbjudet att behandla per- sonuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Av andra stycket framgår att det också är förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. I tredje stycket anges att uppgifter av den art som anges i första och andra styckena betecknas som känsliga personuppgifter.
269
Universitets- och högskolesektorn |
SOU 2017:49 |
Från förbudet i 13 § PUL finns ett antal undantag, bl.a. om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen (15 § PUL).
Personuppgiftslagen kommer att upphävas när dataskyddsförord- ningen ska börja tillämpas. Bestämmelsen i 2 kap. 5 a § förordningen om redovisning av studier m.m. vid universitet och högskolor behö- ver därför ändras.
Enligt artikel 9.1 i dataskyddsförordningen ska behandling av per- sonuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller upp- gifter om en fysisk persons sexualliv eller sexuella läggning vara för- bjuden.
Det är således i artikel 9.1 i dataskyddsförordningen som mot- svarande reglering som den i 13 § PUL finns. Utredningen konsta- terar att artikel 9.1 skiljer sig från 13 § PUL på så sätt att genetiska och biometriska uppgifter samt uppgifter om sexuell läggning ingår i uppräkningen av vilka kategorier som det enligt huvudregeln är förbjudet att behandla.
Eftersom 2 kap. 5 a § förordningen om redovisning av studier m.m. vid universitet och högskolor anger att känsliga personuppgif- ter får behandlas om den enskilde har lämnat samtycke till detta, är det utredningens uppfattning att den personuppgiftsansvarige inte kan åberopa några andra grunder för sådan behandling (jfr 1 kap. 1 § andra stycket förordningen och 2 § PUL). Genom bestämmelsen har således möjligheten att behandla känsliga personuppgifter begränsats till de situationer då den registrerade har lämnat sitt samtycke. Utredningen anser därför att motsvarande begränsning av tillämpliga rättsliga grunder ska gälla för behandling av de kategorier av upp- gifter som anges i artikel 9.1 i dataskyddsförordningen, dvs. även de som inte anges i 13 § PUL. Utredningen anser därför att 2 kap. 5 a § ska ändras på så sätt att en hänvisning görs till artikel 9.1 i data- skyddsförordningen i stället. Med hänsyn till att den generella regle- ring som Dataskyddsutredningen föreslår inte gäller om något annat framgår av lag eller förordning kommer inte heller den regleringen i vad den avser känsliga personuppgifter att vara tillämplig på behand- ling av personuppgifter som faller inom tillämpningsområdet för
270
SOU 2017:49 |
Universitets- och högskolesektorn |
2 kap. förordningen om redovisning av studier m.m. vid universitet och högskolor.
2 kap. 6 och 6 a §§
I 6 § regleras under vilka förutsättningar uppgifter från en högskolas studieregister får lämnas ut på medium för automatiserad behandling till andra högskolor, ett lärosäte eller en myndighet i en annan stat inom EES eller i Schweiz, en studentkår eller en nation, en student, CSN, UHR, SCB, Vetenskapsrådet, Verket för innovationssystem, Forskningsrådet för miljö, areella näringar och samhällsbyggande, Forskningsrådet för hälsa, arbetsliv och välfärd, Svenska Institutet, UKÄ och andra myndigheter.
Enligt 6 a § första stycket ska högskolorna utan dröjsmål till Migrationsverket lämna ut uppgift om att en studieavgiftsskyldig student har antagits till en utbildning och om en sådan student inte har registrerat sig på utbildningen. I andra stycket anges att om det, utifrån de uppgifter som finns registrerade om en studieavgifts- skyldig student, finns anledning att anta att studenten har avbrutit sina studier, ska högskolan meddela Migrationsverket detta. Enligt tredje stycket får de uppgifter som avses i första och andra styckena lämnas ut på medium för automatiserad behandling.
I fråga om utlämnande av uppgifter på medium för automatiserad behandling gör utredningen motsvarande bedömning som den i 2 kap. 2 § om ändamålsbegränsningar, eftersom det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att i en registerförfattning behålla specifika bestämmelser om de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, typer av behandling och förfaranden för behandling. Utredningen bedömer därför att bestämmelserna i 6 och 6 a §§ är förenliga med data- skyddsförordningen och att de kan och bör behållas.
2 kap. 7 och 8 §§
I 7 § första stycket anges att för gallring av studieregistret gäller 10 § första och andra styckena arkivlagen (1990:782), om inte något annat föreskrivs i förordningen. Av nämnda bestämmelser i arkivlagen framgår att allmänna handlingar får gallras. Vid gallring ska dock all-
271
Universitets- och högskolesektorn |
SOU 2017:49 |
tid beaktas att arkiven utgör en del av kulturarvet och att det arkiv- material som återstår ska kunna tillgodose de ändamål som anges i 3 § tredje stycket arkivlagen, dvs. rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov.
Enligt 2 kap. 7 § andra stycket förordningen om redovisning av studier m.m. vid universitet och högskolor får dock vissa uppgifter inte gallras. Detta gäller för uppgifter om den utbildning som en student har genomgått med godkänt resultat eller fått tillgodoräkna sig vid högskolan, studentens betyg i godkända prov och den eller de examina som studenten har avlagt.
Av tredje stycket framgår att uppgifter om en sökande som inte har antagits till utbildning vid högskolan eller om en sökande som har antagits men inte påbörjat sina studier ska gallras så snart det kan göras med hänsyn till högskolans eget behov av material för uppfölj- ningar och statistiska bearbetningar, kraven på resultatredovisning och kraven på rapportering för den officiella statistiken.
Enligt 8 § ska en uppgift om medborgarskap som högskolan behöver för beslut om skyldighet att betala anmälningsavgift eller studieavgift gallras så snart studieregistret har uppdaterats med upp- gift om huruvida studenten tillhör den personkrets som ska betala anmälningsavgift eller studieavgift.
Utredningen gör även i fråga om gallringsbestämmelserna i 7 och 8 §§ motsvarande bedömning som den i 2 kap. 2 § om ända- målsbegränsningar, eftersom det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att i en registerförfatt- ning behålla specifika bestämmelser även i form av lagringstid. Utredningen bedömer därför att bestämmelserna i 7 och 8 §§ är förenliga med dataskyddsförordningen och att de kan och bör be- hållas.
3 kap. 1 §
Enligt den inledande bestämmelsen i tredje kapitlet ska SCB föra ett universitets- och högskoleregister och där ange uppgifterna indivi- duellt för varje student. Vidare anges att registret får föras med hjälp av automatiserad behandling.
272
SOU 2017:49 |
Universitets- och högskolesektorn |
Utredningen bedömer, vilket redovisas i avsnitt 5.6.2, att det genom bestämmelserna i första stycket finns en för SCB fastställd rättslig förpliktelse och uppgift av allmänt intresse att föra ett uni- versitets- och högskoleregister. Utredningen anger också att sådana bestämmelser är möjliga att införa och behålla med stöd av artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen. Bestämmelserna i 3 kap. 1 § är således förenliga med dataskyddsförordningen. Para- grafen kan och bör därmed behållas.
3 kap. 2 §
Ändamålet med SCB:s universitets- och högskoleregister anges i 2 §. Av bestämmelsen framgår att registret får användas av SCB för att ge underlag för att framställa sådan officiell statistik över utbild- ningen vid landets högskolor som behövs för uppföljning, utvärde- ring och information samt annan statistik, om ändamålet med behandlingen inte är oförenligt med nämnda ändamål. Vidare anges att registret också får användas för forskning.
I avsnitt 5.6.2 redovisas utredningens uppfattning att tillämpliga rättsliga grunder för behandling av personuppgifter enligt 3 kap. för- ordningen om redovisning av studier m.m. vid universitet och hög- skolor är artikel 6.1 c och första ledet i artikel 6.1 e i dataskydds- förordningen, dvs. rättslig förpliktelse och uppgift av allmänt intresse. Utredningen gör därför motsvarande bedömning som i fråga om ändamålsbegränsningarna i 2 kap. 2 §. Utredningen anser följaktligen att ändamålsbestämmelserna i 3 kap. 2 § förordningen om redovis- ning av studier m.m. vid universitet och högskolor är förenliga med dataskyddsförordningen. Paragrafen kan och bör därför behållas.
3 kap.
Bestämmelsernas innehåll
Enligt 3 § ska SCB:s universitets- och högskoleregister innehålla uppgifter om samtliga studenter i utbildning på grundnivå och avan- cerad nivå. Uppgifterna får hämtas från högskolornas studieregister, dvs. Ladok, och ska omfatta identitetsuppgifter, uppgifter om hög- skola, registrering på kurser per termin eller kalenderhalvår, skyl-
273
Universitets- och högskolesektorn |
SOU 2017:49 |
dighet att betala och betalning av anmälningsavgift och studieavgift, eventuellt utbildningsprogram som studenten har antagits till, avkla- rade högskolepoäng på kurser för varje termin eller kalenderhalvår. För avlagd examen ska uppgifterna i SCB:s register omfatta examens namn och nivå, inriktning, omfattning i högskolepoäng, datum för utfärdande av examensbevis och det huvudsakliga området för ut- bildningen för en
Av 3 kap. 4 § följer att vissa uppgifter från andra register inom SCB får påföras SCB:s universitets- och högskoleregister. Uppgifter som får påföras är genomgången linje, program eller kurs i gymnasie- skolan, annan utbildningsbakgrund samt betyg. Även uppgifter om boendekommun före och efter högskolestudierna får tillföras regist- ret, liksom uppgift om det land där studenten har genomgått utbild- ning som gett behörighet till den sökta utbildningen på grundnivå eller avancerad nivå.
Enligt 3 kap. 5 § får uppgifter från systemen för antagning av studenter vid högskolorna och UHR, dvs. från antagningssystemet NyA, föras in i SCB:s universitets- och högskoleregister. Uppgifter som får föras in är identitetsuppgifter och uppgifter om kurs, utbild- ningsprogram och högskola som studenten sökt respektive antagits till, studentens prioritering av de sökta utbildningarna, behörighet, skyldighet att betala och betalning av anmälningsavgift och studie- avgift.
I 3 kap. 6 § regleras vilka uppgifter från CSN:s register (STIS) som får påföras SCB:s universitets- och högskoleregister. Uppgifter som får påföras är identitetsuppgifter och uppgifter om utbetalade studiemedel fördelade på bidrag och lån per kalenderhalvår samt uppgifter om utlandsstudier.
Av 3 kap. 7 § framgår att registret även ska innehålla uppgifter om samtliga doktorander. Uppgifterna får hämtas från högskolornas
274
SOU 2017:49 |
Universitets- och högskolesektorn |
studieregister, dvs. Ladok, och ska omfatta identitetsuppgifter, datum för antagning och termin för studiernas påbörjande, ämne och högskola samt sådan forskarskola som regeringen bestämt, terminsvis registrering och aktivitet, typ av studiefinansiering, tidigare utbild- ning som gett behörighet till utbildningen på forskarnivå, tillgodo- räknad utbildning eller annan tillgodoräknad verksamhet i högskole- poäng och om tillgodoräknandet avser utbildning på grundnivå eller avancerad nivå, högskola i Sverige eller det land där doktoranden har genomgått utbildning, och för avlagd examen: examens namn och ämne samt datum för utfärdande av examensbevis.
Utredningens överväganden
I fråga om vilka uppgifter som ska eller får behandlas i SCB:s uni- versitets- och högskoleregister, med undantag för personnummer, gör utredningen motsvarande bedömning som den i 2 kap. 3 §, där det regleras vilka uppgifter som ska eller får finnas i högskolornas studieregister. Utredningen bedömer därför att 3 kap.
Vad gäller personnummer anges det inte uttryckligen i 3 kap.
I fråga om regleringen av användning av personnummer i SCB:s universitets- och högskoleregister är förenlig med dataskyddsför- ordningen gör utredningen motsvarande bedömning som den i 2 kap. 5 §. Utredningen bedömer därför att 3 kap.
Sammanfattningsvis anser utredningen att bestämmelserna i 3 kap.
275
Universitets- och högskolesektorn |
SOU 2017:49 |
3 kap. 8 §
Bestämmelser om gallring av uppgifterna i SCB:s universitets- och högskoleregister finns i 8 §. För gallring gäller, enligt första stycket, 10 § första och andra styckena arkivlagen, om inte något annat föreskrivs i förordningen. I första stycket görs således samma hän- visning till arkivlagens bestämmelser som i 2 kap. 7 § första stycket. Som angetts ovan anger aktuella bestämmelser i arkivlagen att all- männa handlingar under vissa förutsättningar får gallras.
Enligt andra stycket i 3 kap. 8 § får uppgifter om personnummer och högskola gallras efter 30 år. Uppgifter om en sökande som inte har antagits till utbildning vid en högskola eller om en sökande som har antagits men inte påbörjat sina studier ska, enligt tredje stycket, gallras efter tio år.
Utredningen gör i fråga om gallringsbestämmelserna i 8 § mot- svarande bedömning som den om gallringsbestämmelserna i 2 kap.
3 kap. 9 §
Som framgått ovan ska eller får SCB:s universitets- och högskole- register, enligt 3 kap.
Enligt 8 kap. 11 § regeringsformen får regeringen bemyndiga en myndighet under regeringen att meddela föreskrifter enligt 7 §. Dataskyddsförordningen hindrar inte att regeringen i här aktuellt avseende överlåter den normgivningskompetens regeringen har enligt 8 kap. 7 § regeringsformen. Utredningens bedömning är såle- des att 3 kap. 9 § förordningen om redovisning av studier m.m. vid universitet och högskolor är förenlig med dataskyddsförordningen. Paragrafen kan och bör därför behållas.
276
SOU 2017:49 |
Universitets- och högskolesektorn |
3 kap. 10 §
Bestämmelserna i 3 kap. reglerar inte bara SCB:s universitets- och högskoleregister. Enligt 10 § första stycket ska SCB även framställa statistik över högskolornas personal. Som underlag för statistiken ska SCB, ur sådana register som finns inom SCB, sammanställa ett antal uppgifter om de personer som är anställda vid en högskola. Uppgifterna avser identitet, högskola, anställningskategori, grupper av ämnen som en lärare och övrig personal huvudsakligen är verksam inom, arbetets omfattning och om personen har en anställning tills vidare eller en tidsbegränsad anställning, utbildningsbakgrund och högskola där examen avlagts. Enligt andra stycket ska uppgifterna sammanställas i ett register som förs med hjälp av automatiserad behandling.
Utredningen redovisar i avsnitt 5.6.2 ställningstagandet att det genom bestämmelserna i 10 § finns en för SCB fastställd rättslig förpliktelse och uppgift av allmänt intresse att föra ett register av här aktuellt slag. Vidare bedömer utredningen att sådana bestämmelser är möjliga att införa och behålla med stöd av artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen.
I fråga om vilka uppgifter som ska behandlas i registret gör utred- ningen, med undantag för personnummer, motsvarande bedömning som de i 2 kap. 3 § och 3 kap.
I fråga om personnummer anges det inte uttryckligen i 10 § att personnummer ska anges, utan endast identitetsuppgifter. Liksom fallet är med begreppet identitetsuppgifter i
Sammanfattningsvis anser utredningen således att bestämmel- serna i 3 kap. 10 § är förenliga med dataskyddsförordningen och att de kan och bör behållas.
277
Universitets- och högskolesektorn |
SOU 2017:49 |
4 kap. 1 §
4 kap. förordningen om redovisning av studier m.m. vid universitet och högskolor har getts rubriken ”Antagningsregister”. Person- uppgiftsbehandlingen i UHR:s antagningssystem NyA omfattas av regleringen i detta kapitel.
Av 1 § första stycket framgår att UHR får föra ett antagnings- register och där ange uppgifterna individuellt för varje student. Vidare anges att registret får föras med hjälp av automatiserad be- handling. Enligt andra stycket är ändamålet med registret att vara till hjälp för högskolor vid antagning av studenter. Uppgifterna får också användas för ändamål som anges i 4 § (där utlämnande av upp- gifter regleras), för sådan officiell statistik som avses i 3 kap. och för forskning.
Utredningen redovisar i avsnitt 5.6.2 bedömningen att det genom nu nämnda bestämmelser finns en för UHR fastställd uppgift av allmänt intresse att föra ett antagningsregister. Vidare har utredning- en kommit fram till att sådana bestämmelser är möjliga att införa och behålla med stöd av artikel 6.2 och 6.3 andra stycket i dataskydds- förordningen. Enligt nämnda artiklar är det vidare, när den rättsliga grunden är uppgift av allmänt intresse, även tillåtet med särskilda bestämmelser om ändamålsbegränsningar.
Sammanfattningsvis är bestämmelserna i 4 kap. 1 § förordningen om redovisning av studier m.m. vid universitet och högskolor fören- liga med dataskyddsförordningens bestämmelser. Paragrafen kan och bör därför behållas.
4 kap. 2 §
Enligt 2 § första stycket får uppgifterna i antagningsregistret hämtas in från högskolornas studieregister, och får då omfatta de uppgifter som anges i 2 kap. 3 § första stycket (se ovan). Vidare får det i antag- ningsregistret finnas uppgifter om behörighetsgrundande meriter, urvalsgrundande meriter och uppgifter samt de uppgifter i övrigt som en student åberopar i samband med antagning till en utbildning, med undantag för sådana uppgifter som en student lämnar in som underlag för beslut om anmälningsavgift eller studieavgift. Av andra stycket framgår att varje students identitet ska anges på det sätt som föreskrivs i 2 kap. 5 §, dvs. med namn och personnummer eller, om
278
SOU 2017:49 |
Universitets- och högskolesektorn |
ett svenskt personnummer saknas, ett för denna student vid hög- skolan unikt nummer.
Av artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen framgår att det är tillåtet med särskilda bestämmelser om vilken typ av uppgifter som får behandlas när den rättsliga grunden är uppgift av allmänt intresse.
I fråga om regleringen av användning av personnummer eller ett för studenten vid högskolan unikt nummer gör utredningen motsva- rande bedömning som den i 2 kap. 5 §, dvs. att bestämmelserna är förenliga med dataskyddsförordningen och dataskyddslagen.
Sammanfattningsvis anser utredningen att 4 kap. 2 § i sin helhet är förenlig med dataskyddsförordningen och att paragrafen kan och bör behållas.
4 kap. 3 §
Enligt 3 § får UHR behandla känsliga personuppgifter som avses i 13 § PUL i antagningsärenden, om den enskilde har lämnat sam- tycke till det.
Utredningen gör här motsvarande bedömning som i fråga om 2 kap. 5 a §, dvs. att bestämmelsen ska ändras på så sätt den hän- visar till artikel 9.1 i dataskyddsförordningen i stället.
4 kap. 4 §
I 4 § finns bestämmelser om utlämnande av uppgifter. Under vissa där angivna förutsättningar får uppgifter på medium för automati- serad behandling lämnas ut från antagningsregistret till en högskola, CSN, SCB, en student, Svenska institutet och Säkerhetspolisen.
När den rättsliga grunden är uppgift av allmänt intresse är det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen till- låtet med särskilda bestämmelser om de enheter till vilka person- uppgifterna får lämnas ut och för vilka ändamål, typer av behandling och förfaranden för behandling. Bestämmelserna i 4 § är enligt utredningens bedömning således förenliga med dataskyddsförord- ningen. Paragrafen kan och bör därför behållas.
279
Universitets- och högskolesektorn |
SOU 2017:49 |
4 kap. 5 §
Enligt 5 § får den registrerade ha direktåtkomst till sådana person- uppgifter om sig själv i antagningsregistret som får lämnas ut till henne eller honom. Vid sådan direktåtkomst ska den registrerades identitet kontrolleras genom en säker metod för identifiering.
I dataskyddsförordningen finns inga särskilda bestämmelser om direktåtkomst, utan det krävs – i likhet med vad som gäller för all behandling av personuppgifter – att behandlingen uppfyller de krav som dataskyddsförordningen ställer, bl.a. de grundläggande krav som finns i artikel 5. Utredningen gör i denna del därför motsva- rande bedömning som i fråga om föregående paragraf. Bestämmel- serna i 4 kap. 5 § kan och bör således behållas.
4 kap. 6 §
Fjärde kapitlet i förordningen avslutas med bestämmelser om gall- ring i 6 §. I första stycket anges, på motsvarande sätt som i gallrings- bestämmelserna i 2 kap. 7 § och 3 kap. 8 §, att för gallring av antag- ningsregistret gäller 10 § första och andra styckena arkivlagen, om inte något annat föreskrivs i förordningen. Enligt andra stycket i 6 § ska uppgifter om en student gallras tio år efter det att uppgifterna senast har påförts. En uppgift om medborgarskap som UHR behö- ver som underlag för beslut om anmälningsavgift eller studieavgift ska, enligt tredje stycket, gallras så snart antagningsregistret har upp- daterats med uppgift om huruvida studenten tillhör den personkrets som ska betala anmälningsavgift eller studieavgift.
När den rättsliga grunden är uppgift av allmänt intresse är det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen tillåtet med särskilda bestämmelser om lagringstid. Bestämmelserna i 4 kap. 6 § är enligt utredningens mening således förenliga med dataskyddsförordningen. Paragrafen kan och bör därför behållas.
Sammanfattning
Enligt ovan har utredningen kommit fram till att hänvisningen till personuppgiftslagen i 1 kap. 1 § andra stycket ska utgå och att den i en ny paragraf, 1 a §, ska ersättas med en upplysningsbestämmelse
280
SOU 2017:49 |
Universitets- och högskolesektorn |
om dataskyddsförordningen samt en reglering om förhållandet till dataskyddslagen.
Utredningen anser vidare att bestämmelserna i 1 kap.
Rubrikerna närmast före 1 kap.
I fråga om bestämmelserna i 2 kap. bedömer utredningen att bestämmelsen i 1 § tredje stycket ska upphävas, eftersom den om- fattas av mer preciserad och långtgående reglering som finns i direkt tillämpliga bestämmelser i dataskyddsförordningen. Vidare bedöms att 5 a § ska ändras på så sätt att den hänvisar till artikel 9.1 i data- skyddsförordningen i stället för som i dagsläget till 13 § PUL, efter- som personuppgiftslagen kommer att upphävas när dataskydds- förordningen ska börja tillämpas.
Slutligen, i fråga om 4 kap., anser utredningen att 3 § ska ändras på motsvarande sätt som 2 kap. 5 a §, dvs. att en hänvisning ska göras till artikel 9.1 i dataskyddsförordningen i stället för som i dagsläget till 13 § PUL.
Ovan nämnda förslag till ändringar är, enligt utredningens bedöm- ning, påkallade med anledning av att dataskyddsförordningen ska börja tillämpas. I övrigt anser utredningen att bestämmelserna är för- enliga med dataskyddsförordningen och att de kan och bör behållas. Under utredningens arbete har dock kommit fram att det finns behov av ändringar som inte är motiverade utifrån att dataskyddsförord- ningen ska börja tillämpas. I följande avsnitt lämnas en redogörelse för vad som kommit fram i nämnda avseende.
281
Universitets- och högskolesektorn |
SOU 2017:49 |
5.6.4Behov av översyn utifrån andra skäl än dataskyddsförordningen
Bedömning: Den tekniska utvecklingen och den praktiska han- teringen av personuppgifter när det gäller redovisning m.m. vid universitet och högskolor har gjort att det finns ett behov av en omfattande översyn av förordningen. En sådan översyn bör inne- fatta analyser av bl.a. hur moderna och teknikneutrala register- författningar är utformade, hur detaljerat det ska anges vilka upp- gifter som får eller ska behandlas, hur utlämnande av uppgifter ska regleras och om och i så fall hur direktåtkomst ska regleras.
En sådan översyn som utredningen bedömer är påkallad krävs dock inte för att anpassa förordningen till dataskyddsförord- ningen och den reglering som Dataskyddsutredningen har före- slagit.
Att utredningen i föregående avsnitt kommit till slutsatsen att endast ett fåtal bestämmelser i förordningen om redovisning av stu- dier m.m. vid universitet och högskolor behöver ändras med anled- ning av dataskyddsförordningen innebär inte att det inte finns behov av ytterligare ändringar. Tvärtom har det under utredningens arbete blivit tydligt att det i många avseenden finns ett behov av en omfat- tande översyn av förordningen.
Vid genomgången av 2 och 4 kap. i förordningen har utredningen kunnat konstatera att bestämmelserna i många fall inte motsvarar de verkliga förhållandena. Exempelvis konstaterar utredningen att de statliga lärosätena för sin studieadministration använder sig av Ladok. Ladok är ett system som består av flera gemensamt tillgängliggjorda uppgiftssamlingar. Förordningens 2 kap. bygger dock på förutsätt- ningen att varje lärosäte för ett eget, i förhållande till övriga separat, studieregister.
I 4 kap. regleras ett särskilt antagningsregister som får föras av UHR. NyA, som UHR använder sig av vid antagningsförfarandet, innehåller de uppgifter som anges i 4 kap. 2 § men systemet används inte enbart som ett register. Systemet används mest som ett hand- läggningssystem och uppgifterna i systemet har gjorts gemensamt tillgängliga för högskolorna som använder NyA i lika stor utsträck- ning som UHR.
282
SOU 2017:49 |
Universitets- och högskolesektorn |
Vidare följer bestämmelserna i 2 och 4 kap. i förordningen inte heller den lagstiftningsteknik och systematik som tillämpats i mot- svarande författningar inom andra sektorer under senare år (jfr exem- pelvis prop. 2014/15:63 s. 60 f. och s. 78 f. samt prop. 2015/16:65 s. 35 f.). Detta är ägnat att skapa oklarheter och tillämpnings- svårigheter. Det kan med fog ifrågasättas om det utifrån ett data- skyddsperspektiv är relevant att med så hög detaljeringsnivå ange exakt vilka uppgifter som lärosätena och UHR får behandla och hur behandlingen ska ske (se 2 kap.
En översyn av bestämmelserna om utlämnande av uppgifter i 2 kap. 6 och 6 a §§ kan också vara värdefullt. I dagsläget finns det en osäkerhet om uppräkningen i 2 kap 6 § är uttömmande eller om ut- lämnande kan ske även till andra aktörer. Även i 4 kap. finns det anledning att se över bestämmelserna om utlämnande av uppgifter (se 4 §), bl.a. med anledning av att uppgifterna i NyA gjorts gemen- samt tillgängliga för högskolorna.
Vidare kan konstateras att 4 kap. 5 § innehåller bestämmelser om direktåtkomst medan det i 2 kap. inte finns några motsvarande be- stämmelser. I dagsläget har dock studenterna direktåtkomst till uppgifter i Ladok. En analys av behovet av att reglera direktåtkomst och i så fall på vilket sätt är därmed önskvärt.
Det är därför påkallat med en allmän översyn av bestämmelserna i förordningen i syfte att skapa ett tydligare och därmed rättssäkrare stöd för behandling av personuppgifter för lärosätena och UHR. Genom en modernisering av förordningens bestämmelser ökar också möjligheterna för lärosätena och UHR att ha en ändamålsenlig och effektiv personuppgiftshantering. En sådan översyn som utred- ningen anser är angelägen ligger dock utanför uppdraget i och med att den inte krävs med anledning av dataskyddsförordningen, den generella reglering Dataskyddsutredningen föreslår och utredning- ens förslag i övrigt. En sådan översyn ryms inte heller inom den tids- ram som utredningen har till förfogande för att fullgöra uppdraget. Utredningen lämnar därför inga förslag i dessa delar.
283
6Yrkeshögskolan och andra eftergymnasiala utbildningar
6.1Allmänt
Yrkeshögskolan består av hundratals olika eftergymnasiala utbild- ningar som enligt 1 § lagen (2009:128) om yrkeshögskolan ska svara mot arbetslivets behov. Enligt 4 § får utbildning inom yrkeshög- skolan anordnas av statliga universitet och högskolor, andra statliga myndigheter, kommuner, landsting och enskilda fysiska eller juri- diska personer. Utbildning genom yrkeshögskolan bedrivs således av ett flertal olika aktörer på ett stort antal platser. Av Myndigheten för yrkeshögskolans (MYH) statistiska årsrapport 2017 (s. 12) framgår att det 2016 fanns 227 anordnare som bedrev utbildning inom yrkes- högskolan. Drygt hälften av dessa anordnare var privata anordnare. Av rapporten framgår vidare att det 2016 startades 739 utbild- ningsomgångar och att det var 1 900 omgångar som pågick under hela eller delar av kalenderåret.
Av 2 och 7 §§ lagen om yrkeshögskolan och 1 kap. 2 § förord- ningen (2009:130) om yrkeshögskolan framgår att yrkeshögskolan består av de utbildningar som MYH prövar och beslutar om genom ett ansökningsförfarande och som inte är utbildningar enligt hög- skolelagen (1992:1434) eller utbildningar som kan leda fram till en examen enligt lagen (1993:792) om tillstånd att utfärda vissa examina.
I förordningen om yrkeshögskolan finns mer detaljerade bestäm- melser om bl.a. vilka krav som ställs för att en utbildning ska få ingå i yrkeshögskolan, utbildnings- och kursplaner, betyg, tillgodoräknande av utbildning och annan verksamhet, examen, tillträde till utbildning, organisation, studerandeinflytande, utvärdering och uppföljning, stat- lig finansiering, försäkringar och avskiljande från utbildning.
Det finns ytterligare förordningar som kompletterar lagen om yrkeshögskolan, förordningen (2017:13) om behörighetsgivande för-
285
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
utbildning inom yrkeshögskolan och förordningen (2009:131) om utbildning inom yrkeshögskolan som uppdragsutbildning. Av 1 § i först nämnda förordning framgår att behörighetsgivande förutbild- ning inom yrkeshögskolan syftar till att ge den studerande kunska- per som motsvarar de krav på behörighet som är uppställda för den ordinarie yrkeshögskoleutbildningen. Med uppdragsutbildning avses utbildningsverksamhet som anordnas mot ersättning från uppdrags- givare som inte är en fysisk person och där uppdragsgivaren utser den som ska få delta i utbildningen (2 § lagen om yrkeshögskolan). Till skillnad från de flesta andra utbildningar inom yrkeshögskolan saknar uppdragsutbildningar möjligheten till statlig finansiering (3 § förordningen om utbildning inom yrkeshögskolan som uppdrags- utbildning).
Som nämnts ovan är det MYH som prövar och beslutar vilka utbildningar som ska ingå i yrkeshögskolan. MYH:s övriga uppgifter framgår av bl.a. förordningen (2011:1162) med instruktion för Myn- digheten för yrkeshögskolan. MYH ska bl.a. svara för ett register över uppgifter om de studerande i utbildningarna inom yrkeshög- skolan och i de utbildningar inom yrkeshögskolan som bedrivs som uppdragsutbildningar samt de studerandes studieresultat, betyg, exa- mina och utbildningsbevis (2 § 5).
MYH ska också pröva frågor om stöd enligt förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar. MYH ska även svara för ett register över uppgifter om de studerande i utbildningarna och de studerandes studieresultat, betyg, intyg och utbildningsbevis (2 § 6).
Konst- och kulturutbildningar är en eftergymnasial utbildnings- form som tidigare omfattades av bestämmelserna i den numera upp- hävda förordningen (2000:521) om statligt stöd till kompletterande utbildningar. Utbildningarna finns inom exempelvis dans, musik, teater, film, konst och mode. De bedrivs av enskilda fysiska eller juridiska personer men står under statlig tillsyn som, enligt 4 § första stycket 1 förordningen med instruktion för Myndigheten för yrkes- högskolan, utövas av MYH.
Utbildningarna får stöd genom att ställas under statlig tillsyn, förklaras berättiga de studerande till studiestöd eller berättiga till statsbidrag (1 § förordningen om stöd för konst- och kulturutbild- ningar och vissa andra utbildningar). Många av utbildningarna för- bereder för fortsatta studier i högskolan, t.ex. på
286
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
teaterhögskolor. Andra leder direkt till ett yrke, såsom dansare, designer eller musikalartist. Förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar omfattar även kor- tare kurser som har som syfte att bevara eller utveckla kulturarvet, t.ex. stickning, smide eller folkdans.
Under 2015 överfördes 120 utbildningar från regelverket för kompletterande utbildningar till det nya regelverket för konst- och kulturutbildningar. Utbildningarna bedrevs av 42 olika organisatio- ner fördelade på 56 skolor. Detta framgår av MYH:s statistiska års- rapport 2017 (s. 36) och MYH:s faktablad med kortfattad statistik om konst- och kulturutbildningar 2016.
6.2Utbildningsanordnarnas behandling av personuppgifter
Av föregående avsnitt framgår att utbildningarna inom yrkeshög- skolan anordnas av ett flertal olika huvudmän, både offentliga och enskilda. 2016 fanns totalt 227 anordnare. Utbildningarna som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har endast enskilda fysiska eller juridiska personer som huvudmän. Av föregående avsnitt framgår att det 2016 fanns totalt 42 organisationer, fördelade på 56 skolor, som anordnade såda- na utbildningar.
Det är inte möjligt att här ange samtliga behandlingar av person- uppgifter som sker hos de olika utbildningsanordnarna. Utifrån ut- redningens uppdrag, att det när dataskyddsförordningen ska börja tillämpas ska finnas en reglering som möjliggör en ändamålsenlig behandling inom utbildningsområdet, ges nedan en översiktlig beskrivning endast av utbildningsanordnarnas huvudsakliga behand- lingar. Utbildningsanordnarnas behandlingar av känsliga personupp- gifter och uppgifter som rör fällande domar i brottmål redogörs för i avsnitt 6.4.2.
287
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
6.2.1Yrkeshögskolan
Enligt 15 § lagen om yrkeshögskolan ska en utbildning inom yrkes- högskolan vara öppen för alla som uppfyller behörighetsvillkoren för utbildningen. Bestämmelser om behörighet finns i 3 kap.
Av 2 kap. 4 § förordningen om yrkeshögskolan framgår att ut- bildningen ska bedrivas i form av en eller flera kurser. Enligt 2 kap. 10 och 11 §§ ska betyg sättas på en genomförd kurs med något av uttrycken Icke godkänt, Godkänt och Väl godkänt. Av 2 kap. 9 § framgår att det i den obligatoriska kursplanen ska anges vilka prin- ciper för betygssättning och former för kunskapskontroll som ska tillämpas. I bedrivandet av själva utbildningen behandlas således per- sonuppgifter i form av i vart fall namn, personnummer och genom- förda moment i undervisningen och den studerandes då erhållna resultat.
Enligt 2 kap. 12 § förordningen om yrkeshögskolan ska en stude- rande, under vissa förutsättningar, för en del av utbildningen kunna få tillgodoräkna sig annan genomgången utbildning eller motsvaran- de kunskaper, färdigheter och kompetenser som har förvärvats i yrkesverksamhet eller på annat sätt. I fråga om prövning av tillgodo- räknande behandlas därmed personuppgifter i form av namn, per- sonnummer och sökandens tidigare meriter.
Enligt 14 § lagen om yrkeshögskolan får utbildningsanordnaren utfärda utbildningsbevis och examensbevis. Av 2 kap. 13 och 14 §§ framgår vilka krav en studerande ska uppfylla för att få avsluta ut- bildningen med en yrkeshögskoleexamen respektive en kvalificerad yrkeshögskoleexamen. Enligt 2 kap. 15 § ska en studerande som upp- fyller kraven för en examen på begäran få ett examensbevis av den ansvariga utbildningsanordnaren. En studerande som inte har full- gjort vad som krävs för en examen eller som inte begär att få ett
288
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
examensbevis ska, enligt 2 kap. 16 §, på begäran få ett utbildnings- bevis. För att nämnda bevis ska kunna utfärdas behöver det behand- las personuppgifter i form av namn, personnummer, genomförda kurser och betyg.
Av 9 § första stycket lagen om yrkeshögskolan framgår att utbild- ning inom yrkeshögskolan, för vilken utbildningsanordnaren får statsbidrag eller särskilda medel enligt 8 §, ska vara avgiftsfri för de studerande. Enstaka inslag som de studerande får betala ett obetyd- ligt belopp för får dock förekomma. Av tredje stycket följer att anordnare av utbildningar som inte får statsbidrag eller särskilda medel får ta ut skäliga studerandeavgifter. Behandling av personupp- gifter kan därmed förekomma för att fastställa skyldighet att betala vissa avgifter och att betalning har skett.
Vidare finns det i 2 kap. 17 § förordningen om yrkeshögskolan ett bemyndigande för MYH att meddela föreskrifter om att den ansvariga utbildningsanordnaren ska lämna uppgifter till MYH om de studerande och deras studieresultat, betyg och examina. MYH får även meddela föreskrifter om på vilket sätt och när uppgifterna ska lämnas. Med stöd av bemyndigandet har MYH meddelat föreskrifter om studiedokumentation (MYHFS 2016:8).
Av 3 § framgår att utbildningsanordnarna för varje utbildning ska lämna uppgifter om de studerandes fullständiga personnummer, för- namn och efternamn. Enligt 4 § ska uppgifterna rapporteras till myn- digheten genom en av myndigheten tillhandahållen digital plattform eller tjänst. För detta ändamål använder MYH sig av ett studiedoku- mentationssystem. Vidare ska, enligt 5 § i MYH:s föreskrifter, upp- gifter om de studerandes resultat rapporteras till MYH löpande och utan dröjsmål. Om betyg inte kan sättas ska detta rapporteras. Om en kurs har tillgodoräknats ska det framgå av rapporteringen (6 §). En- ligt 7 § ska kopior på examensbevis och utbildningsbevis skickas in till MYH. Av 8 § framgår att ett examensbevis ska innehålla uppgifter i form av bl.a. den studerandes fullständiga personnummer, förnamn och efternamn, examensarbete, betyg och eventuella tillgodoräknan- den. Samma uppgifter, med undantag för uppgift om examensarbete, ska också finnas i ett utbildningsbevis (9 §).
289
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
6.2.2Konst- och kulturutbildningar och vissa andra utbildningar
Enligt 24 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är den behörig att antas till utbildningen som har genomgått gymnasieskolan eller gymnasiesärskolan eller motsvarande utbildning. Behörig att antas är också den som annars bedöms kunna tillgodogöra sig utbildningen. Enligt 13 § ska det för varje utbildning finnas en utbildningsplan. Av denna ska framgå bl.a. de grunder och metoder som ska användas vid urval bland behöriga sökande till utbildningen. Av planen ska även framgå hur bl.a. behö- righetsbedömningar, urval och antagning ska dokumenteras. I sam- band med antagning till utbildning behandlas därmed personupp- gifter i form av namn, personnummer, kontaktuppgifter och den sökandes olika utbildningar och meriter.
Enligt 12 § ska utbildningen bedrivas i form av en eller flera kur- ser. Av 14 § framgår att det för varje kurs ska finnas en kursplan. Av kursplanen ska framgå bl.a. de former för kunskapskontroll som ska tillämpas. Det ska även framgå om betyg ska sättas på kursen och i så fall de principer för betygssättning som ska tillämpas. Enligt 15 och 16 §§ ska det efter en genomförd kurs sättas betyg eller utfärdas ett intyg. En studerande som avslutat en utbildning ska på begäran få ett utbildningsbevis av den ansvariga utbildningsanordnaren där utbild- ningens innehåll och den studerandes resultat anges. I bedrivandet av själva utbildningen och för utfärdandet av intyg och utbildningsbevis behandlas således personuppgifter i form av i vart fall namn, person- nummer och genomförda moment i undervisningen och den stude- randes då erhållna resultat.
I 24 a § anges att om det finns särskilda skäl får utbildnings- anordnaren i enskilda fall besluta att den som är antagen till utbild- ningen får anstånd med att påbörja studierna eller fortsätta sina stu- dier efter studieuppehåll. I samband med sådana beslut kan därmed personuppgifter behöva behandlas.
Av 10 § följer att utbildningsanordnarna får ta ut studerande- avgifter. Dessa ska dock vara skäliga i förhållande till utbildningens karaktär och de kostnader som utbildningsanordnaren har för utbild- ningen. Behandling av personuppgifter kan därmed förekomma för att fastställa skyldighet att betala vissa avgifter och att betalning har skett.
290
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
Av 2 § 6 förordningen med instruktion för Myndigheten för yrkeshögskolan framgår att MYH ska svara för ett register över upp- gifter om de studerande i utbildningarna och de studerandes studie- resultat, betyg, intyg och utbildningsbevis. Behandling av personupp- gifter behöver därmed ske när utbildningsanordnarna lämnar nyss nämnda uppgifter till MYH.
6.3Rättslig grund för personuppgiftsbehandling
6.3.1Utredningens uppdrag i denna del
Kommittédirektiven
För att personuppgifter ska få behandlas helt eller delvis automatiskt, eller för att annan behandling ska få ske av personuppgifter som ingår i eller kommer att ingå i ett register, krävs att en rättslig grund i artikel 6.1 i dataskyddsförordningen är tillämplig. Enligt artikel 6.3 första stycket ska grunden för den behandling av personuppgifter som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den nationella rätten som den personuppgiftsansvarige omfattas av. Enligt kommittédirektiven behöver det analyseras vad data- skyddsförordningens krav i denna del innebär i fråga om nationell författningsreglering. Dataskyddsutredningen ska analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling och lämna behövliga och lämpliga författningsförslag.
När det gäller behandling av personuppgifter som utförs av myn- digheter, kommuner, landsting och enskilda inom utbildningsområ- det, förutom forskningsverksamhet, uppdras det åt utredningen att analysera om en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutred- ningen kommer att föreslå, för att säkerställa att nödvändig behand- ling av personuppgifter inom utbildningsområdet kan ske på ett ända- målsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.
Utredningen ska därför, i fråga om de som anordnar utbildning inom yrkeshögskolan och enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar, undersöka vil- ken reglering på nationell nivå av personuppgiftsbehandling som är möjlig och kan behövas, utöver dataskyddsförordningen och den
291
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
generella reglering som Dataskyddsutredningen kommer att föreslå, samt lämna de författningsförslag som behövs.
Utredningens närmare utgångspunkter
I dagsläget regleras utbildningsanordnarnas personuppgiftsbehand- ling av personuppgiftslagen (1998:204, PUL). Den 25 maj 2018 kom- mer personuppgiftslagen att upphävas och dataskyddsförordningen och den av Dataskyddsutredningen föreslagna lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (data- skyddslagen) ska börja tillämpas.
För utbildningsanordnarna innebär detta att de måste ha stöd för sin behandling i en rättslig grund enligt artikel 6.1 i dataskyddsför- ordningen, om behandlingen helt eller delvis företas på automatisk väg eller om behandlingen avser personuppgifter som ingår i eller kommer att ingå i ett register. Möjliga grunder för behandling av personuppgifter kommer huvudsakligen att vara att den registrerade har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål (6.1 a), att behand- lingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (6.1 c) eller att behandlingen är nöd- vändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (6.1 e).
För enskilda utbildningsanordnare finns möjligheten att använda sig av ytterligare en grund i dataskyddsförordningen, nämligen för sådan behandling som är nödvändig för ändamål som rör den per- sonuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (6.1 f).
Beträffande de rättsliga grunderna i artikel 6.1 c och e i data- skyddsförordningen krävs, enligt artikel 6.3 första stycket, att de är fastställda i enlighet med unionsrätten eller en medlemsstats natio- nella rätt som den personuppgiftsansvarige omfattas av för att de ska vara tillämpliga. Detta är nytt i jämförelse med personuppgiftslagen. Såsom redogjorts för i avsnitt 3.4.1 bedömer Dataskyddsutredningen att det med grunden för behandlingen i artikel 6.3 första stycket avses den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen. Enligt Dataskyddsutredningens bedömning
292
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
innebär kravet på att grunden för behandlingen ska fastställas inte att det krävs en särskild reglering med anledning av att dataskydds- förordningen ska börja tillämpas. Förekomsten av reglering avgör dock i vilken utsträckning personuppgiftsansvariga kan åberopa de rättsliga grunder som avses i artikel 6.1 c och e (SOU 2017:39, av- snitt 8.3.1).
Av artikel 6.3 andra stycket framgår att syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av all- mänt intresse eller som ett led i den personuppgiftsansvariges myn- dighetsutövning. Vidare anges att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestäm- melserna i förordningen. Unionsrätten eller medlemsstaternas natio- nella rätt ska uppfylla ett mål av allmänt intresse och vara propor- tionell mot det legitima mål som eftersträvas.
De första frågor som utredningen har att ta ställning till är om det finns en eller flera rättsliga grunder som är tillämpliga för utbild- ningsanordnarnas behandling av personuppgifter. Om utredningen kommer fram till att utbildningsanordnarna fullgör en rättslig för- pliktelse eller utför en uppgift av allmänt intresse eller att det i deras verksamhet finns inslag av myndighetsutövning, måste det även undersökas vilket rättsligt stöd det finns för verksamheterna att utföra dessa uppgifter, dvs. om grunderna är fastställda i svensk rätt. Eftersom utredningen bedömer att uppgift av allmänt intresse är den rättsliga grund som utbildningsanordnarna oftast kan tillämpa vid behandling av personuppgifter, är det utbildningsanordnarnas möj- ligheter att tillämpa den grunden som först kommer att analyseras.
6.3.2Uppgift av allmänt intresse
Bedömning: Genom bestämmelser i lagen om yrkeshögskolan med anslutande föreskrifter och beslut fattade med stöd av dessa är det i svensk rätt fastställt att anordnande och bedrivande av efter- gymnasiala yrkesutbildningar är en uppgift av allmänt intresse.
Genom bestämmelser i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med anslutande myndighetsföreskrifter och beslut meddelade med stöd av dessa
293
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
är det i svensk rätt fastställt att anordnande och bedrivande av sådana utbildningar också är en uppgift av allmänt intresse.
Artikel 6.1 e i dataskyddsförordningen kan därmed utgöra rättslig grund för nödvändig personuppgiftsbehandling för att utöva verksamhet som har sin grund i nämnda föreskrifter när personuppgiftslagen upphävs. Det finns således inget behov av en särskild reglering för att utbildningsanordnarna ska kunna tilläm- pa den rättsliga grunden uppgift av allmänt intresse.
Är anordnande och bedrivande av eftergymnasiala yrkesutbildningar m.fl. en fastställd uppgift av allmänt intresse?
Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Av första ledet i artikel 6.1 e framgår att en behandling är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse. Artikel 6.1 e är inte begränsad till offentliga aktörer, utan även privaträttsliga organ kan utföra en uppgift av allmänt intresse.
För att nämnda grund ska kunna tillämpas vid personuppgifts- behandling krävs dock att uppgiften av allmänt intresse är fastställd i unionsrätten eller en medlemsstats nationella rätt som den person- uppgiftsansvarige omfattas av (artikel 6.3 första stycket). Data- skyddsutredningen föreslår en bestämmelse i 2 kap. 4 § dataskydds- lagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig bl.a. för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av bl.a. lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning. Det är således inte tillräckligt att konstatera att det generellt före- ligger en uppgift av allmänt intresse för att den aktuella grunden ska kunna tillämpas som stöd för behandling av personuppgifter. Av skäl 41 framgår vidare att den rättsliga grunden bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den.
Vad utredningen har att analysera är följaktligen om det för anordnarna av utbildning enligt lagen om yrkeshögskolan med anslu- tande föreskrifter samt förordningen om stöd för konst- och kultur- utbildningar och vissa andra utbildningar finns en i svensk rätt fast-
294
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
ställd uppgift av allmänt intresse. Utredningen ska i så fall även ana- lysera om den reglering där uppgiften fastställs är tydlig och precis och om dess tillämpning är förutsägbar för de personer som omfat- tas av den.
Yrkeshögskolan
Begreppet allmänt intresse är ett unionsrättsligt begrepp som ännu inte har definierats. I artikel 14.1 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02) anges att var och en har rätt till utbildning och till tillträde till yrkesutbildning och fort- bildning. Att yrkesutbildning och fortbildning är en grundläggande rättighet talar för att i vart fall anordnande och bedrivande av efter- gymnasiala yrkesutbildningar, på
Av regeringsformen framgår att det allmänna ska trygga rätten till utbildning och svara för att högre utbildning finns (1 kap. 2 § andra stycket och 2 kap. 18 § första stycket). Även av svensk grundlag kan det därmed utläsas att anordnande och bedrivande av eftergymnasiala yrkesutbildningar är en uppgift av allmänt intresse.
Därtill finns lagen om yrkeshögskolan med anslutande föreskrif- ter som innehåller närmare bestämmelser om utbildning inom yrkes- högskolan. I förarbetena till lagen om yrkeshögskolan uttalas bl.a. följande (prop. 2008/09:68 s. 14 f., 17 f. och 20).
Utbyggnaden av högre utbildning i Sverige har under de senaste åren varit stor och är en viktig del av utbildningspolitiken. Andelen personer med eftergymnasial utbildning som är tre år lång eller längre har sedan 1990 ökat från 11 till 21 procent. Trots detta finns det från arbetslivet en efterfrågan på kvalificerad yrkeskompetens som inte tillgodoses av högskolans nuvarande utbildningsutbud. Denna efterfrågan finns inom samhällets alla sektorer och den har stadigt ökat under de senaste åren. För att möta denna efterfrågan har det inom andra statliga utbildnings- former och utanför det offentliga utbildningsväsendet utvecklats utbild- ningar som kombinerar teori med praktik och aktivt lärande i arbetslivet. De kunskaper och färdigheter som en studerande förvärvar i sådan utbildning bidrar till utveckling av produktionen av varor och tjänster och därmed till ekonomisk tillväxt. Kunskaperna och färdigheterna ökar även den enskildes möjligheter till ett mera aktivt samhällsliv.
295
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
[…]
Det är regeringens uppfattning att utbildningssektorn behöver en utbildningsform på eftergymnasial nivå där arbetslivsgenererad kunskap är en huvudkomponent.
[…]
En utbildning inom yrkeshögskolan bör normalt ge en specialiserad utbildning med inriktning mot ett definierat yrkesområde och vara grundad på faktiskt definierade behov på kort sikt. Högskoleutbildning har i jämförelse en större bredd och ett större djup, och därmed ett betydligt längre perspektiv i förhållande till arbetsmarknadens behov. Båda utbildningsformerna fyller viktiga funktioner, men på olika nivåer och med olika långa perspektiv.
Utredningen bedömer således att anordnande och bedrivande av eftergymnasiala yrkesutbildningar är en uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e i dataskyddsförordningen. Frågan är då om denna uppgift är fastställd i svensk rätt.
Vad anordnande och bedrivande av eftergymnasiala yrkesutbild- ningar innebär preciseras i lagen och förordningen om yrkeshögsko- lan. Med ett fåtal undantag gäller bestämmelserna i nämnda författ- ningar för såväl offentliga som enskilda utbildningsanordnare.
Av 1 § lagen om yrkeshögskolan framgår att dess bestämmelser syftar till att inom yrkeshögskolan bl.a. säkerställa att eftergym- nasiala yrkesutbildningar som svarar mot arbetslivets behov kommer till stånd.
Enligt 5 § ska en utbildning inom yrkeshögskolan väsentligen byg- ga på de kunskaper som eleverna får på nationella program i gym- nasieskolan eller motsvarande kunskaper. Av 15 och 17 §§ framgår att en utbildning inom yrkeshögskolan ska vara öppen för alla som uppfyller behörighetsvillkoren för utbildningen. Om inte alla behö- riga sökande kan tas emot ska ett urval göras. I förordningen om yrkeshögskolan finns det i 3 kap. mer preciserade bestämmelser om behörighet och urval.
I 6 § lagen om yrkeshögskolan anges de allmänna målen för utbildningen. Enligt lagrummet ska utbildningen ha sin grund i kun- skap som genererats dels i produktionen av varor och tjänster, dels i vetenskap och utformas så att en hög kvalitet och yrkesrelevans nås. Utbildningen ska ge sådana teoretiska, praktiska och erfarenhets- baserade kunskaper som krävs för att självständigt och i arbetslag
296
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
kunna utföra kvalificerade uppgifter i arbetslivet. Utbildningen ska präglas av såväl stark arbetslivsanknytning som teoretisk förankring. Utbildningen ska utvecklas och bedrivas i samverkan mellan arbetsliv och utbildningsanordnare. Slutligen ska utbildningen bidra till att bryta traditioner i fråga om könsbundna utbildnings- och yrkesval.
I 2 kap. förordningen om yrkeshögskolan finns mer preciserade bestämmelser om utbildningen. I kapitlet finns reglering om bl.a. ut- bildningens omfattning och kurser, utbildningsplan, kursplan, betyg, tillgodoräknande, examen, examens- och utbildningsbevis. MYH får utfärda föreskrifter om utbildningsplan och kursplan. MYH har i MYHFS 2009:1 fastställt vad som ska gälla för utbildningsanordnar- nas kursplaner.
Genom lagen och förordningen om yrkeshögskolan, anslutande myndighetsföreskrifter samt bl.a. MYH:s beslut att en utbildning ska ingå i yrkeshögskolan, till vilket det ska bifogas bl.a. en utbild- ningsplan (1 kap. 4 och 5 §§ förordningen om yrkeshögskolan), finns det således tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva eftergymnasiala yrkesutbildningar innebär. Utredningen bedömer därför att det för utbildningsanord- narna finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva eftergymnasiala yrkesutbildningar. Detta innebär att samtliga åtgärder som utbildningsanordnarna före- tar i syfte att bedriva utbildningsverksamhet som har sin grund i nu nämnda författningar och beslut är att anse som utförande av en uppgift av allmänt intresse enligt dataskyddsförordningen. Någon ytterligare reglering behöver följaktligen inte införas för att utbild- ningsanordnarna ska kunna tillämpa första ledet i artikel 6.1 e för sådan personuppgiftsbehandling som är nödvändig för att utföra uppgifter och utöva verksamhet enligt lagen och förordningen om yrkeshögskolan med anslutande föreskrifter, t.ex. förordningen om behörighetsgivande förutbildning inom yrkeshögskolan, förordning- en om utbildning inom yrkeshögskolan som uppdragsutbildning och Myndigheten för yrkeshögskolans föreskrifter (MYHFS 2016:8) om studiedokumentation.
Av artikel 5.2 i dataskyddsförordningen följer att det är den per- sonuppgiftsansvarige, dvs. utbildningsanordnaren, som ska ansvara för och kunna visa att behandlingen är laglig, dvs. att det finns en rättslig grund som kan tillämpas på behandlingen. Det ankommer således på utbildningsanordnaren att bedöma om behandlingen är
297
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
nödvändig för att utföra en uppgift som har sin grund i relevanta för- fattningar, t.ex. för att utfärda examens- eller utbildningsbevis (2 kap. 15 och 16 §§ förordningen om yrkeshögskolan), och beslut meddelade med stöd av sådana författningar. Om behandlingen saknar koppling till uppgifter och verksamhet som har sin grund i för utbildnings- anordnarna relevanta författningar och beslut, kan den inte anses nöd- vändig för att utföra uppgiften att anordna och bedriva eftergym- nasiala yrkesutbildningar. Utbildningsanordnarna måste då i egenskap av personuppgiftsansvariga avgöra om första ledet i artikel 6.1 e av annat skäl kan vara tillämplig, eller om någon annan av de rättsliga grunderna i artikel 6.1 kan tillämpas på den avsedda behandlingen.
Konst- och kulturutbildningar och vissa andra utbildningar
I föregående avsnitt redovisas utredningens bedömning att anord- nande och bedrivande av eftergymnasiala yrkesutbildningar enligt lagen om yrkeshögskolan med anslutande föreskrifter och beslut meddelade med stöd av dessa är en i svensk rätt fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e och arti- kel 6.3 första stycket i dataskyddsförordningen. Utredningen anser att nämnda reglering är tydlig och precis samt att dess tillämpning är förutsägbar för de personer som omfattas av den. Frågan utred- ningen har att ta ställning till är om motsvarande gäller för de som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
Av 1 § framgår att det endast är enskilda fysiska och juridiska per- soner som omfattas av förordningens bestämmelser. Artikel 6.1 e i dataskyddsförordningen är dock inte begränsad till offentliga aktörer, även privaträttsliga organ kan utföra en uppgift av allmänt intresse.
Som konstateras i föregående avsnitt har var och en, enligt arti- kel 14.1 i Europeiska unionens stadga om de grundläggande rättig- heterna, rätt till utbildning och till tillträde till yrkesutbildning och fortbildning. Enligt 1 kap. 2 § andra stycket och 2 kap. 18 § första stycket regeringsformen ska det allmänna trygga rätten till utbild- ning och svara för att högre utbildning finns.
Av 5 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar framgår bl.a. att utbildningen ska bedri- vas på en eftergymnasial nivå. Om det behövs får det dock före-
298
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
komma inslag av gymnasial karaktär. Det är således fråga om huvud- sakligen eftergymnasiala studier. Av 3 och 4 §§ framgår vidare att en av förutsättningarna för att få stöd enligt förordningen är att utbild- ningen är en av tre olika typer.
Den första avser utbildningar som förbereder för högskoleutbild- ningar som kan leda fram till konstnärliga examina. Av avsnitt 5.3.2 framgår att utredningen anser att anordnande och bedrivande av högskoleutbildning är en i svensk rätt fastställd uppgift av allmänt intresse. Av 1 kap. 13 § högskolelagen framgår att ett tillstånd att ut- färda examina får lämnas bara om bl.a. det i ett rikstäckande per- spektiv finns ett allmänt intresse av att examina får utfärdas. Utbild- ningar enligt förordningen om stöd för konst- och kulturutbild- ningar och vissa andra utbildningar ska således bl.a. förbereda för högskoleutbildning som kan leda fram till en konstnärlig examina som det enligt svensk rätt finns ett allmänt intresse av att sådana exa- mina utfärdas. I MYH:s statistiska årsrapport 2016 anges bl.a. att konkurrensen om platserna på konstnärliga utbildningar inom hög- skolan är så hög att de sökande i praktiken måste ha genomgått någon slags förberedande utbildning för att klara antagningsproven som ofta består av arbetsprover eller auditions (s. 90). Enligt utred- ningens bedömning är anordnande och bedrivande av sådana utbild- ningar som förbereder för högskoleutbildningar som kan leda fram till konstnärliga examina därmed en uppgift av allmänt intresse.
En annan typ av utbildning som omfattas av förordningens bestämmelser är, enligt 4 §, sådan utbildning som medverkar till att utveckla ett kvalificerat yrkeskunnande inom det konstnärliga eller kulturella området. Det är således en form av eftergymnasial yrkes- utbildning som, liksom övriga utbildningar enligt förordningen, står under statlig tillsyn och som kan berättiga till statsbidrag och de stu- derande till studiestöd. Enligt utredningens bedömning är även anordnande och bedrivande av sådana utbildningar som medverkar till att utveckla ett kvalificerat yrkeskunnande inom det konstnärliga eller kulturella området därmed en uppgift av allmänt intresse.
Den tredje och sista typen av utbildningar som omfattas av be- stämmelserna i förordningen om stöd för konst- och kulturutbild- ningar och vissa andra utbildningar är, enligt 4 §, sådana som har ett innehåll som syftar till att bevara eller utveckla kulturarvet. I fråga om kulturarvet uttalar regeringen i förarbetena till förslag till musei- lag bl.a. följande (prop. 2016/17:116 s. 63 f.).
299
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
Utöver dess kollektiva funktioner är kulturarvet också en outtömlig resurs i enskilda människors strävan efter att förstå sig själva i större sammanhang och i tiden. Kulturarvet kan användas för att utveckla kun- skaper och förmågor som berikar livet och gör det möjligt att förhålla sig till den egna samtiden på nya sätt. Ett aktivt utbildnings- och bild- ningsarbete behövs också för att ge enskilda möjlighet att skapa reflek- terande förhållningssätt till samhällets kollektiva minnen och till de berättelser om ursprung och tillhörighet vi alla är omgivna av. I kultur- arvsarbetet skapas kontinuerligt ny kunskap om det förflutna, om sam- tiden och om vart vi som samhälle är på väg.
[…]
På ett personligt plan framträder kulturarvets värden egentligen först genom försök att tillägna sig det. För att alla ska få förutsättningar att möta kulturarvet på detta sätt är det centralt att barn och unga, oavsett föräldrarnas bakgrund, får en god grund att stå på redan under utbild- ningstiden. I vuxen ålder är det viktigt att ha förvärvat vissa kunskaper och färdigheter för att det inte ska finnas höga trösklar att ta sig över för att få tillgång till den gemensamma historien. Vidare är det centralt att studenter fortsätter att söka sig till ämnesområden som i särskilt hög grad bidrar till en förståelse av kulturarvets betydelse – typiskt sett de traditionella humanistiska ämnena – vid landets universitet och högskolor.
[…]
Ett aktivt förhållningssätt till kulturarvet kan dock bidra till bildning i kvalificerad bemärkelse just genom att det – utöver sakkunskaper om äldre tid – öppnar upp nya perspektiv, vidgar horisonter och sätter det invanda i fråga. På så vis övar det förmågor som för den enskilde är till nytta i många sammanhang och som bidrar till samhällets utveckling.
[…]
Det har ofta påpekats att kulturarvet i Sverige inte enbart ligger i svens- ka medborgares intresse, utan att dessa kulturuttryck snarare måste ses som en del av den samlade kulturella mångfalden och rikedomen i värl- den.
Av uttalandena framgår det enligt utredningens uppfattning att kul- turarvets bevarande och utvecklande är av mycket stort värde och att det är mycket viktigt att studerande söker sig till sådana utbildning- ar. Även i fråga om anordnande och bedrivande av sådana utbild- ningar är det därmed fråga om en uppgift av allmänt intresse.
Sammantaget anser utredningen således att anordnande och bedri- vande av de tre olika typer av utbildningar som kan få stöd genom
300
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
bestämmelserna i förordningen om stöd för konst- och kulturut- bildningar och vissa andra utbildningar är en uppgift av allmänt intresse. Frågan härefter är om denna uppgift är fastställd i svensk rätt i enlighet med artikel 6.3 första stycket i dataskyddsförordningen.
I förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar preciseras vad det innebär att anordna och bedriva utbildningarna.
Av 5 § framgår att utbildningen bl.a. ska ge en teoretisk förank- ring inom det konstnärliga eller kulturella området och vila på veten- skaplig eller konstnärlig grund eller på beprövad erfarenhet. Behörig att antas till utbildningen är, enligt 24 §, den som har genomgått gym- nasieskolan eller gymnasiesärskolan eller motsvarande utbildning. Behörig att antas är också den som annars bedöms kunna tillgodo- göra sig utbildningen. Därutöver får utbildningsanordnaren ställa krav på särskilda förkunskaper.
Vidare ska utbildningen, enligt 12 §, bedrivas i form av en eller flera kurser. För varje utbildning ska det, enligt 13 §, finnas en utbild- ningsplan. Av planen ska framgå bl.a. utbildningens mål och inrikt- ning samt de kurser som ingår i utbildningen, antalet timmar lärar- eller handledarledd verksamhet som utbildningen omfattar, i före- kommande fall de krav på särskilda förkunskaper som ställs upp, de grunder och metoder som ska användas vid urval bland behöriga sökande till utbildningen, hur behörighetsbedömningar, urval, antag- ning, kunskapskontroll och studieresultat samt arkivering av studie- resultat ska dokumenteras. För varje kurs ska det, enligt 14 §, vidare finnas en kursplan. Av kursplanen ska framgå kursens benämning, målen för kursen, kursens huvudsakliga innehåll, om kursen helt eller delvis ges på engelska, de former för kunskapskontroll som ska tillämpas, och om betyg ska sättas på kursen och i så fall de principer för betygssättning som ska tillämpas. I
I förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med anslutande föreskrifter finns det således tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva sådana utbildningar innebär. Utredningens
301
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
bedömning är därför att det för utbildningsanordnarna finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva dessa utbildningar. Samtliga åtgärder som utbildnings- anordnarna företar i syfte att bedriva utbildningsverksamhet som har sin grund i den nämnda författningen, anslutande myndighetsföre- skrifter och beslut meddelade med stöd av dessa är därmed att anse som utförande av en uppgift av allmänt intresse enligt första ledet i artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering behöver följaktligen inte införas för att utbildningsanordnarna ska kunna tillämpa nämnda grund för sådan personuppgiftsbehandling som är nödvändig för att utföra uppgifter eller utöva verksamhet som har sin grund i förordningen om stöd för konst- och kulturutbild- ningar och vissa andra utbildningar med anslutande myndighetsföre- skrifter.
Avslutningsvis bör det åter betonas att det av artikel 5.2 i data- skyddsförordningen följer att det är den personuppgiftsansvarige, dvs. utbildningsanordnaren, som ska ansvara för och kunna visa att behandlingen är laglig, dvs. att det finns en rättslig grund som kan tillämpas på behandlingen. Det ankommer således på utbildnings- anordnaren att bedöma om behandlingen är nödvändig för att utföra en uppgift eller utöva verksamhet som har sin grund i den aktuella författningen och anslutande föreskrifter. Om behandlingen saknar sådan koppling kan den inte anses nödvändig för att utföra uppgiften att anordna och bedriva den aktuella utbildningen. Utbildnings- anordnaren måste då i egenskap av personuppgiftsansvarig avgöra om första ledet i artikel 6.1 e av annat skäl kan vara tillämplig, eller om någon annan av de rättsliga grunderna i artikel 6.1 kan tillämpas på den avsedda behandlingen.
Ändamålet med behandlingen måste vara nödvändigt
Det bör betonas att rättslig grund inte är en tillräcklig förutsättning för att behandling av personuppgifter ska vara tillåten. I artikel 5.1 b i dataskyddsförordningen anges bl.a. att personuppgifterna ska sam- las in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med des- sa ändamål. Principen om att ändamålen ska vara berättigade utgör i likhet med principen om laglighet en direkt koppling till de rättsliga
302
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
grunderna i artikel 6.1. Ett ändamål som inte är berättigat i förhål- lande till den tillämpliga rättsliga grunden är således inte förenligt med artikel 5.1 b.
Kopplingen mellan den rättsliga grunden i artikel 6.1 e och kra- vet på särskilda, uttryckligt angivna och berättigade ändamål för- stärks genom artikel 6.3 andra stycket. Där anges att syftet med behandlingen i fråga om behandling enligt punkt 6.1 e, dvs. bl.a. upp- gift av allmänt intresse, ska vara nödvändigt för att utföra uppgiften.
Enligt Dataskyddsutredningen ställer förordningen inte något krav på att ändamålen ska vara fastställda i författning. Dataskydds- utredningen anser följaktligen att ändamålet med behandlingen inte behöver framgå av det sammanhang där uppgiften av allmänt intresse fastställs. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. Bestämmelsen i artikel 6.3 andra stycket uttrycker således det samband som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de särskilda ändamålen för behandlingen, vilket i normalfallet är den personuppgiftsansvarige (SOU 2017:39, avsnitt 8.3.4).
Även om nödvändiga ändamål för utförandet av uppgiften att anordna och bedriva en utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar inte behöver framgå av författning, är det genom bestämmelser i för utbildningarna relevanta författningar nödvändigt att behandla personuppgifter för vissa ändamål. Dessa ändamål är därmed nödvändiga för utförandet av uppgiften att anordna och be- driva aktuella utbildningar.
Som exempel kan nämnas att en utbildning inom yrkeshögskolan ska vara öppen för alla som uppfyller behörighetsvillkoren för utbild- ningen. Om inte alla behöriga sökande till en utbildning kan tas emot ska ett urval göras. Detta framgår av 15 och 17 §§ lagen om yrkeshögskolan. Vid urval till tillträde till utbildning får, enligt 3 kap. 6 § förordningen om yrkeshögskolan, en eller flera av urvalsgrun- derna betyg, särskilt prov, tidigare utbildning och yrkeserfarenhet användas. Mot bakgrund av nämnda bestämmelser måste det därmed kunna anses nödvändigt, i unionsrättslig mening, för utbildnings- anordnarna inom yrkeshögskolan att samla in och behandla per- sonuppgifter i syfte att rangordna sökandena. Detta ändamål är där-
303
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
med nödvändigt för att utföra uppgiften att anordna och bedriva eftergymnasial yrkesutbildning.
Motsvarande ändamål för de som anordnar och bedriver utbild- ning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan utläsas av 13 § i nämnda författning. Enligt bestämmelserna där ska det för varje utbildning finnas en utbildningsplan. Av utbildningsplanen ska det framgå bl.a. de grun- der och metoder som ska användas vid urval bland behöriga sökande till utbildningen. Även för dessa utbildningsanordnare är det således nödvändigt att samla in och behandla personuppgifter för det nöd- vändiga syftet att rangordna sökandena.
Vidare ska, enligt 2 kap. 10 § förordningen om yrkeshögskolan, betyg sättas på en genomförd kurs. Enligt 5 § i MYH:s föreskrifter om studiedokumentation ska uppgifter om de studerandes resultat rapporteras till myndigheten genom en av myndigheten tillhanda- hållen digital plattform eller tjänst. Det måste därmed anses nödvän- digt att behandla personuppgifter i syfte att kontrollera att de stude- rande har genomfört obligatoriska moment, för att mäta och värdera de studerandes prestationer och kunskapsnivå samt för att fullgöra uppgiftsskyldigheten. Dessa ändamål är därmed också nödvändiga för fullgörandet av uppgiften att anordna och bedriva utbildningar inom yrkeshögskolan.
Av 15 och 16 §§ förordningen om stöd för konst- och kulturut- bildningar och vissa andra utbildningar framgår att det efter en genomförd kurs ska sättas ett betyg eller utfärdas ett intyg. Även för dessa utbildningsanordnare är det därmed nödvändigt att behandla personuppgifter för det nödvändiga syftet att kontrollera att de stu- derande har genomfört obligatoriska moment och för att mäta och värdera de studerandes prestationer och kunskapsnivå.
Ovan beskrivs endast några exempel på sådana behandlingar som kan vara nödvändiga för ändamål som i sin tur är nödvändiga för att utbildningsanordnarna ska kunna utföra de uppgifter och utöva sådan verksamhet som ryms inom ramen för uppgiften av allmänt intresse, dvs. att anordna och bedriva utbildningar inom yrkeshög- skolan eller enligt förordningen om stöd för konst- och kultur- utbildningar och vissa andra utbildningar. En uttömmande uppräk- ning är av naturliga skäl inte möjlig att presentera. Det är därför viktigt att betona att det, enligt artikel 5.2 i dataskyddsförordningen,
304
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
är den personuppgiftsansvarige som ska ansvara för och kunna visa att uppgifter behandlas för berättigade och nödvändiga ändamål.
6.3.3Myndighetsutövning
Bedömning: Utbildningsanordnarna inom yrkeshögskolan vidtar vissa åtgärder med stöd av lagen om yrkeshögskolan och anslu- tande föreskrifter som innefattar myndighetsutövning gentemot en studerande, t.ex. examination. Det är i dessa situationer möjligt för utbildningsanordnarna att tillämpa den rättsliga grunden i andra ledet i artikel 6.1 e i dataskyddsförordningen för sådan be- handling som är nödvändig som ett led i myndighetsutövningen. Även första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, kan tillämpas vid sådan behandling. Något behov av ytterligare reglering finns inte.
De som anordnar och bedriver sådan utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har i sin verksamhet inslag som liknar myndighetsutövning. Eftersom bestämmelserna inte finns i lag- form utan i en förordning, är det dock inte enligt svensk rätt fastställt att de har myndighetsutövande befogenheter. Dessa ut- bildningsanordnare kan för sin personuppgiftsbehandling därmed inte tillämpa andra ledet i artikel 6.1 e i dataskyddsförordningen. Anordnarna av utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan i stället tillämpa första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, för sådan behandling. Något behov av ytterligare reglering finns inte.
Enligt andra ledet i artikel 6.1 e i dataskyddsförordningen får per- sonuppgifter behandlas om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Av artikel 6.3 första stycket framgår att rätten att utöva myndighet ska vara fast- ställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Dataskydds- utredningen föreslår en bestämmelse i 2 kap. 4 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig som ett led
305
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning. Enligt artikel 6.3 andra stycket i dataskyddsför- ordningen ska syftet med behandlingen vara nödvändigt som ett led i den personuppgiftsansvariges myndighetsutövning. Ändamålet behö- ver således inte framgå av det sammanhang där den myndighets- utövande befogenheten fastställs. Ändamålet med behandlingen mås- te dock vara nödvändigt som ett led i myndighetsutövningen. För tillämpningen av den rättsliga grunden myndighetsutövning gäller således motsvarande krav som för den rättsliga grunden uppgift av allmänt intresse.
Begreppet myndighetsutövning har en unionsrättslig innebörd. Enligt Dataskyddsutredningen bör man till dess annat framkommer kunna utgå från att det som i Sverige brukar anses som myndighets- utövning faller in under begreppet. Myndighetsutövning karaktä- riseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befogenheten till myndighetsutövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndi- ganden från de högsta statsorganen. Utanför begreppet myndig- hetsutövning faller råd, upplysningar och faktiskt handlande som inte innebär tvång mot den enskilde (SOU 2017:39, avsnitt 8.3.3).
Enligt 14 § andra stycket lagen om yrkeshögskolan får utbild- ningsanordnaren utfärda utbildningsbevis och examensbevis. I samma stycke bemyndigas regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om utbildningsbevis och exa- mensbevis. Av 2 kap. 15 och 16 §§ förordningen om yrkeshögskolan framgår att den studerande under vissa förutsättningar ska få ett exa- mensbevis eller ett utbildningsbevis. Av 4 kap. 2 § framgår att det är ledningsgruppen som ska utfärda dessa bevis. Enligt 8 kap. 2 § första stycket får ett beslut av ansvarig utbildningsanordnare om avslag på en studerandes begäran att få examensbevis eller utbildningsbevis överklagas till Överklagandenämnden för högskolan. Ytterligare exempel på myndighetsutövning är statliga universitets och högsko- lors prövning av behörighet och tillgodoräknande. Dessa beslut är överklagbara enligt 8 kap. 2 § andra stycket.
Verksamheten hos de som anordnar och bedriver utbildning inom yrkeshögskolan omfattar därmed i vissa delar myndighetsutövning som är fastställd i svensk rätt. Nödvändig personuppgiftsbehandling i samband med dessa moment kan därmed grunda sig på andra ledet i
306
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
artikel 6.1 e i dataskyddsförordningen. Det bör åter betonas att en ytterligare förutsättning för att kunna tillämpa myndighetsutövning som rättslig grund för behandlingen är att också syftet med behand- lingen är nödvändigt. Det är den personuppgiftsansvarige som ska ansvara för och kunna visa att behandlingen är laglig och att ända- målet är berättigat och nödvändigt (artikel 5.2 i dataskyddsförord- ningen). Om inte andra ledet i artikel 6.1 e är tillämpligt bedömer utredningen att första ledet i nämnda artikel, dvs. uppgift av allmänt intresse, kan vara tillämpligt eftersom t.ex. examination enligt till- lämpliga författningar omfattas av uppgiften att anordna och bedriva utbildning inom yrkeshögskolan.
De som anordnar och bedriver sådan utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska sätta betyg eller utfärda intyg. De ska vidare utfärda utbildningsbevis om en studerande begär det. Detta framgår av förordningens bestämmelser i
Av 12 kap. 4 § andra stycket regeringsformen framgår att förvalt- ningsuppgifter kan överlämnas åt juridiska personer och enskilda individer. Innefattar uppgiften myndighetsutövning får ett överläm- nande dock endast göras med stöd av lag. Bestämmelserna om konst- och kulturutbildningar och vissa andra utbildningar finns inte i lag- form utan i en förordning. Enligt utredningens uppfattning är det därmed inte i svensk rätt fastställt att anordnarna av sådan utbildning som omfattas av förordningen om stöd för konst- och kulturutbild- ningar och vissa andra utbildningar har getts myndighetsutövande befogenheter. Dessa utbildningsanordnare kan därmed inte tillämpa andra ledet i artikel 6.1 e i dataskyddsförordningen för sin person- uppgiftsbehandling. Enligt utredningens mening utgör detta dock inte något problem. Liksom utbildningsanordnarna inom yrkeshög- skolan har de som anordnar konst- och kulturutbildningar och vissa andra utbildningar i stället möjlighet att tillämpa första ledet i arti- kel 6.1 e, dvs. uppgift av allmänt intresse, även för sådan verksamhet som liknar myndighetsutövning.
307
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
6.3.4Rättslig förpliktelse
Bedömning: I svensk rätt finns det fastställda rättsliga förplik- telser som åvilar de som anordnar och bedriver utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar och som gör det nödvändigt att behandla personuppgifter. Den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen kan då tillämpas. Något behov av ytterligare reglering finns inte.
I dessa fall kan även den rättsliga grunden i första ledet i arti- kel 6.1 e, dvs. uppgift av allmänt intresse, vara tillämplig.
Enligt artikel 6.1 c i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Av artikel 6.3 första stycket framgår att den rättsliga förpliktelsen ska vara fast- ställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
Dataskyddsutredningen bedömer att förpliktelsen inte nödvän- digtvis måste framgå av en författning eller liknande. Rättsliga för- pliktelser kan också framgå av exempelvis förelägganden, myndig- hetsbeslut och domar som har meddelats med stöd av gällande rätt. Dataskyddsutredningen har därför föreslagit en bestämmelse i 2 kap. 3 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som bl.a. gäller enligt lag eller annan författ- ning eller som följer av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.2).
Enligt artikel 6.3 andra stycket första meningen i dataskydds- förordningen ska syftet med behandlingen fastställas i den rättsliga grunden. Syftet med behandlingen ska alltså vara bestämd av den författning, beslut m.m. som anger eller ger stöd för förpliktelsen.
Dataskyddsutredningen anser att en förpliktelse som är alltför svepande och ger den personuppgiftsansvarige en alltför stor hand- lingsfrihet i fråga om hur den ska uppfyllas, inte utgör en rättslig grund för behandling av personuppgifter. Den rättsliga förpliktelsen måste således i sig vara tillräckligt tydlig när det gäller den behand- ling av personuppgifter som krävs (SOU 2017:39, avsnitt 8.3.2).
308
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
Enligt 2 kap. 15 och 16 §§ förordningen om yrkeshögskolan ska den studerande på begäran under vissa förutsättningar få ett exa- mensbevis eller ett utbildningsbevis. Av 17 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar fram- går att en studerande som avslutat en utbildning på begäran ska få ett utbildningsbevis av den ansvariga utbildningsanordnaren. Nämnda förpliktelser för utbildningsanordnarna förutsätter att i vart fall namn och personnummer behandlas för att respektive bevis ska kun- na utfärdas. Detta är enligt utredningens bedömning därmed exem- pel på rättsliga förpliktelser som är tillräckligt tydliga för att nöd- vändig personuppgiftsbehandling ska kunna ske med stöd av arti- kel 6.1 c i dataskyddsförordningen.
Ytterligare exempel på rättsliga förpliktelser finns i MYH:s före- skrifter om studiedokumentation, som MYH föreskrivit med stöd av 2 kap. 17 § andra stycket förordningen om yrkeshögskolan. Av bestämmelserna i föreskrifterna framgår att utbildningsanordnarna inom yrkeshögskolan ska dokumentera ett flertal uppgifter om de studerande och deras studieresultat samt rapportera dessa uppgifter till MYH.
På utbildningsanordnarna inom yrkeshögskolan och de som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar åvilar det därmed vissa rättsliga förpliktelser. Förpliktelserna är fastställda genom be- stämmelser i svensk rätt och av dessa framgår det för vilka ändamål det är nödvändigt att behandla personuppgifter. Den rättsliga grun- den i artikel 6.1 c är därmed tillämplig på sådana behandlingar.
Även i dessa fall kan, enligt utredningens uppfattning, första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, tillämpas för den nöd- vändiga personuppgiftsbehandlingen, eftersom fullgörandet av för- pliktelserna också ingår i uppgiften att anordna och bedriva ut- bildningar inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Det torde därför vara i undantagsfall som artikel 6.1 c behöver tillämpas av utbildningsanordnarna.
309
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
6.3.5Intresseavvägning
Bedömning: Enskilda utbildningsanordnare inom yrkeshögsko- lan och de som anordnar utbildningar som omfattas av förord- ningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan för sin personuppgiftsbehandling använda sig av den rättsliga grunden i artikel 6.1 f i dataskyddsförordningen, dvs. för sådan behandling som är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intres- sen, om inte den registrerades intressen eller grundläggande rät- tigheter och friheter väger tyngre och kräver skydd av person- uppgifter.
Nämnda rättsliga grund skulle kunna vara tillämplig när det är tveksamt om den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, är tillämplig. Eftersom det för ovan nämnda utbildningsanordnare finns en i svensk rätt fast- ställd uppgift av allmänt intresse att anordna och bedriva aktuella utbildningar är det endast i undantagsfall som den rättsliga grun- den i artikel 6.1 f behöver tillämpas.
Enligt artikel 6.1 f i dataskyddsförordningen är behandling laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.
Av artikel 6.1 andra stycket framgår att denna grund inte gäller för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom offentliga utbildningsanordnare inom yrkes- högskolan är myndigheter som fullgör sina uppgifter när de anordnar och bedriver utbildning enligt lagen om yrkeshögskolan med anslu- tande föreskrifter, kan de inte tillämpa den rättsliga grunden i arti- kel 6.1 f för sin personuppgiftsbehandling. Det är således endast de enskilda utbildningsanordnarna inom yrkeshögskolan och de som an- ordnar utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar som kan använ- da sig av artikel 6.1 f som grund för sin personuppgiftsbehandling.
Dataskyddsutredningen bedömer att den rättsliga grunden i arti- kel 6.1 f, intresseavvägning, ofta är möjlig att tillämpa när det är tvek-
310
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
samt om den verksamhet som en privaträttslig aktör bedriver är av allmänt intresse (SOU 2017:39, avsnitt 8.3.4).
I avsnitt 6.3.2 bedömer utredningen att anordnande och bedri- vande av utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbild- ningar är en i svensk rätt fastställd uppgift av allmänt intresse. Arti- kel 6.1 e är inte begränsad till offentliga aktörer, även privaträttsliga organ kan utföra en uppgift av allmänt intresse. Enligt utredningens uppfattning bör den rättsliga grunden i artikel 6.1 f därmed sällan bli aktuell att tillämpa av utbildningsanordnarna i sådan verksamhet som omfattas av lagen om yrkeshögskolan med anslutande föreskrifter och förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med anslutande myndighetsföreskrifter.
6.3.6Samtycke
Bedömning: De som anordnar och bedriver utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan i viss utsträck- ning använda sig av samtycke som rättslig grund för sin person- uppgiftsbehandling.
Enligt artikel 6.1 a i dataskyddsförordningen är behandling laglig om den registrerade har lämnat sitt samtycke till att dennes personupp- gifter behandlas för ett eller flera specifika ändamål.
Med samtycke avses enligt artikel 4.11 varje slag av frivillig, speci- fik, informerad och otvetydig viljeyttring, genom vilken den registre- rade, antingen genom ett uttalande eller genom en entydig bekräftan- de handling, godtar behandling av personuppgifter som rör honom eller henne.
Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Det kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (se skäl 32 till förordningen).
311
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör enligt skäl 42 tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgif- terna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.
Enligt skäl 43 till dataskyddsförordningen bör samtycke inte ut- göra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registre- rade och den personuppgiftsansvarige, särskilt om den personupp- giftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
Någon sådan skrivning finns inte i skälen till dataskyddsdirek- tivet, men mot bakgrund av att definitionen av samtycke i princip är densamma och de uttalanden som gjorts av bl.a. Artikel
Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offent- ligrättsligt reglerade. Det finns dock en omfattande reglering för verksamheten inom yrkeshögskolan. Även för utbildningar som om- fattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns det en tydlig reglering. Behovet av att använda samtycke som rättslig grund torde, enligt utredningens bedömning, därmed vara ytterst begränsat för utbildningsanordnar- na. Om behandlingen grundar sig på samtycke ska den personupp-
1 Artikel
312
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
giftsansvarige, enligt artikel 7.1, kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.
6.3.7Sammanfattning
Artikel 5 i dataskyddsförordningen innehåller bestämmelser om prin- ciperna för behandling av personuppgifter. Enligt 5.1 a ska person- uppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhål- lande till den registrerade. I artikel 6.1 anges att behandling av per- sonuppgifter är laglig endast om och i den mån som åtminstone ett av de i bestämmelsen angivna villkoren är uppfyllt.
Utredningen har i de föregående avsnitten kommit fram till att de som anordnar och bedriver utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan tillämpa flera olika rättsliga grunder i artikel 6.1 i dataskyddsförordningen till stöd för sin personuppgifts- behandling. I vissa situationer kan dessutom flera rättsliga grunder vara tillämpliga samtidigt var för sig.
De rättsliga grunder som kan vara tillämpliga är samtycke (a), rättslig förpliktelse (c) eller uppgift av allmänt intresse eller myndig- hetsutövning (e). De som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbild- ningar kan dock inte tillämpa den rättsliga grunden myndighetsutöv- ning. Vidare kan enskilda utbildningsanordnare inom yrkeshögsko- lan och anordnare av sådan utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbild- ningar tillämpa den rättsliga grunden intresseavvägning (f).
Den rättsliga grund som främst blir aktuell för samtliga utbild- ningsanordnare att tillämpa är dock första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, eftersom uppgiften att anordna och be- driva utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är en i svensk rätt fastställd uppgift av allmänt intresse.
När dataskyddsförordningen ska börja tillämpas kan ändamåls- enlig och nödvändig personuppgiftsbehandling, som samtidigt skyd- dar den enskildes fri- och rättigheter, för utbildningsanordnarnas del därmed ske med stöd av bestämmelserna i artikel 6 i dataskyddsför- ordningen. Något regleringsbehov aktualiseras följaktligen inte för
313
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
att utbildningsanordnarna ska kunna tillämpa ovan nämnda rättsliga grunder.
6.4Känsliga personuppgifter och uppgifter som rör lagöverträdelser
6.4.1Utredningens uppdrag i denna del
I utredningens direktiv konstateras att det inom utbildningsområdet i vissa fall är nödvändigt att behandla känsliga personuppgifter. Upp- draget i denna del är därför att analysera om det, utöver dataskydds- förordningen och den generella reglering som Dataskyddsutred- ningen föreslagit, finns ett behov av kompletterande regleringar för den behandling av känsliga personuppgifter som utförs av utbild- ningsanordnarna inom yrkeshögskolan eller av de som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbild- ningar och vissa andra utbildningar. Utredningen ska även lämna de författningsförslag som behövs.
Något specifikt uppdrag i fråga om behandling av uppgifter om lagöverträdelser har inte getts utredningen. Eftersom utredningen ska föreslå kompletterande regleringar som ska möjliggöra en ända- målsenlig behandling som samtidigt skyddar den enskildes fri- och rättigheter, ingår det dock i uppdraget att också analysera behovet av reglering i denna del.
Enligt artikel 10 i dataskyddsförordningen får behandling av per- sonuppgifter som rör bl.a. fällande domar i brottmål endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Det finns således ett förbud för enskilda att behandla personupp- gifter som rör fällande domar i brottmål, om inte behandlingen kan anses stå under en myndighets kontroll eller den nationella rätten medger sådan behandling.
Även om personuppgifter som rör fällande domar i brottmål inte är en känslig uppgift, torde behandling av sådana uppgifter allmänt kunna anses som integritetskänslig. Utredningen anser därför att behovet av reglering i denna del lämpligen bör behandlas i samma avsnitt som behandling av känsliga personuppgifter.
314
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
6.4.2Behov av att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål
Utbildningsanordnarna inom yrkeshögskolan och de som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbild- ningar och vissa andra utbildningar kan behöva behandla känsliga personuppgifter i ett flertal olika sammanhang. Med hänsyn till att det är ett stort antal utbildningsanordnare är det inte möjligt att ge en uttömmande beskrivning av samtliga sådana behandlingar. Nedan lämnas därför en redogörelse för de behandlingar av känsliga person- uppgifter som i huvudsak förekommer hos utbildningsanordnarna. Även behandling av personuppgifter som rör fällande domar i brott- mål redogörs för nedan.
Studerande med funktionsnedsättning
Enligt 2 kap. 5 § diskrimineringslagen (2008:567) får den som bedri- ver verksamhet som avses i skollagen eller annan utbildningsverk- samhet inte diskriminera något barn eller någon elev, student eller studerande som deltar i eller söker till verksamheten.
Annan utbildningsverksamhet syftar på flera olika former av ut- bildning, bl.a. eftergymnasiala yrkesutbildningar inom yrkeshögsko- lan och utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar (prop. 2013/14:198 s. 77).
Med diskriminering avses enligt 1 kap. 4 § bl.a. bristande tillgäng- lighet. Med bristande tillgänglighet avses att en person med en funk- tionsnedsättning missgynnas genom att sådana åtgärder för tillgäng- lighet inte har vidtagits för att den personen ska komma i en jämförbar situation med personer utan denna funktionsnedsättning som är skäliga utifrån krav på tillgänglighet i lag och annan författning och med hänsyn till de ekonomiska och praktiska förutsättningarna, var- aktigheten och omfattningen av förhållandet eller kontakten mellan verksamhetsutövaren och den enskilde samt andra omständigheter av betydelse.
Förbudet mot diskriminering innebär att även åtgärder i fråga om annat än den fysiska miljön kan krävas. Sådana åtgärder bör kunna handla om stöd eller personlig service samt om information och kom- munikation (prop. 2013/14:198 s. 78 f.).
315
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
För utbildningsanordnare inom yrkeshögskolan finns det en bestämmelse i förordningen om yrkeshögskolan som kompletterar bestämmelserna i diskrimineringslagen. Av 2 kap. 3 § framgår att den ansvariga utbildningsanordnaren ska se till att de studerande som behöver särskilt pedagogiskt stöd i utbildningen får sådant stöd. Av 5 § förordningen om utbildning inom yrkeshögskolan som upp- dragsutbildning följer att detta även gäller för anordnare av upp- dragsutbildningar. Skyldigheten gäller samtliga huvudmän, dvs. även för enskilda utbildningsanordnare. För utbildningar inom yrkes- högskolan får vidare, enligt 5 kap. 2 § förordningen om yrkeshög- skolan, statsbidrag lämnas till kommuner, landsting eller enskilda fysiska eller juridiska personer för kostnader för särskilt pedagogiskt stöd till studerande med funktionsnedsättning. För sådana kostnader får enligt samma paragraf särskilda medel lämnas till universitet eller högskolor som har staten som huvudman och som omfattas av hög- skolelagen. Enligt 5 kap. 4 § är det MYH som beslutar om statsbidrag eller särskilda medel. Av 5 § förordningen om utbildning inom yrkes- högskolan som uppdragsutbildning följer att denna möjlighet att få statsbidrag respektive särskilda medel inte gäller för anordnare av uppdragsutbildningar.
För anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är 30 § i nämnda förordning av intresse. Av bestämmelsen framgår att MYH får lämna extra statsbidrag för nödvändiga stödinsatser för studerande med funktionsnedsättning.
För de som anordnar utbildning inom yrkeshögskolan eller sådan utbildning som avses i förordningen om stöd för konst- och kultur- utbildningar och vissa andra utbildningar finns således en skyldighet att vidta skäliga åtgärder för att se till så att personer med en funk- tionsnedsättning också kan delta i undervisningen. Ett sätt att uppfylla denna skyldighet är att erbjuda särskilt pedagogiskt stöd. Exempel på sådant stöd kan vara anteckningsstöd, extra handledning, teckenspråkstolkning och anpassade examinationer. I samband med ansökningar om särskilt pedagogiskt stöd och när beslutade stödåt- gärder ska verkställas behandlar utbildningsanordnarna därmed käns- liga personuppgifter i form av uppgifter om hälsa. Känsliga person- uppgifter kan även behöva behandlas i samband med att utbildnings- anordnarna hos MYH ansöker om statsbidrag eller särskilda medel för kostnader för stöd till studerande med funktionsnedsättning.
316
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
Anstånd och studieuppehåll
I 24 a § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar anges att om det finns särskilda skäl, får utbildningsanordnaren i enskilda fall besluta att den som är antagen till utbildningen får anstånd med att påbörja studierna eller fortsätta sina studier efter studieuppehåll. Med stöd av bestämmelsen kan en utbildningsanordnare således besluta om t.ex. anstånd med hänsyn till hälsoskäl. Känsliga personuppgifter kan därmed behöva behandlas i samband med ärenden om anstånd och studieuppehåll.
För utbildningsanordnare inom yrkeshögskolan saknas det en motsvarande reglering om anstånd och studieuppehåll. Det finns dock inget som hindrar att dessa anordnare har egna regelverk i sådana frågor som innebär att känsliga personuppgifter behöver behandlas.
Trakasserier och sexuella trakasserier
Av 2 kap. 7 § diskrimineringslagen framgår att om en utbildnings- anordnare får kännedom om att bl.a. en studerande som deltar i eller söker till utbildningsanordnarens verksamhet anser sig i samband med verksamheten ha blivit utsatt för trakasserier eller sexuella tra- kasserier, är utbildningsanordnaren skyldig att utreda omständighe- terna kring de uppgivna trakasserierna och i förekommande fall vidta de åtgärder som skäligen kan krävas för att förhindra trakasserier i framtiden.
Med utbildningsanordnare avses bl.a. den som bedriver eftergym- nasiala yrkesutbildningar enligt lagen om yrkeshögskolan och utbild- ningar som avses i förordningen om stöd för konst- och kultur- utbildningar och vissa andra utbildningar (jfr prop. 2007/08:95 s. 506 och 509 samt prop. 2013/14:198 s. 77).
Vad som avses med trakasserier framgår av 1 kap. 4 § diskrimi- neringslagen. Enligt lagens definition är trakasserier ett uppträdan- de som kränker någons värdighet och som har samband med någon av diskrimineringsgrunderna kön, könsöverskridande identitet eller uttryck, etnisk tillhörighet, religion eller annan trosuppfattning, funktionsnedsättning, sexuell läggning eller ålder. Av samma lagrum framgår att med sexuella trakasserier avses ett uppträdande av sexuell natur som kränker någons värdighet.
317
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
Enligt 2 kap. 7 § diskrimineringslagen finns det således en skyldig- het för utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kultur- utbildningar och vissa andra utbildningar att utreda trakasserier och vidta de åtgärder som skäligen kan krävas för att förhindra trakas- serier i framtiden. Mot bakgrund av hur trakasserier och sexuella trakasserier definieras i 1 kap. 4 § kan känsliga personuppgifter behö- va behandlas i samband med sådana utredningar och ärenden.
Avskiljande av studerande från utbildning
Enligt 19 § lagen om yrkeshögskolan får en studerande tills vidare avskiljas från en utbildning som anordnas av staten, en kommun eller ett landsting om han eller hon lider av psykisk störning, missbrukar alkohol eller narkotika eller har gjort sig skyldig till allvarlig brotts- lighet. Som ytterligare förutsättning för ett avskiljande gäller att det, till följd av något av nämnda förhållanden, bedöms finnas en påtaglig risk att den studerande kan komma att skada någon annan person eller värdefull egendom under utbildningen.
I 7 kap. förordningen om yrkeshögskolan finns kompletterande bestämmelser om avskiljande av studerande. Av 1 § framgår bl.a. att frågor om avskiljande prövas av Högskolans avskiljandenämnd enligt
Som framgår ovan gäller bestämmelserna om avskiljande inte för enskilda utbildningsanordnare inom yrkeshögskolan. I förarbetena till lagen om yrkeshögskolan uttalar regeringen att motsvarande frå- gor, när det handlar om utbildning med enskild huvudman, bör reg- leras i civilrättsliga former. Enligt regeringen kan det inom yrkeshög- skolan handla om att enskilda utbildningsanordnare tecknar ett skriftligt avtal med motsvarande innebörd med de studerande som antas till en utbildning (prop. 2008/09:68 s. 47). Även enskilda utbild- ningsanordnare inom yrkeshögskolan kan således ha bestämmelser som till viss del motsvarar ett avskiljande enligt den reglering som gäller för offentliga utbildningsanordnare.
318
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
Både offentliga och enskilda utbildningsanordnare kan därmed behöva behandla känsliga personuppgifter i form av hälsa i samband med utredningar och ärenden om avskiljande av studerande från utbildning. I sådana ärenden kan följaktligen också personuppgifter som rör fällande domar i brottmål behöva behandlas.
Anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är endast enskilda fysiska eller juridiska personer. För deras del, i likhet med enskilda utbildningsanordnare inom universitets- och högskolesek- torn (se avsnitt 5.4.2) och yrkeshögskolan, saknas det offentligrättslig reglering om avskiljande. Det går dock inte att utesluta att även anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har egna regelverk om avskiljande som kan göra det nödvändigt att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.
Offentlighetsprincipen
Utbildning inom yrkeshögskolan kan anordnas av bl.a. statliga uni- versitet och högskolor, andra statliga myndigheter, kommuner och landsting. Eftersom dessa utbildningsanordnare är myndigheter om- fattas de av tryckfrihetsförordningens, offentlighets- och sekretess- lagens (2009:400) och förvaltningslagens (1986:223) bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot e- post. För att kunna uppfylla de åligganden som följer av att omfattas av offentlighetsprincipen kan det för dessa utbildningsanordnare bli nödvändigt att behandla känsliga personuppgifter.
Sammanfattning
Utbildningsanordnare inom yrkeshögskolan och de som anordnar sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan behöva behandla känsliga personuppgifter vid handläggning av ansökningar om särskilt pedagogiskt stöd, när beslutade stödåtgärder ska verkställas och i samband med ansökningar om statsbidrag eller särskilda medel för kostnader för särskilt pedagogiskt stöd. Behandling av känsliga per-
319
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
sonuppgifter kan även förekomma i ärenden om anstånd, studieuppe- håll, trakasserier, sexuella trakasserier och avskiljande. I ärenden om avskiljande kan dessutom personuppgifter som rör fällande domar i brottmål behöva behandlas. Vidare kan offentliga utbildningsanord- nare inom yrkeshögskolan behöva behandla känsliga personuppgifter med anledning av de åligganden som följer av att de omfattas av offentlighetsprincipen.
6.4.3Gällande bestämmelser
I fråga om de skyldigheter som offentliga utbildningsanordnare inom yrkeshögskolan har enligt offentlighetsprincipen kan konstateras att enligt 8 § första stycket PUL tillämpas inte bestämmelserna i person- uppgiftslagen i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut person- uppgifter.
Vidare får såväl offentliga som enskilda utbildningsanordnare inom yrkeshögskolan samt anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar i dagsläget behandla känsliga personuppgifter i s.k. ostrukturerat material, förutsatt att behandlingen inte innebär en kränkning av den registrerades personliga integritet (5 a § PUL). Därutöver kan offentliga utbildningsanordnare inom yrkeshögsko- lan, med stöd av 8 § personuppgiftsförordningen (1998:1191, PUF) behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Om dessa bestämmelser inte är tillämpliga på behandlingen av käns- liga personuppgifter måste samtycke inhämtas från den registrerade enligt 15 § PUL för att känsliga personuppgifter ska få behandlas.
I fråga om personuppgifter som rör fällande domar i brottmål är det, enligt 21 § första stycket PUL, förbjudet för andra än myndig- heter att behandla personuppgifter om lagöverträdelser som inne- fattar bl.a. brott och domar i brottmål. Förbudet gäller således inte för offentliga utbildningsanordnare inom yrkeshögskolan. Med stöd av 5 a § PUL kan dock även enskilda utbildningsanordnare behandla sådana uppgifter i ostrukturerat material.
320
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
6.4.4Dataskyddsförordningen och dataskyddslagen
Känsliga personuppgifter
Med särskilda kategorier av personuppgifter (känsliga personupp- gifter) avses enligt artikel 9.1 i dataskyddsförordningen personupp- gifter som avslöjar ras eller etniskt ursprung, politiska åsikter, reli- giös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk per- sons sexualliv eller sexuella läggning. Enligt artikel 9.1 är huvud- regeln att det är förbjudet att behandla känsliga personuppgifter. För- budet är dock förenat med en rad viktiga undantag. De som aktua- liseras i detta sammanhang är artikel 9.2 a och g.
Enligt 9.2 a ska förbudet i 9.1 inte tillämpas om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa upp- gifter för ett eller flera specifika ändamål.
Av 9.2 g framgår att förbudet i 9.1 inte ska tillämpas om behand- lingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vil- ken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Utifrån denna möjlighet för medlemsstaterna att skapa förutsätt- ningar för att möjliggöra behandling av känsliga personuppgifter har Dataskyddsutredningen i dataskyddslagen föreslagit tre generella undantag från förbudet att behandla känsliga personuppgifter för myndigheter (SOU 2017:39, avsnitt 10.6.2).
Det första gäller behandling av uppgifter i löpande text om upp- gifterna har lämnats i ett ärende eller är nödvändiga för handlägg- ningen av ett ärende (3 kap. 3 § 1 dataskyddslagen). Enligt Data- skyddsutredningen bör begränsningen till löpande text inte utesluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande.
Det andra undantaget gäller om uppgifterna har lämnats till myn- digheten och behandlingen krävs enligt lag (3 kap. 3 § 2 dataskydds- lagen). Bestämmelsen möjliggör behandling av känsliga personupp- gifter som är oundviklig i myndigheternas verksamhet som en direkt följd av tryckfrihetsförordningens, offentlighets- och sekretesslagens
321
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
och förvaltningslagens bestämmelser om allmänna handlingar, diarie- föring och skyldighet att ta emot
Utöver detta föreslås myndigheter få behandla känsliga person- uppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt in- trång i den registrerades personliga integritet (3 kap. 3 § 3 data- skyddslagen). Syftet med paragrafen är att möjliggöra behandling av känsliga personuppgifter i enstaka fall även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte direkt krävs enligt annan lag. Det kan vara fallet t.ex. inom en myndighet i sam- band med utvärdering. Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, struk- turell eller storskalig behandling. Vid bedömningen av om behand- lingen utgör ett otillbörligt intrång ska vikt läggas vid t.ex. uppgif- ternas känslighet och den inställning de registrerade kan antas ha till att uppgiften behandlas.
Som skyddsåtgärd, för att säkerställa den registrerades grundläg- gande rättigheter och intressen, föreslår Dataskyddsutredningen avslutningsvis, i 3 kap. 4 § dataskyddslagen, ett förbud för myndig- heter att vid behandling som sker enbart med stöd av 3 kap. 3 § använda sökbegrepp som avslöjar känsliga personuppgifter.
Personuppgifter som rör fällande domar i brottmål
Enligt artikel 10 i dataskyddsförordningen får behandling av person- uppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämp- liga skyddsåtgärder för de registrerades rättigheter och friheter fast- ställs.
Dataskyddsutredningen föreslår bestämmelser om behandling av personuppgifter som rör lagöverträdelser i 3 kap.
I 9 § anges att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångs-
322
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
medel får enligt artikel 10 i dataskyddsförordningen behandlas av myndigheter.
Enligt Dataskyddsutredningen är det av stor vikt att regleringen i artikel 10 i dataskyddsförordningen, även vad avser myndigheters behandling, tydliggörs så långt möjligt i nationell rätt. Dataskydds- utredningen anser att ett sådant införlivande behövs när det gäller myndigheters behandling av uppgifter om lagöverträdelser, bl.a. för att tydliggöra att myndigheter inte behöver uttryckligt stöd i före- skrifter eller särskilda beslut för att få behandla uppgifter om lag- överträdelser (SOU 2017:39, avsnitt 11.4).
I 3 kap. 10 § anges att den myndighet som regeringen bestämmer får i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §. Ytterligare ett bemyndigande finns i 12 §. Enligt nämnda bestämmelse får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana uppgifter som avses i 9 §.
I 3 kap. 11 § anges att behandling av sådana personuppgifter som avses i 9 § får ske om behandlingen är nödvändig för att den per- sonuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.
I 4 och 5 §§ förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning föreslår Dataskyddsutredningen kom- pletterande bestämmelser avseende behandling av personuppgifter som rör lagöverträdelser.
Enligt 4 § får personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångs- medel behandlas av andra än myndigheter om
1.behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall,
2.behandlingen avser enstaka uppgifter och är nödvändig för att till polisen anmäla misstanke om brott, eller
3.behandlingen avser enstaka uppgifter och är nödvändig för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.
Enligt Dataskyddsutredningens förslag till 5 § första stycket förord- ningen med kompletterande bestämmelser till EU:s dataskydds- förordning får Datainspektionen meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som
323
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. I andra stycket anges att Data- inspektionen även i enskilda fall får besluta om att tillåta behandling av sådana personuppgifter som avses i första stycket.
6.4.5Behov av särskild reglering
Förslag: I lagen om yrkeshögskolan ska det införas nya bestäm- melser om personuppgiftsbehandling. Dessa ska upplysa om data- skyddsförordningen och reglera förhållandet till dataskyddslagen. Vidare ska utbildningsanordnare få behandla känsliga personupp- gifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Utbildnings- anordnare ska också få behandla känsliga personuppgifter i ensta- ka fall, om det är absolut nödvändigt för ändamålet med behand- lingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Offentliga utbildningsanord- nare ska få behandla känsliga personuppgifter om uppgifterna har lämnats till denne och behandlingen krävs enligt lag. Enskilda ut- bildningsanordnare ska få behandla personuppgifter som rör fäl- lande domar i brottmål i löpande text i ett ärende om avskiljande av studerande från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otill- börligt intrång i den registrerades personliga integritet som be- handlingen kan innebära. Utbildningsanordnare ska inte få använ- da sökbegrepp som avslöjar känsliga personuppgifter och mot- svarande förbud ska även gälla för enskilda utbildningsanordnare i fråga om personuppgifter som rör fällande domar i brottmål. Slut- ligen ska regeringen få meddela föreskrifter om ytterligare undan- tag från förbudet i artikel 9.1 i dataskyddsförordningen.
I förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska det, med undantag för bestämmelser om behandling som krävs enligt lag och bemyndigande för reger- ingen, införas bestämmelser med motsvarande innehåll.
324
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
Bedömning: Offentliga utbildningsanordnare inom yrkeshög- skolan kan med stöd av artikel 10 i dataskyddsförordningen be- handla personuppgifter som rör fällande domar i brottmål. Data- skyddslagen föreslås innehålla en upplysningsbestämmelse om att myndigheter får behandla sådana uppgifter. Det finns inget behov av att införa någon ytterligare reglering för nämnda utbildnings- anordnares behandling av personuppgifter som rör fällande domar i brottmål.
Ovan redovisar utredningen att offentliga utbildningsanordnare inom yrkeshögskolan kan behöva behandla känsliga personuppgifter i sam- band med att de fullgör sina skyldigheter enligt offentlighets- principen. I övrigt kan såväl offentliga som enskilda utbildnings- anordnare inom yrkeshögskolan samt anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar behöva behandla känsliga personuppgifter vid handläggning av ansökningar om särskilt pedagogiskt stöd, när beslutade stödåtgärder ska verkställas, i samband med ansökningar om statsbidrag eller särskilda medel för kostnader för stöd till stu- derande med funktionsnedsättning samt i ärenden om anstånd, studieuppehåll, trakasserier, sexuella trakasserier och avskiljande av studerande från utbildning. I ärenden om avskiljande kan även per- sonuppgifter som rör fällande domar i brottmål behöva behandlas.
Utredningen bedömer att dataskyddsförordningen inte utesluter att samtycke kan användas som rättslig grund för behandling av per- sonuppgifter, även känsliga sådana, av utbildningsanordnarna. En bedömning måste dock göras av vilken slags behandling som sam- tycket avser för att avgöra om det är lämpligt.
För den behandling av känsliga personuppgifter som behövs för att utbildningsanordnarna ska kunna utföra uppgiften att anordna och bedriva utbildning inom yrkeshögskolan eller enligt förord- ningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar bör dock utbildningsanordnarna inte vara beroende av om den registrerade lämnar sitt samtycke till sådan behandling. Detta eftersom det kan ifrågasättas om den registrerade i många fall har något verkligt val i frågan om behandlingen ska ske eller inte och därmed en reell möjlighet att motsätta sig behandlingen. Därtill är det av naturliga skäl uteslutet att samtycke kan användas som rättslig grund för behandlingar i samband med utredningar eller ärenden om
325
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
bl.a. trakasserier. Enligt utredningens bedömning bör det för den behandling av känsliga personuppgifter som är nödvändig därför finnas ytterligare rättsliga grunder som kan användas som stöd för sådan behandling.
I fråga om behandling av personuppgifter som rör fällande domar i brottmål i utredningar och ärenden om avskiljande omfattas inte offentliga utbildningsanordnare inom yrkeshögskolan av förbudet i 21 § PUL. Enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan i dagsläget behandla sådana uppgifter i ostrukturerat material med stöd av 5 a § PUL. När dataskyddsförordningen ska börja tillämpas kommer den bestämmelsen dock att upphävas. Det kan därför vara nödvändigt att införa en rättslig grund som möjliggör för dessa ut- bildningsanordnare att behandla sådana uppgifter i motsvarande utredningar och ärenden som kan leda till att en studerande tvingas lämna utbildningen.
Behandling i löpande text
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 1 dataskydds- lagen får myndigheter behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen i löpande text om uppgif- terna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Dataskyddsutredningen anser att begränsningen till löpande text inte utesluter att handlingar med ostrukturerade käns- liga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande (SOU 2017:39, avsnitt 10.6.2).
Enligt artikel 9.2 g får känsliga personuppgifter behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. En myndighet kan således inte tillämpa en sådan bestämmelse som Dataskyddsutredningen föreslår i vilken typ av ärende som helst.
Utredningen bedömer att Dataskyddsutredningens förslag möj- liggör för offentliga utbildningsanordnare inom yrkeshögskolan att, i den mån det är nödvändigt, även fortsättningsvis kunna behandla känsliga personuppgifter i ärenden om t.ex. särskilt pedagogiskt stöd, i ärenden om statsbidrag eller särskilda medel för kostnader för särskilt pedagogiskt stöd samt i ärenden om trakasserier, sexuella
326
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
trakasserier och avskiljande (se motsvarande avsnitt i Universitets- och högskolesektorn, avsnitt 5.4.5). Någon ytterligare reglering krävs därmed inte för att offentliga utbildningsanordnare inom yrkes- högskolan, i de fall det är nödvändigt, ska kunna behandla känsliga personuppgifter för nämnda ändamål när dataskyddsförordningen ska börja tillämpas. Vidare kan det inte uteslutas att det finns andra typer av ärenden där offentliga utbildningsanordnare behöver be- handla känsliga personuppgifter. Sådan behandling kan då också ske med stöd av Dataskyddsutredningens förslag, förutsatt bl.a. att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse.
Det förhåller sig dock annorlunda för de enskilda utbildnings- anordnarna inom yrkeshögskolan och anordnarna av sådana utbild- ningar som avses i förordningen om stöd för konst- och kulturut- bildningar och vissa andra utbildningar, vilka också är enskilda fysis- ka eller juridiska personer. Som framgår av avsnitt 6.4.2 kan motsva- rande ärenden som nämnts ovan finnas hos dessa utbildningsanord- nare. De har därmed, förutsatt att det är relevant och nödvändigt, samma behov av att kunna behandla känsliga personuppgifter som de offentliga utbildningsanordnarna inom yrkeshögskolan. I dagsläget kan sådan behandling ske i ostrukturerat material med stöd av 5 a § PUL, men den bestämmelsen kommer att upphävas när dataskydds- förordningen ska börja tillämpas. Dataskyddsutredningens förslag omfattar inte enskilda utbildningsanordnare. Utredningen anser där- för att det finns behov av att införa bestämmelser som möjliggör för enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar att behandla känsliga personuppgifter i vissa ärenden på motsvarande sätt som för offentliga utbildninganordnare inom yrkeshögskolan. Eftersom de redan i dagsläget har möjlighet att utföra sådana behandlingar, bedö- mer utredningen att integritetsintrånget för den enskilde varken blir större eller mindre genom att sådana bestämmelser införs.
Sammanfattningsvis anser utredningen att det ska införas en be- stämmelse enligt vilken känsliga personuppgifter, med stöd av arti- kel 9.2 g i dataskyddsförordningen, får behandlas av enskilda utbild- ningsanordnare inom yrkeshögskolan i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Motsvarande bestämmelse ska införas även för de som anordnar utbildningar som avses i förordningen om stöd för konst-
327
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
och kulturutbildningar och vissa andra utbildningar. Som utredning- en konstaterar ovan i fråga om offentliga utbildningsanordnare inom yrkeshögskolan innebär kopplingen till artikel 9.2 g att känsliga per- sonuppgifter inte kan behandlas i vilken typ av ärende som helst. Det krävs att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. Av artikel 5.2 framgår att det är den personuppgiftsansva- rige som ska ansvara för och kunna visa att man har stöd för de behandlingar man utför.
Behandling som krävs på grund av lag
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 2 dataskydds- lagen får myndigheter behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag.
Enligt utredningens bedömning innebär det att offentliga utbild- ningsanordnare inom yrkeshögskolan även fortsättningsvis kommer att kunna uppfylla de åligganden enligt bl.a. offentlighetsprincipen som ankommer på dem, t.ex. att diarieföra handlingar som innehåller känsliga personuppgifter. Dataskyddsutredningens förslag till be- stämmelse i dataskyddslagen är i detta avseende därmed tillräcklig för de offentliga utbildningsanordnarnas nödvändiga behandling av käns- liga personuppgifter.
Enskilda utbildningsanordnare inom yrkeshögskolan och anord- nare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar, vilka också är enskilda fysiska eller juridiska personer, omfattas inte av offentlig- hetsprincipen. För deras del behöver det således inte införas en mot- svarande bestämmelse.
Absolut nödvändig behandling i andra fall
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 3 dataskydds- lagen får känsliga personuppgifter med stöd av artikel 9.2 g i data- skyddsförordningen behandlas av en myndighet i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behand- lingen inte innebär ett otillbörligt intrång i den registrerades person- liga integritet. Enligt Dataskyddsutredningen ska bestämmelsen möj-
328
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
liggöra behandling av känsliga personuppgifter hos myndigheter i enstaka fall, även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte krävs enligt annan lag. Som exempel på när bestämmelsen kan vara tillämplig anger Dataskyddsutredningen inom en myndighet i samband med utvärdering (SOU 2017:39, av- snitt 10.6.2).
Bestämmelsen i dataskyddslagen är direkt tillämplig på offentliga utbildningsanordnare inom yrkeshögskolan. När det gäller deras behandling av känsliga personuppgifter kan, enligt utredningens bedömning, paragrafen vara tillämplig t.ex. när beslut att bevilja sär- skilt pedagogiskt stöd ska verkställas.
Även för enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan behandling av känsliga personuppgifter vara nödvändig i vissa fall när det saknas koppling till ett visst ärende. T.ex. tillhandahåller även nu nämnda utbildningsanordnare särskilt pedagogiskt stöd. De har därmed samma behov som offentliga utbildningsanordnare inom yrkeshögskolan att behandla känsliga personuppgifter i samband med att t.ex. beslut att bevilja stödåtgärder ska verkställas. Sådan behandling kan i dagsläget ske i ostrukturerat material med stöd av 5 a § PUL. När dataskyddsförordningen ska börja tillämpas kommer dock personuppgiftslagen att upphävas.
Om någon reglering som möjliggör fortsatt sådan behandling inte införs är enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar hänvi- sade till att använda sig av samtycke från den registrerade. Att enbart använda sig av samtycke för all behandling som kan krävas i fråga om t.ex. särskilt pedagogiskt stöd kan vara problematiskt, eftersom det kan vara svårt för den enskilde att överblicka omfattningen och arten av de behandlingar som krävs när beslutade stödåtgärder ska verk- ställas.
I övervägandena till förslaget till 3 kap. 3 § 3 dataskyddslagen an- ger Dataskyddsutredningen att sådan behandling som bestämmelsen tar sikte på måste regleras på ett sätt som beaktar dataskyddsför- ordningens krav på proportionalitet och skyddsåtgärder. Bestämmel- sen innehåller därför rekvisitet ”absolut nödvändigt” för att markera att behandling av känsliga personuppgifter i här aktuella fall bara ska
329
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
ske efter en noggrann prövning i det enskilda fallet (SOU 2017:39, avsnitt 10.6.2).
Dataskyddsutredningen anser vidare att prövningen också bör ske med beaktande av vilket intrång behandlingen utgör för den registre- rades integritet. Dataskyddsutredningen har därför formulerat be- stämmelsen på sådant sätt att en avvägning ska göras av om en i och för sig absolut nödvändig behandling av känsliga personuppgifter innebär ett otillbörligt intrång i den registrerades integritet, vilket skulle kunna få till följd att behandlingen inte är tillåten.
Bestämmelsen i den föreslagna 3 kap. 3 § 3 dataskyddslagen inne- håller således rekvisit som starkt markerar att bestämmelsen ska till- lämpas restriktivt och först efter noggranna avvägningar mellan behovet av behandlingen och intrånget i den enskildes integritet.
Utredningen anser sammanfattningsvis att bestämmelser motsva- rande 3 kap. 3 § 3 dataskyddslagen ska införas för enskilda utbild- ningsanordnare inom yrkeshögskolan och anordnare av sådana ut- bildningar som avses i förordningen om stöd för konst- och kultur- utbildningar och vissa andra utbildningar. Dessa aktörer har samma behov som offentliga utbildningsanordnare inom yrkeshögskolan att i vissa fall kunna behandla känsliga personuppgifter även när det sak- nas koppling till ett visst ärende. En bestämmelse med sådana starkt begränsande rekvisit, tillgodoser, enligt utredningens bedömning, dataskyddsförordningens krav på proportionalitet och skyddsåtgär- der.
Behandling av personuppgifter som rör fällande domar i brottmål
Förbudet i artikel 10 för behandling av personuppgifter som rör fäl- lande domar i brottmål gäller inte för myndigheter. Dataskydds- utredningen föreslår att det ska finnas en upplysningsbestämmelse om nämnda förhållande i 3 kap. 9 § dataskyddslagen. Även när data- skyddsförordningen ska börja tillämpas kommer således offentliga utbildningsanordnare inom yrkeshögskolan att kunna behandla per- sonuppgifter som rör fällande domar i brottmål i ärenden om avskil- jande enligt 19 § lagen om yrkeshögskolan och 7 kap. förordningen om yrkeshögskolan. Någon ytterligare reglering i denna del krävs därmed inte för de offentliga utbildningsanordnarnas behandlingar.
330
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
För enskilda utbildningsanordnare inom yrkeshögskolan är det dock annorlunda. Som framgår ovan kan de ha egna regelverk om avskiljande som i stort sett motsvarar de som gäller för offentliga utbildningsanordnare. De har därmed samma behov som offentliga utbildningsanordnare inom yrkeshögskolan att behandla personupp- gifter som rör fällande domar i brottmål. Sådant behov kan även anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar ha. I dagsläget kan enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar behandla personuppgifter som rör fällande domar i brottmål i ostrukturerat material med stöd av 5 a § PUL. När dataskyddsförordningen ska börja tillämpas kommer dock personuppgiftslagen att upphävas.
Enligt Dataskyddsutredningens förslag till 4 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning får personuppgifter som rör bl.a. fällande domar i brottmål behandlas av andra än myndigheter om
1.behandlingen är nödvändig för att rättsliga anspråk ska kunna fast- ställas, göras gällande eller försvaras i ett enskilt fall,
2.behandlingen avser enstaka uppgifter och är nödvändig för att till polisen anmäla misstanke om brott, eller
3.behandlingen avser enstaka uppgifter och är nödvändig för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.
Enligt utredningens bedömning är det inte möjligt för enskilda ut- bildningsanordnare inom yrkeshögskolan och anordnare av utbild- ningar som avses i förordningen om stöd för konst- och kultur- utbildningar och vissa andra utbildningar att behandla personupp- gifter som rör fällande domar i brottmål i ett ärende om avskiljande med stöd av Dataskyddsutredningens förslag i nyss nämnda delar.
Enligt Dataskyddsutredningens förslag till 5 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning be- myndigas Datainspektionen att meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör bl.a. fällande domar i brottmål. I vilken mån Datainspektionen kom- mer att använda sig av det föreslagna bemyndigandet och i så fall på vilket sätt är i dagsläget oklart.
331
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
Dataskyddsförordningen och dataskyddslagen tillåter således inte att enskilda utbildningsanordnare inom yrkeshögskolan och anord- nare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar behandlar per- sonuppgifter som rör fällande domar i brottmål i ärenden om avskil- jande och det saknas förslag till undantag som möjliggör sådan be- handling. Frågan är då om utredningen bör föreslå sådana bestäm- melser.
I förarbetena till lagen om yrkeshögskolan uttalas bl.a. att reger- ingen i andra sammanhang inte har ansett det lämpligt att reglera för- hållandet mellan en student eller en sökande och en enskild utbild- ningsanordnare i offentligrättslig ordning (prop. 2008/09:68 s. 46). Frånvaron av offentligrättslig reglering om avskiljande av studerande för enskilda utbildningsanordnare inom yrkeshögskolan och anord- nare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar, som också är enskilda fysiska och juridiska personer, beror således inte på att frågan är av underordnad betydelse för deras del. Vidare tar bestäm- melser om avskiljande sikte på bl.a. övriga studerandes och utbild- ningsanordnarnas arbetstagares säkerhet. Det måste därmed, enligt utredningens bedömning, anses vara lika angeläget att enskilda utbild- ningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har möjlighet att behandla personupp- gifter som rör fällande domar i brottmål i deras motsvarighet till ärenden om avskiljande. Med beaktande av att dessa utbildnings- anordnare i dagsläget kan behandla sådana uppgifter i ostrukturerat material med stöd av 5 a § PUL anser utredningen därför att sådana bestämmelser bör införas.
En bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål måste, enligt artikel 10 i dataskyddsförordningen, omfattas av lämp- liga skyddsåtgärder för de registrerades rättigheter och friheter. En sådan bestämmelse bör därför bestå av rekvisit som starkt betonar att det är fråga om en restriktiv tillämpning där en noggrann av- vägning behöver göras mellan behovet av behandling och intrånget i den enskildes integritet. Enligt utredningens uppfattning kan ut- formningen av Dataskyddsutredningens förslag till 3 kap. 3 § 3 data- skyddslagen tjäna som riktmärke.
332
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
Behandling av personuppgifter som rör fällande domar i brottmål skulle då kunna tillåtas om det är absolut nödvändigt, vilket innebär att regleringen ska tillämpas restriktivt och inte möjliggöra uppre- pad, omfattande, strukturell eller storskalig behandling.
För att ytterligare begränsa bestämmelsens tillämpning bör den enligt utredningens uppfattning också innehålla en avvägningsnorm. Av 19 § andra stycket lagen om yrkeshögskolan framgår att en förut- sättning för avskiljande på grund av att den studerande bl.a. har gjort sig skyldig till allvarlig brottslighet, är att det till följd av ett sådant förhållande bedöms föreligga en påtaglig risk att den studerande kan komma att skada någon annan person eller värdefull egendom under utbildningen. Den bestämmelse som ska möjliggöra för enskilda utbildningsanordnare inom yrkehögskolan och anordnare av utbild- ningar som avses i förordningen om stöd för konst- och kultur- utbildningar och vissa andra utbildningar att behandla personupp- gifter som rör fällande domar i brottmål kan då lämpligen innehålla en avvägningsnorm enligt vilken intresset för andras säkerhet och värdefull egendom ska ställas mot den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan inne- bära. Det åligger därmed dessa utbildningsanordnare att göra en nog- grann avvägning i varje enskilt fall om den avsedda behandlingen kan göras.
Sammanfattningsvis anser utredningen att det ska införas en be- stämmelse som anger att personuppgifter som rör fällande domar i brottmål får behandlas av en enskild utbildningsanordnare inom yrkeshögskolan i löpande text i ett ärende om avskiljande, om det är absolut nödvändigt för ändamålet med behandlingen och om intres- set av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära. Motsvarande bestämmel- se ska även införas för anordnare av utbildningar som avses i för- ordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Utredningen bedömer avslutningsvis att bestämmelser med sådana starkt begränsande rekvisit uppfyller kraven i artikel 10 i dataskyddsförordningen.
333
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
Skyddsåtgärder – sökförbud
De förslag till bestämmelser i dataskyddslagen som Dataskydds- utredningen lämnar för att möjliggöra för myndigheter att i vissa fall behandla känsliga personuppgifter har sin grund i artikel 9.2 g. För att i denna del leva upp till förordningens krav på lämpliga och sär- skilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen, föreslår Dataskyddsutredningen även en skyddsåtgärd i form av en sökbegränsning i 3 kap. 4 § dataskydds- lagen. Vid behandling som sker enbart med stöd av 3 kap. 3 § data- skyddslagen får en myndighet inte använda sökbegrepp som avslöjar känsliga personuppgifter (SOU 2017:39, avsnitt 10.6.2).
Dataskyddsutredningen menar att sökningar som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som i sig inne- bär en integritetskränkning. Enligt Dataskyddsutredningen ligger företeelsen nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Dataskyddsutredningen anser att med ett sökförbud uppnås ett relativt effektivt skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna.
Sökbegränsningar av detta slag måste enligt Dataskyddsutred- ningen anses omfatta alla typer av tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter avslöjas.
Dataskyddsutredningens förslag till sökförbud i 3 kap. 4 § data- skyddslagen gäller endast för myndigheter. Enskilda utbildnings- anordnare inom yrkeshögskolan och anordnare av sådana utbildning- ar som avses i förordningen om stöd för konst- och kulturutbild- ningar och vissa andra utbildningar omfattas således inte av den före- slagna bestämmelsen, utan endast offentliga utbildningsanordnare inom yrkeshögskolan. De skäl som finns för att sökbegränsningar ska gälla för de utbildningsanordnare inom yrkeshögskolan som är offentliga gör sig, enligt utredningens bedömning, dock gällande även för enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Mot- svarande bestämmelser som begränsar deras möjligheter till behand- ling av känsliga personuppgifter bör därför också införas.
334
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
För de enskilda utbildningsanordnarna inom yrkeshögskolan och anordnarna av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar bör vidare ett motsvarande förbud också gälla vid deras behandling av personuppgifter som rör fällande domar i brottmål. På så sätt fast- ställs, i enlighet med artikel 10 i dataskyddsförordningen, ytterligare en skyddsåtgärd för de registrerades rättigheter och friheter.
De nya bestämmelsernas placering
Yrkeshögskolan
Enligt ovan har utredningen kommit fram till att offentliga utbild- ningsanordnare i Dataskyddsutredningens förslag kan finna stöd för sådan behandling av känsliga personuppgifter som är nödvändig vid handläggning av vissa ärenden och för att uppfylla de åligganden som följer av att omfattas av offentlighetsprincipen. Genom Dataskydds- utredningens förslag kan offentliga utbildningsanordnare även i vissa andra fall finna stöd för sådan behandling av känsliga personupp- gifter som är absolut nödvändig.
Vidare bedömer utredningen att bestämmelser som möjliggör sådan nödvändig eller absolut nödvändig behandling av känsliga per- sonuppgifter bör införas även för enskilda utbildningsanordnare, eftersom de har samma behov av att kunna behandla känsliga person- uppgifter. Ett undantag finns dock för behandling som krävs enligt lag. Eftersom enskilda utbildningsanordnare inte omfattas av offent- lighetsprincipen, saknas behov av en bestämmelse som möjliggör be- handling av känsliga personuppgifter i detta avseende. Utredningen bedömer även att det finns behov av en reglering som möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål i deras motsvarighet till ärenden om avskil- jande av studerande. Vad utredningen därefter har att ta ställning till är var sådana bestämmelser lämpligast bör placeras.
I Dataskyddsutredningens förslag till 3 kap. 8 § dataskyddslagen ges ett bemyndigande till regeringen att meddela föreskrifter om yt- terligare undantag från förbudet i artikel 9.1 i dataskyddsförord- ningen att behandla känsliga personuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse. I förslaget till 3 kap. 10 och 12 §§ dataskyddslagen bemyndigas regeringen, eller den myndighet
335
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
som regeringen bestämmer, att meddela föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör bl.a. fällande domar i brottmål. Det är således ur ett dataskyddsperspektiv möjligt att föreskriva om dessa undantag i en förordning. De be- stämmelser som myndigheter har att tillämpa enligt dataskyddslagen är dock i lagform. Utredningens bedömning är därför att det är lämpligt att bestämmelserna som ger enskilda utbildningsanordnare stöd för att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål förs in på samma normhierarkiska nivå. Detta görs lämpligen i lagen om yrkeshögskolan eftersom det är genom den lagen som den rättsliga grunden uppgift av allmänt intres- se fastställs.
Lagen om yrkeshögskolan gäller för samtliga utbildningsanord- nare inom yrkeshögskolan, såväl enskilda som offentliga. Även om offentliga utbildningsanordnare kan finna stöd för nödvändig eller absolut nödvändig behandling av känsliga personuppgifter i Data- skyddsutredningens förslag till bestämmelser i dataskyddslagen, är det för tydlighets skull lämpligt att bestämmelserna om behandling av känsliga personuppgifter, som enligt utredningens bedömning bör införas i lagen om yrkeshögskolan, även omfattar de offentliga utbild- ningsanordnarna.
I lagen om yrkeshögskolan ska det därför införas en bestämmelse som anger att utbildningsanordnarna får behandla känsliga person- uppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.
Det ska även införas en bestämmelse som anger att utbildnings- anordnarna inom yrkeshögskolan får behandla känsliga personupp- gifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
För de offentliga utbildningsanordnarna inom yrkeshögskolan ska det införas en bestämmelse som anger att de får behandla känsliga personuppgifter om uppgifterna har lämnats till utbildningsanord- naren och behandlingen krävs enligt lag.
För de enskilda utbildningsanordnarna inom yrkeshögskolan ska det införas en bestämmelse som möjliggör behandling av personupp- gifter som rör fällande domar i brottmål i ärenden om avskiljande.
Avslutningsvis ska det införas bestämmelser om förbud att an- vända sökbegrepp som avslöjar känsliga personuppgifter och uppgif-
336
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
ter som rör fällande domar i brottmål, upplysningsbestämmelser avseende förhållandet till dataskyddsförordningen och dataskydds- lagen samt ett bemyndigande för regeringen att föreskriva om ytter- ligare undantag från förbudet i artikel 9.1. Sistnämnda bestämmelse behöver införas eftersom utredningen föreslår en särreglering för offentliga utbildningsanordnare, vilka annars kunnat tillämpa bestäm- melserna om känsliga personuppgifter i dataskyddslagen där det finns ett motsvarande bemyndigande för regeringen i 3 kap. 8 §. En förut- sättning när nya undantag övervägs med stöd av bemyndigandet är att en noggrann bedömning görs för att säkerställa att dataskydds- förordningens krav i övrigt, bl.a. skyddsåtgärder, är uppfyllda.
Konst- och kulturutbildningar och vissa andra utbildningar
I fråga om anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar bedömer utredningen enligt ovan att de har samma behov av att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål som enskilda utbildningsanordnare inom yrkes- högskolan. I föregående avsnitt bedömer utredningen att sådana bestämmelser, för utbildningsanordnarna inom yrkeshögskolan, lämpligen ska finnas i lagform. För de som anordnar och bedriver konst- och kulturutbildningar och vissa andra utbildningar regleras verksamheten dock i en förordning. Det är också i den förordningen som den rättsliga grunden uppgift av allmänt intresse fastställs. I föregående avsnitt konstateras att bestämmelser om undantag från förbudet i artikel 9.1 och bestämmelser om behandling av person- uppgifter som rör fällande domar i brottmål, mot bakgrund av de bemyndiganden som Dataskyddsutredningen föreslår ska finnas för regeringen i dataskyddslagen, är möjliga att införa i en förordning. Det är således möjligt att komplettera förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med bestämmelser om behandling av känsliga personuppgifter och upp- gifter som rör fällande domar i brottmål.
Utredningen anser därför att det i förordningen ska införas en bestämmelse som möjliggör för utbildningsanordnarna att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.
337
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
Det ska även införas en bestämmelse som anger att utbildnings- anordnarna får behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och be- handlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vidare ska det införas en bestämmelse som möjliggör behandling av personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande.
Avslutningsvis ska det införas en bestämmelse om förbud att använda sökbegrepp som avslöjar känsliga personuppgifter och upp- gifter som rör fällande domar i brottmål samt upplysningsbestäm- melser avseende förhållandet till dataskyddsförordningen och data- skyddslagen.
6.5Behov av ytterligare reglering
Bedömning: Dataskyddsförordningen, dataskyddslagen och ut- redningens förslag till författningsreglering av behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål utgör en ändamålsenlig reglering för personuppgifts- behandlingen för de som anordnar och bedriver utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Bestämmelserna utgör samtidigt ett välavvägt skydd för de studerandes personliga integritet.
Den personuppgiftsbehandling som de offentliga utbildnings- anordnarna inom yrkeshögskolan utför och som inte omfattas av utredningens förslag till lagreglering är inte sådan att det krävs ytterligare lagreglering enligt 2 kap. 6 § regeringsformen.
Någon ytterligare reglering, utöver förslagen till reglering av behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål, behövs därmed inte.
När personuppgiftslagen upphävs kommer den personuppgiftsbe- handling som utförs inom yrkeshögskolan och av de anordnare av utbildningar som avses i förordningen om stöd för konst- och kul- turutbildningar och vissa andra utbildningar i huvudsak att omfattas av dataskyddsförordningens och den föreslagna dataskyddslagens
338
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
bestämmelser. I föregående avsnitt lämnar utredningen dock förslag till reglering av behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.
Frågan är således om det, utöver nämnda regleringar och förslag, krävs eller om det av annat skäl är lämpligt med en ytterligare för- fattning i form av en särskild lag för att ytterligare reglera utbild- ningsanordnarnas personuppgiftsbehandling i andra fall än då det gäller behandling av känsliga personuppgifter och lagöverträdelser.
Dataskyddsförordningen möjliggör genom artikel 6.2 och 6.3 för medlemsstaterna att införa särskilda registerförfattningar men var- ken dessa bestämmelser eller förordningen i sig innebär något krav på att det införs sådana författningar.
Enligt utredningens bedömning i avsnitt 6.3 kan utbildnings- anordnarna som rättslig grund för sin nödvändiga behandling av per- sonuppgifter tillämpa artikel 6.1 a, c eller e i dataskyddsförordning- en. Enskilda utbildningsanordnare kan dessutom tillämpa arti- kel 6.1 f som rättslig grund för nödvändig behandling. Som framgår i avsnitt 6.3 bedömer utredningen att det inte behövs någon särskild reglering för att utbildningsanordnarna ska kunna tillämpa dessa rättsliga grunder. Utredningen gör där även bedömningen att nämn- da rättsliga grunder i dataskyddsförordningen är tillräckliga för sådan behandling som är nödvändig för att utbildningsanordnarna ska kunna utföra de uppgifter och utöva sådan verksamhet som framgår av för utbildningsanordnarna relevanta författningar och beslut grundade i dessa.
För utbildningsanordnarnas behandling av känsliga personuppgif- ter föreslår utredningen bestämmelser som möjliggör sådan nödvän- dig eller absolut nödvändig behandling. Som framgår av avsnitt 6.4.5 är det utredningens bedömning att föreslagna bestämmelser är till- räckliga för utbildningsanordnarnas behov av behandling av känsliga personuppgifter enligt relevanta författningar. Därtill finns det i viss utsträckning möjlighet att använda sig av samtycke som rättslig grund.
I fråga om enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar föreslår utredningen bestämmelser som möjliggör behandling av personupp- gifter som rör fällande domar i brottmål i ärenden om avskiljande.
339
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
Dessa anser utredningen är tillräckliga för att tillgodose nämnda utbildningsanordnares behov i denna del.
Utredningens förslag till bestämmelser om behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter i enlighet med dataskyddsförordningens bestämmelser i artikel 9.2 g och artikel 10.
Om utredningens förslag genomförs kommer det därmed att finnas rättsliga grunder som anordnarna av utbildning inom yrkes- högskolan och anordnarna av sådan utbildning som avses i förord- ningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan tillämpa för nödvändig personuppgiftsbehandling även efter det att personuppgiftslagen upphävs den 25 maj 2018. Ur den synvinkeln saknas det anledning att införa en särskild register- författning.
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den person- liga integriteten, om det sker utan samtycke och innebär övervak- ning eller kartläggning av den enskildes personliga förhållanden. Skyddet i bestämmelsen gäller bara mot åtgärder från det allmännas sida och träffar därmed inte åtgärder som en enskild vidtar i för- hållande till en annan enskild (prop. 2009/10:80 s. 250). Skyddet mot betydande intrång i den personliga integriteten enligt regerings- formen gäller således endast åtgärder som offentliga utbildnings- anordnare inom yrkeshögskolan vidtar i förhållande till sina stude- rande. Av 2 kap. 20 § framgår att skyddet får begränsas genom lag.
I avsnitt 5.5 bedömer utredningen att statliga högskolors person- uppgiftsbehandling inte är sådan att den utgör ett betydande intrång i regeringsformens mening. Enligt utredningens mening gör, i till- lämpliga delar, motsvarande överväganden till den bedömningen sig gällande även beträffande den personuppgiftsbehandling som utförs av offentliga utbildningsanordnare inom yrkeshögskolan. Utred- ningen bedömer således att den behandling som utförs av nämnda utbildningsanordnare, i de delar som inte omfattas av något förslag till lagreglering, inte är sådan att den utgör ett betydande intrång i regeringsformens mening. Något regleringsbehov aktualiseras där- med inte med anledning av regeringsformens bestämmelser.
Vidare redovisar utredningen i avsnitt 4.9 sin uppfattning att be- stämmelserna i dataskyddsförordningen ger ett mycket starkt skydd
340
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
för den enskildes integritet och rättigheter. I nämnda avsnitt gör ut- redningen bedömningen att en särskild författning som reglerar den skollagsreglerade utbildningsverksamhetens personuppgiftsbehand- ling inte skulle innebära att skyddet för enskildas integritet och rät- tigheter blev starkare. Utredningen bedömer vidare att en sådan reg- lering dessutom skulle kunna vara kontraproduktiv på så sätt att den skulle kunna komma att begränsa möjligheterna att behandla per- sonuppgifter på ett sätt som bidrar till ett effektivt och tidsenligt sätt att, med utnyttjande av tillgängliga tekniska hjälpmedel, bedriva utbildning med ett gott resultat.
Enligt utredningens mening gör motsvarande överväganden sig gällande även i fråga om den personuppgiftsbehandling som utförs av utbildningsanordnarna inom yrkeshögskolan och anordnarna av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
Sammanfattningsvis är utredningen således av uppfattningen att det saknas skäl att lämna ytterligare förslag till reglering av den behandling av personuppgifter som utförs av de som anordnar utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
6.6MYH:s register
6.6.1Utredningens uppdrag i denna del
Som nämnts ovan i avsnitt 6.1 ska MYH enligt sin instruktion svara för ett register över uppgifter om de studerande i utbildningarna inom yrkeshögskolan och i de utbildningar som bedrivs som upp- dragsutbildningar samt de studerandes studieresultat, betyg, examina och utbildningsbevis (2 § 5).
MYH ska också pröva frågor om stöd enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar samt svara för ett register över uppgifter om de studerande i utbild- ningarna och de studerandes studieresultat, betyg, intyg och utbild- ningsbevis (2 § 6).
Någon särskild författning som reglerar behandlingen av person- uppgifter i de register som MYH ska svara för finns inte. Behand- lingen av personuppgifter regleras således av personuppgiftslagen. När dataskyddsförordningen ska börja tillämpas kommer person-
341
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
uppgiftslagen att upphävas. Utredningen har därför fått i uppdrag att analysera om det behövs något författningsstöd utöver dataskydds- förordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredningen kan komma att lämna för att personuppgifter ska kunna behandlas även fortsätt- ningsvis i de register som MYH svarar för. Utredningen ska även lämna de eventuella författningsförslag som behövs.
6.6.2MYH:s register över studerande i yrkeshögskolan
Bedömning: För nödvändig behandling vid förandet av det regis- ter som MYH ska svara för enligt 2 § 5 förordningen med instruk- tion för Myndigheten för yrkeshögskolan kan MYH tillämpa de rättsliga grunderna i artikel 6.1 c och första ledet i artikel 6.1 e i dataskyddsförordningen, dvs. rättslig förpliktelse och uppgift av allmänt intresse. Skäl att ändå införa en särskild reglering för MYH:s behandlingar finns inte.
Utbildningsanordnarna kan tillämpa samma rättsliga grunder för nödvändig behandling när de fullgör den uppgiftsskyldighet de har enligt MYH:s föreskrifter om studiedokumentation, som MYH har meddelat med stöd av bemyndigande i 2 kap. 17 § för- ordningen om yrkeshögskolan. Något ytterligare regleringsbehov aktualiseras därmed inte heller för utbildningsanordnarnas del.
Behov av reglering av MYH:s behandlingar
MYH ska som nämnts ovan svara för ett register över uppgifter om de studerande i utbildningarna inom yrkeshögskolan och i de ut- bildningar inom yrkeshögskolan som bedrivs som uppdragsutbild- ningar samt de studerandes studieresultat, betyg, examina och ut- bildningsbevis (2 § 5 förordningen med instruktion för Myndigheten för yrkeshögskolan).
För nödvändig behandling av personuppgifter vid förandet av registret är det enligt utredningens bedömning två rättsliga grunder i dataskyddsförordningen som aktualiseras, rättslig förpliktelse (arti- kel 6.1 c) och uppgift av allmänt intresse (första ledet i artikel 6.1 e). För att nämnda grunder ska kunna tillämpas krävs, enligt artikel 6.3
342
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
första stycket, att dessa är fastställda i enlighet med svensk rätt. Ett ytterligare krav för att kunna tillämpa rättslig förpliktelse och uppgift av allmänt intresse som grund för nödvändig personuppgiftsbehand- ling framgår av artikel 6.3 andra stycket. Syftet med behandlingen ska vara fastställd i den rättsliga grunden eller, i fråga om uppgift av allmänt intresse, ska vara nödvändigt för att utföra uppgiften.
I fråga om uppgift av allmänt intresse konstaterar Dataskyddsut- redningen att myndigheternas uppdrag och åligganden framgår av bl.a. författningar antagna i enlighet med grundlagens bestämmelser om normgivningskompetens. Enligt Dataskyddsutredningen har de åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsägbara regler. Data- skyddsutredningen anser därför att nödvändig behandling av person- uppgifter kan ske med stöd av första ledet i artikel 6.1 e i data- skyddsförordningen (SOU 2017:39, avsnitt 8.3.4).
Genom bestämmelsen i MYH:s instruktion som anger att myn- digheten ska föra det aktuella registret, bedömer utredningen att för- utsättningarna i artikel 6.3 första stycket i dataskyddsförordningen är uppfyllda, dvs. att det finns en för MYH i svensk rätt fastställd rättslig förpliktelse och uppgift av allmänt intresse att föra registret. Vidare är syftet med behandlingen, att föra ett register över de stu- derande och deras resultat m.m., fastställd i den rättsliga grunden. När dataskyddsförordningen ska börja tillämpas kan MYH följakt- ligen tillämpa artikel 6.1 c och första ledet i artikel 6.1 e för sådan behandling som är nödvändig vid förandet av registret.
Frågan utredningen därefter har att ta ställning till är om det ändå finns skäl att särskilt reglera behandlingarna i MYH:s register.
I 2 kap. 17 § andra stycket förordningen om yrkeshögskolan har MYH bemyndigats att meddela föreskrifter om att den ansvariga utbildningsanordnaren ska lämna uppgifter till myndigheten om de studerande och deras studieresultat, betyg och examina. MYH får meddela föreskrifter om på vilket sätt och när uppgifterna ska läm- nas. Med stöd av bemyndigandet har MYH utfärdat föreskrifter om studiedokumentation (MYHFS 2016:8). Av bestämmelserna i MYH:s föreskrifter framgår att det inte är några känsliga eller integritets- känsliga uppgifter som ska rapporteras till MYH, utan endast upp- gifter i form av bl.a. namn, personnummer och studieresultat. Enligt utredningen talar detta emot att det skulle finnas ett behov av att
343
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
reglera behandlingarna i registret särskilt. Därtill ska det enligt utredningens uppfattning beaktas att det är fråga om frivilliga studier och att det ligger i de studerandes egna intresse att säkerställa att uppgifter om deras studieresultat finns bevarade någonstans.
Sammanfattningsvis finns det stöd i dataskyddsförordningen som MYH kan tillämpa för sådan behandling av personuppgifter som är nödvändig för att föra registret. Skäl att ändå införa en särskild reg- lering för behandlingarna finns inte.
Behov av reglering av utbildningsanordnarnas behandlingar
Som nämnts i föregående avsnitt får MYH, enligt 2 kap. 17 § förord- ningen om yrkeshögskolan, meddela föreskrifter om att den ansva- riga utbildningsanordnaren ska lämna uppgifter till MYH om de stu- derande och deras studieresultat, betyg och examina. MYH får med- dela föreskrifter om på vilket sätt och när uppgifterna ska lämnas.
Med stöd av bemyndigandet har MYH utfärdat föreskrifter om studiedokumentation. Föreskrifterna innehåller bestämmelser om på vilket sätt och när anordnare av utbildningar som får stöd enligt för- ordningen om yrkeshögskolan ska lämna uppgifter till MYH om de studerande och deras studieresultat, betyg och examina (1 §).
Föreskrifterna gäller även för anordnarna av uppdragsutbild- ningar, eftersom dessa ges stöd enligt förordningen om yrkeshög- skolan i form av tillsyn (se 4 § första stycket 1 förordningen med instruktion för Myndigheten för yrkeshögskolan, 5 § förordningen om utbildning inom yrkeshögskolan som uppdragsutbildning samt 4 kap. 8 § förordningen om yrkeshögskolan). Att tillsyn kan utgöra en form av stöd framgår av 1 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
MYH:s föreskrifter innehåller också bestämmelser om utform- ningen av examensbevis och utbildningsbevis, vilka ska innehålla upp- gifter i form av bl.a. den studerandes fullständiga personnummer, för- namn och efternamn (2, 8 och 9 §§). För varje utbildning ska utbild- ningsanordnaren lämna uppgifter om de studerandes fullständiga personnummer, förnamn och efternamn (3 §). Uppgifterna om vilka som studerar vid en yrkeshögskoleutbildning och deras studieresul- tat ska rapporteras till MYH genom en av MYH tillhandahållen digi- tal plattform eller tjänst (4 och 5 §§).
344
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
Genom bestämmelserna i MYH:s föreskrifter åvilar det således utbildningsanordnarna som får stöd enligt förordningen om yrkes- högskolan en i svensk rätt fastställd rättslig förpliktelse att rappor- tera vissa uppgifter till MYH:s register. Syftet med behandlingen, att fullgöra en uppgiftsskyldighet, är fastställd i den rättsliga grunden.
Vidare har utredningen i avsnitt 6.3.2 kommit fram till att det för utbildningsanordnarna inom yrkeshögskolan finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva efter- gymnasiala yrkesutbildningar. Nödvändig behandling för att fullgöra uppgiftsskyldigheten enligt MYH:s föreskrifter, vilka meddelats med stöd av bemyndigande i förordningen om yrkeshögskolan, kan där- med även ske med stöd av första ledet i artikel 6.1 e i dataskydds- förordningen. Inte heller för utbildningsanordnarnas del aktualiseras följaktligen något regleringsbehov.
6.6.3MYH:s register över studerande i konst- och kultur- utbildningar och vissa andra utbildningar
Bedömning och förslag: För nödvändig behandling vid förandet av det register som MYH ska svara för enligt 2 § 6 förordningen med instruktion för Myndigheten för yrkeshögskolan kan MYH tillämpa de rättsliga grunderna i artikel 6.1 c och första ledet i artikel 6.1 e i dataskyddsförordningen, dvs. rättslig förpliktelse och uppgift av allmänt intresse. Skäl att ändå införa en särskild reglering för MYH:s behandlingar finns inte.
För att säkerställa att utbildningsanordnarna har en rättslig grund att tillämpa när de lämnar uppgifter till MYH om de stu- derande och deras studieresultat m.m. ska det införas en bestäm- melse som bemyndigar MYH att meddela föreskrifter om upp- giftslämnandet.
345
Yrkeshögskolan och andra eftergymnasiala utbildningar |
SOU 2017:49 |
Behov av reglering av MYH:s behandlingar
MYH ska som redan nämnts pröva frågor om stöd enligt förord- ningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar samt svara för ett register över uppgifter om de stu- derande i utbildningarna och de studerandes studieresultat, betyg, intyg och utbildningsbevis (2 § 6 förordningen med instruktion för Myndigheten för yrkeshögskolan).
Enligt utredningens bedömning finns det därmed en för MYH i svensk rätt fastställd rättslig förpliktelse och uppgift av allmänt intresse att även föra ett register över de som studerar på konst- och kulturutbildningar och vissa andra utbildningar. Syftet med behand- lingen, att föra ett register över de studerande och deras resultat m.m., är fastställd i den rättsliga grunden. När dataskyddsförord- ningen ska börja tillämpas kan MYH följaktligen tillämpa arti- kel 6.1 c och första ledet i artikel 6.1 e för sådan behandling som är nödvändig vid förandet av registret.
Frågan utredningen därefter har att ta ställning till är om det ändå finns skäl att särskilt reglera behandlingarna i MYH:s register.
Utredningen konstaterar att det inte heller avseende detta register framkommit att det är några känsliga eller integritetskänsliga upp- gifter som utbildningsanordnarna rapporterar till MYH. Att det är fråga om frivilliga studier och att det ligger i de studerandes egna intresse att säkerställa att uppgifter om deras studieresultat finns bevarade någonstans är omständigheter som enligt utredningens upp- fattning ska beaktas också beträffande detta register.
Sammanfattningsvis finns det stöd i dataskyddsförordningen som MYH kan tillämpa för sådan behandling av personuppgifter som är nödvändig för att föra registret. Skäl att ändå införa en särskild regle- ring för behandlingarna finns inte.
Behov av reglering av utbildningsanordnarnas behandlingar
I fråga om utbildningsanordnarnas grund för att lämna uppgifter till MYH konstateras att utbildningsanordnarna, enligt 39 § andra me- ningen förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar, ska lämna de uppgifter som MYH begär. Det åvilar därmed utbildningsanordnarna en rättslig förpliktelse att lämna uppgifter till MYH. Några myndighetsföreskrifter om vilka
346
SOU 2017:49 |
Yrkeshögskolan och andra eftergymnasiala utbildningar |
uppgifter som ska lämnas finns dock inte. Vidare är det oklart vilken typ av uppgifter som bestämmelsen i 39 § tar sikte på. Enligt utred- ningens bedömning är det därmed tveksamt om den rättsliga för- pliktelsen enligt nämnda bestämmelse är tillräckligt tydlig för att den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen ska kunna tillämpas. Med hänsyn till den ur dataskyddsperspektiv oklara inne- börden av 39 § bedömer utredningen även att det är tveksamt om den rättsliga grunden i första ledet i artikel 6.1 e är tillämplig. För att säker- ställa att det finns en rättslig grund för utbildningsanordnarna att till- lämpa när de ska lämna uppgifter om de studerande och deras studie- resultat m.m. till MYH finns det därmed ett behov av en reglering.
Utredningen anser att en sådan reglering bör utformas på motsva- rande sätt som för utbildningsanordnarna inom yrkeshögskolan, dvs. genom ett bemyndigande till MYH att meddela föreskrifter om att utbildningsanordnarna ska lämna vissa uppgifter till MYH om de studerande och deras studieresultat m.m. I förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns det bestämmelser om bemyndigande i 40 §. En bestämmelse som den i 2 kap. 17 § förordningen om yrkeshögskolan placeras därför lämpli- gast i 40 §. Om en sådan bestämmelse införs, och om MYH använder sig av bemyndigandet på motsvarande sätt som MYH gjort med 2 kap. 17 § förordningen om yrkeshögskolan, kan de som anordnar utbildningar som avses i förordningen om stöd för konst- och kul- turutbildningar och vissa andra utbildningar också tillämpa de rättsliga grunderna i artikel 6.1 c och första ledet i artikel 6.1 e i data- skyddsförordningen när de lämnar uppgifter till MYH om de stude- rande.
347
7 Folkbildning
Folkbildningen har traditionellt ansetts innefatta fyra grenar: folk- bibliotek, folkhögskolor, föreläsningsföreningar och studieförbund. I utredningens uppdrag ingår att undersöka vilken reglering som behövs för att folkhögskolor och studieförbund ska kunna behandla personuppgifter om deltagare när dataskyddsförordningen ska börja tillämpas och den generella reglering som Dataskyddsutredningen föreslår träder i kraft.
7.1Folkhögskolorna
7.1.1Allmänt
I Sverige finns 154 folkhögskolor. Majoriteten (112 stycken) av dem drivs av folkrörelser eller andra organisationer. Övriga drivs av regio- ner/landsting (41 stycken) eller kommuner (1)1. Folkhögskolan är en studieform för vuxna. Utbildningsformen har av tradition beskri- vits med orden fri och frivillig, ett möjligt val för myndiga personer.
Folkhögskolorna är inte bundna till centralt fastställda läroplaner utan arbetar efter egna verksamhetsplaner. Varje folkhögskola bestäm- mer självständigt vilka kurser som ska anordnas och vilken profil sko- lan ska ha. Vissa ramar för folkhögskolan anges dock i förordningen (2015:218) om statsbidrag till folkbildningen och i de villkor och rikt- linjer som Folkbildningsrådet har fastställt för verksamheten, t.ex. beträffande studieomdömen.
För att en folkhögskola ska kunna erhålla statsbidrag för anord- nandet av vissa slags kurser krävs att kurserna har ett visst innehåll. Detta gäller t.ex. för teckenspråksutbildning för föräldrar till barn
1
349
Folkbildning |
SOU 2017:49 |
som för kommunikation är beroende av teckenspråk. Bestämmelser om detta finns i förordningen (1997:1158) om statsbidrag för teckenspråksutbildning för vissa föräldrar.
Folkhögskolor kan även välja att anordna utbildning som motsva- rar kommunal vuxenutbildning i svenska för invandrare. För denna utbildning gäller bestämmelserna i 24 kap.
Folkhögskolorna har olika typer av kurser med en mängd olika inriktningar och ämnesområden, t.ex. allmän kurs som är ett alterna- tiv till gymnasieskolan eller kommunal vuxenutbildning på olika nivåer, särskilda kurser, yrkesutbildningar och kortkurser. De all- männa kurserna har en nedre åldersgräns på 18 år. Sökande med en kort tidigare skolutbildning har normalt företräde till de allmänna kurserna. Allmän kurs kan ge behörighet till högskolestudier och yrkeshögskolestudier. Till högskola och universitet ansöker stude- rande från folkhögskola i en egen urvalsgrupp. Myndigheten för yrkeshögskolan (MYH) har utfärdat föreskrifter om vilka slags ut- bildningar vid folkhögskola som ger behörighet till utbildning inom yrkeshögskolan.
Folkhögskolorna finansieras genom statsbidrag och landstings- bidrag. Det är Folkbildningsrådet som fördelar statsbidrag till folk- högskolor. Statsbidrag för bedrivande av tolkutbildning fördelas av MYH enligt förordningen (2012:140) om statsbidrag för viss utbild- ning som rör tolkning och teckenspråk. Statsbidrag enligt förord- ningen om statsbidrag för teckenspråksutbildning för vissa föräldrar fördelas av Specialpedagogiska skolmyndigheten.
Av studiestödsförordningen (2000:655) framgår att studerande på folkhögskola kan få studiestöd genom Centrala studiestödsnämnden.
7.1.2Behandling av personuppgifter inom folkhögskolorna
Det finns ingen särskild reglering för folkhögskolornas personupp- giftsbehandling. I dagsläget är det således bestämmelserna i person- uppgiftslagen (1998:204) som folkhögskolorna har att tillämpa vid behandling av personuppgifter.
350
SOU 2017:49 |
Folkbildning |
Folkhögskolorna inhämtar normalt ett samtycke till behand- lingen från den enskilde. Det är därmed den rättsliga grunden sam- tycke som folkhögskolorna tillämpar som stöd för sin behandling av personuppgifter.
Nästan samtliga 154 folkhögskolor använder administrationspro- grammet SchoolSoft anpassat för folkhögskolan för sin behandling av deltagarnas personuppgifter. Respektive folkhögskola väljer vilka personuppgifter den vill registrera men för- och efternamn är obliga- toriska uppgifter. I de fall myndighetsrapporter kräver det registreras även personnummer. Folkhögskolorna behandlar personuppgifter för att kunna t.ex. handlägga ansökningar, utfärda intyg och i vissa utbildningar utöver folkbildningsverksamhet betyg samt för att ta fram underlag till rapporter och statistik.
Folkhögskolorna använder olika lärplattformar, t.ex. Ping Pong och itslearning, men även Google drive och SharePoint. Som rättslig grund för behandlingen av personuppgifter inom lärplattformarna används samtycke. De personuppgifter som behandlas är bl.a. per- sonnummer, adress och telefonnummer.
De folkhögskolor som bedriver internat registrerar på gruppnivå uppgifter om allergi.
Det förekommer att vissa folkhögskolor som anordnar kontakt- tolkutbildning antecknar tolkspråk i sitt register.
7.1.3Utredningens uppdrag i denna del
Rättslig grund
För att personuppgifter ska få ingå i eller komma att ingå i ett register eller behandlas helt eller delvis automatiskt krävs att åtmin- stone en rättslig grund i artikel 6.1 i dataskyddsförordningen är tillämplig. Enligt artikel 6.3 ska grunden för den behandling av per- sonuppgifter som avses i artikel 6.1 c (rättslig förpliktelse) och e (uppgift av allmänt intresse eller myndighetsutövning) fastställas i enlighet med unionsrätten eller den nationella rätten som den per- sonuppgiftsansvarige omfattas av. Enligt kommittédirektiven behö- ver det analyseras vad dataskyddsförordningens krav i denna del innebär i fråga om nationell författningsreglering. Dataskyddsutred- ningen ska analysera om det behövs kompletterande bestämmelser
351
Folkbildning |
SOU 2017:49 |
som ger ett generellt stöd för myndigheters och andra organs behandling och lämna behövliga och lämpliga författningsförslag.
När det gäller behandling av personuppgifter som utförs av myn- digheter, kommuner, landsting och enskilda inom utbildningsområ- det, förutom forskningsverksamhet, uppdras det åt utredningen att analysera om en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutred- ningen kommer att föreslå, för att säkerställa att nödvändig behand- ling av personuppgifter inom utbildningsområdet kan ske på ett ända- målsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.
Utredningen ska därför undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom folkbildningsområdet, där- ibland folkhögskolorna, som är möjlig och kan behövas utöver data- skyddsförordningen och den generella reglering som Dataskydds- utredningen kommer att föreslå samt lämna de författningsförslag som behövs.
Känsliga personuppgifter
Av kommittédirektiven framgår att det inom utbildningsområdet i vissa fall är nödvändigt att behandla känsliga personuppgifter. Utred- ningen ska i denna del därför analysera om det, utöver dataskydds- förordningen och den generella reglering som Dataskyddsutredning- en kommer att föreslå, finns behov av kompletterande bestämmelser som reglerar behandling av känsliga personuppgifter inom folkhög- skolorna.
7.1.4Rättslig grund för personuppgiftsbehandling
Bedömning: Folkhögskolorna tillämpar i dagsläget den rättsliga grunden samtycke som stöd för sin personuppgiftsbehandling. De kan när dataskyddsförordningen ska börja tillämpas fortsätta att använda samtycke, dvs. artikel 6.1 a, som rättslig grund för sin personuppgiftsbehandling.
I praktiken är utrymmet för att inom ramen för de icke offent- ligt drivna folkhögskolornas fria och frivilliga verksamhet tilläm- pa den rättsliga grunden intresseavvägning (artikel 6.1 f) synner- ligen begränsat.
352
SOU 2017:49 |
Folkbildning |
Folkhögskolor som anordnar utbildning motsvarande kom- munal vuxenutbildning i svenska för invandrare, vilken regleras av skollagen med anslutande föreskrifter, kan behandla personupp- gifter om studerande i den verksamheten även med stöd av den rättsliga grunden uppgift av allmänt intresse (artikel 6.1 e).
Allmänt
För att personuppgifter ska kunna behandlas helt eller delvis auto- matiskt eller annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register ska få ske när data- skyddsförordningen ska börja tillämpas den 25 maj 2018 krävs att åtminstone en av de rättsliga grunderna i artikel 6.1 i dataskyddsför- ordningen är tillämplig.
En rättslig grund är att den enskilde har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ända- mål (6.1 a). En annan grund som enligt utredningens bedömning aktualiseras för folkhögskolornas del är uppgift av allmänt intresse (6.1 e). Sistnämnda rättsliga grund kan tillämpas av både offentliga och privata aktörer. Det krävs dock att uppgiften av allmänt intresse är fastställd i svensk rätt. I sammanhanget ska skäl 41 till dataskydds- förordningen beaktas. Där anges att en rättslig grund eller lagstift- ningsåtgärd, som dataskyddsförordningen hänvisar till, bör vara tyd- lig och precis och dess tillämpning förutsägbar för personer som om- fattas av den.
Behandling av personuppgifter får vidare även ske om behand- lingen är nödvändig för ändamål som rör den personuppgiftsansva- riges eller en tredje parts berättigade intressen, om inte den registre- rades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (artikel 6.1 f). Denna senare rättsliga grund, intresseavvägningen, gäller inte för behand- ling som utförs av offentliga myndigheter när de fullgör sina upp- gifter (artikel 6.1 andra stycket).
353
Folkbildning |
SOU 2017:49 |
Skäl för bedömning
Folkhögskolorna tillämpar i dagsläget samtycke från den registrerade som rättslig grund för sin personuppgiftsbehandling. Av skäl 43 till dataskyddsförordningen framgår att samtycke inte bör utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna sär- skilda situation omfattar.
Detta skäl är nytt jämfört med dataskyddsdirektivet. Någon mot- svarande skrivning finns inte i skälen till dataskyddsdirektivet. Mot bakgrund av att definitionen av samtycke i princip är densamma i dataskyddsförordningen och dataskyddsdirektivet samt de uttalanden som gjorts av bl.a. Artikel
Studier vid folkhögskola är frivilliga. Folkhögskolan har ett eget bedömningssystem. Betyg förekommer inte i ordinarie folkbild- ningsverksamhet. Den som studerar på allmän kurs kan uppnå behö- righet till högskole- eller yrkeshögskolestudier och få ett studie- omdöme som är en sammanfattande bedömning av den studerandes studieförmåga. De studerande som söker till högskolan söker i en egen urvalsgrupp bara för folkhögskolestuderande. Folkhögskolor- nas verksamhet är i stort sett oreglerad. Själva grundtanken med studieformen folkhögskola är att den ska vara fri och frivillig.
Enligt utredningens bedömning råder det inte en sådan betydande ojämlikhet mellan den studerande och folkhögskolan att ett sam- tycke till personuppgiftsbehandling inte kan anses ha lämnats frivil- ligt. Detta oavsett om folkhögskolans huvudman är en offentlig eller privat aktör. Utredningens bedömning är därför att folkhögskolorna även när dataskyddsförordningen ska börja tillämpas kan använda samtycke som rättslig grund för sin personuppgiftsbehandling.
2 Yttrande 15/2011 om definitionen av begreppet samtycke artikel
354
SOU 2017:49 |
Folkbildning |
Som konstaterats ovan är folkhögskolornas verksamhet i stort sett oreglerad. Av 2 § förordningen om statsbidrag till folkbildning- en framgår dock att folkhögskolorna bedriver
Syftet med statens stöd till folkbildningen är enligt 1 § att stödja verksamhet som bidrar till att stärka och utveckla demokratin samt att bidra till att göra det möjligt för en ökad mångfald människor att påverka sin livssituation och skapa engagemang att delta i samhälls- utvecklingen. Syftet med statsbidraget är även att bidra till att utjäm- na utbildningsklyftor och höja bildnings- och utbildningsnivån i sam- hället samt att bidra till att bredda intresset för och öka delaktigheten i kulturlivet. Folkbildningsrådet ger genom dokument anvisningar för folkhögskolornas studieomdömen och intyg om behörighet för gymnasiestudier och högskole- eller yrkeshögskolestudier (4 §).
Enligt utredningens uppfattning skulle den reglering av folkhög- skolorna som finns i nämnda föreskrifter och andra styrande doku- ment, beslutade med stöd av dessa föreskrifter, vid en närmare pröv- ning i och för sig anses kunna utgöra en i nationell rätt fastställd upp- gift av allmänt intresse. Om så skulle anses vara fallet skulle person- uppgifter kunna behandlas av folkhögskolorna med stöd av den rätts- liga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen.
Utredningen konstaterar att redan i dagsläget är personuppgifts- behandling tillåten om den är nödvändig för att kunna utföra en arbetsuppgift av allmänt intresse (jfr 10 § d PUL). Det rättsliga stödet tillämpas dock enligt de uppgifter utredningen hämtat in inte av folkhögskolorna. Det framstår vidare som tveksamt hur behandling av personuppgifter inom folkhögskolorna utan samtycke skulle kunna förenas med ledorden ”fri och frivillig”. Mot denna bakgrund avstår utredningen från att närmare utreda om behandling av per- sonuppgifter skulle kunna ske med stöd av första ledet i artikel 6.1 e i den hos folkhögskolorna oreglerade verksamheten. Behandling av personuppgifter inom den verksamheten ska således baseras på den enskildes samtycke i enlighet med de krav på samtycke som gäller enligt dataskyddsförordningen (se bl.a. artiklarna 4.11 och 7).
355
Folkbildning |
SOU 2017:49 |
Av samma skäl som gör att utredningen avstår från att närmare utreda möjligheterna för folkhögskolorna att tillämpa den rättsliga grunden uppgift av allmänt intresse, anser utredningen att det så gott som aldrig bör vara aktuellt för de folkhögskolor som inte drivs av myndigheter, landsting eller kommuner att tillämpa den rättsliga grunden intresseavvägning även om de teoretiskt har möjlighet att tillämpa den grunden (artikel 6.1 f). Denna begränsning följer dock inte av dataskyddsförordningen utan av syftet med den verksamhet som folkhögskolorna ska bedriva, nämligen att erbjuda fri och fri- villig utbildning. Det kan noteras att offentligt drivna folkhögskolor enligt dataskyddsförordningen inte får tillämpa bestämmelsen om intresseavvägning för behandling av personuppgifter som utförs när de fullgör sina uppgifter (artikel 6.1 andra stycket).
Som redogörs för i avsnitt 4.6.2 är utredningens bedömning att en folkhögskola som anordnar motsvarande utbildning till kommunal vuxenutbildning i svenska för invandrare enligt 24 kap. 11 § skol- lagen utför en uppgift av allmänt intresse, dvs. tillhandahåller utbild- ning (artikel 6.1 e i dataskyddsförordningen). Genom bestämmel- serna i skollagen är den rättsliga grunden fastställd. Folkhögskolan kan tillämpa den rättsliga grunden uppgift av allmänt intresse för den personuppgiftsbehandling som är nödvändig för att den ska kunna bedriva utbildningen i svenska för invandrare. Det är alltså endast personuppgifter beträffande studerande i svenska för invandrare som kan behandlas med stöd av den grunden.
Även om det finns en rättslig grund enligt artikel 6.1 i data- skyddsförordningen åligger det den personuppgiftsansvarige att be- stämma för vilka särskilda, uttryckligt angivna och berättigade ända- mål som personuppgifterna ska behandlas (artikel 5.1 b i dataskydds- förordningen). Den personuppgiftsansvarige får bara behandla ade- kvata, relevanta och inte för omfattande personuppgifter i förhål- lande till de ändamål för vilka de behandlas (artikel 5.1 c). Av arti- kel 5.2 framgår att den personuppgiftsansvarige ska ansvara för och kunna visa att nämnda och övriga punkter i 5.1 efterlevs.
356
SOU 2017:49 |
Folkbildning |
7.1.5Känsliga personuppgifter
Bedömning: Folkhögskolorna har endast undantagsvis behov av att behandla känsliga personuppgifter. Sådan behandling kan då ske med stöd av samtycke enligt artikel 9.2 a i dataskyddsförord- ningen.
Enligt artikel 9.1 i dataskyddsförordningen ska behandling av per- sonuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgif- ter om en fysisk persons sexualliv eller sexuella läggning vara för- bjuden. Känsliga personuppgifter får dock behandlas enligt artikel 9.2 om vissa förutsättningar är uppfyllda, t.ex. att den registrerade ut- tryckligen har lämnat sitt samtycke till behandlingen av hans eller hennes känsliga personuppgifter för ett eller flera specifika ändamål
(a). Förutom artikel 9 finns det bestämmelser om behandling av känsliga personuppgifter i 3 kap. i Dataskyddsutredningens förslag till lag (2018:xx) med kompletterande bestämmelser till EU:s data- skyddsförordning (dataskyddslagen).
Det förekommer att vissa folkhögskolor som anordnar kontakt- tolkutbildning antecknar tolkspråket i sitt register. Uppgifter om namn och språkkunskaper har i vissa utredningar ansetts utgöra indirekta upplysningar om en persons etniska ursprung (t.ex. SOU 2001:32 s. 124 och SOU 2003:40 s. 180). I Datainspektionens rapport 2002:2 anges att en uppgift om en persons modersmål i vissa fall kan vara en uppgift som indirekt avslöjar etniskt ursprung (s. 8). Regeringen har dock bedömt att en isolerad uppgift om medbor- garskap eller uppgifter om nationalitet eller ursprungsland inte av- slöjar vare sig ras eller etniskt ursprung (prop. 2001/02:144 s. 41 och prop. 2009/10:85 s. 325).
I linje med regeringens bedömning anser utredningen att en upp- gift om tolkspråk i sig inte utgör en känslig personuppgift, men att den tillsammans med andra uppgifter kan bli en uppgift om etniskt ursprung, alltså en känslig personuppgift. Det är svårt att uttala sig om gränsdragningen för när sådana uppgifter utgör känsliga person- uppgifter och i tveksamma fall kan det därför vara lämpligt om
357
Folkbildning |
SOU 2017:49 |
folkhögskolan inhämtar samtycke från den enskilde innan uppgif- terna registreras.
Vidare kan folkhögskolorna, enligt förordningen (2011:1163) om statsbidrag för särskilt utbildningsstöd, ansöka om statsbidrag för kostnader för särskilt utbildningsstöd som erbjuds studerande med funktionsnedsättningar. Ansökan görs till Specialpedagogiska skol- myndigheten. Enligt vad utredningen erfarit lämnas inga direkta per- sonuppgifter in i samband med ansökan. I ansökan framgår endast uppgift om kön och funktionsnedsättning per skola och kurs. Då själva ansökan till Specialpedagogiska skolmyndigheten inte innehål- ler några personuppgifter behöver folkhögskolorna inte något rätts- ligt stöd för att behandla dessa uppgifter i ansökan. Även om en ansökan om statsbidrag för särskilt utbildningsstöd inte innehåller några känsliga personuppgifter kan folkhögskolorna i sin verksamhet behöva behandla sådana uppgifter beträffande studerande med funk- tionsnedsättning. I dagsläget hämtar folkhögskolorna in en form av samtycke från de studerande. Utredningen bedömer att den behand- ling av känsliga personuppgifter som krävs även fortsättningsvis kan ske med stöd av samtycke när dataskyddsförordningen ska börja tillämpas.
Utredningen om ökad insyn i välfärden har i betänkandet Ökad insyn i välfärden (SOU 2016:62 s. 168 ff.) föreslagit att privata folk- högskolor som anordnar utbildning som motsvarar kommunal vuxenutbildning i svenska för invandrare enligt 24 kap. 11−15 §§ skollagen ska omfattas av offentlighetsprincipen. Offentlighetsprin- cipen föreslås dock begränsas till de handlingar som hör till den offentligt finansierade verksamheten. Stöd för behandling av känsliga personuppgifter som eventuellt förekommer i dessa handlingar be- rörs i avsnitt 4.7.5.
Sammanfattningsvis har det inte framkommit att det hos folkhög- skolorna finns ett behov av att annat än undantagsvis behandla käns- liga personuppgifter. Om det i enskilda fall uppstår ett behov av att behandla känsliga personuppgifter är det utredningens uppfattning att detta är tillåtet efter att den enskildes samtycke hämtats in (arti- kel 9.2 a). Mot denna bakgrund finns det inte skäl att möjliggöra be- handling av känsliga personuppgifter genom att reglera detta särskilt.
358
SOU 2017:49 |
Folkbildning |
7.1.6Behov av reglering i övrigt
Bedömning: De rättsliga grunderna samtycke enligt artikel 6.1 a och, beträffande utbildning motsvarande kommunal vuxenutbild- ning i svenska för invandrare, uppgift av allmänt intresse enligt första ledet i artikel 6.1 e i dataskyddsförordningen är tillräckliga för att nödvändig behandling av personuppgifter inom folkhög- skolorna ska kunna ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas. Något behov av ytterligare reglering finns inte.
Enligt ovan bedömer utredningen att folkhögskolorna för sin be- handling av personuppgifter, även känsliga uppgifter, som rättslig grund kan tillämpa samtycke (artikel 6.1 a och 9.2 a i dataskyddsför- ordningen) och att denna grund är tillräcklig för utövandet av folk- högskolornas verksamhet. Folkhögskolor som anordnar utbildning motsvarande kommunal vuxenutbildning i svenska för invandrare kan även tillämpa första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, som rättslig grund för behandling av dessa studerandes per- sonuppgifter.
Utredningen anser att det inte heller i övrigt har framkommit något behov att särskilt reglera folkhögskolornas personuppgifts- behandling. Tvärtom talar folkhögskolornas fristående från staten med en inte obetydlig styrka för att en sådan reglering – utöver data- skyddsförordningen och den föreslagna dataskyddslagen – är direkt olämplig. En sådan reglering skulle nämligen enligt utredningens bedömning leda till att det statliga inflytandet över verksamheten ökar och att folkhögskolornas oberoende därigenom minskar. Det saknas därför anledning att föreslå någon sådan reglering. Folkhög- skolorna kommer då att endast tillämpa dataskyddsförordningen och tillämpliga bestämmelser i dataskyddslagen för sin personuppgifts- behandling.
359
Folkbildning |
SOU 2017:49 |
7.2Studieförbunden
7.2.1Allmänt
Studieförbunden har vuxit fram under
–Arbetarnas bildningsförbund, ABF
–Studieförbundet Bilda
–Folkuniversitetet
–Ibn Rushd Studieförbund
–Kulturens Bildningsverksamhet
–Medborgarskolan
–Nykterhetsrörelsens Bildningsverksamhet, NBV
–Sensus Studieförbund
–Studiefrämjandet
–Studieförbundet Vuxenskolan.
Studieförbunden bedriver verksamhet i landets samtliga kommuner och finns representerade runt om i landet genom sammanlagt 180 lokalavdelningar (prop. 2013/14:172 s. 11). Studiecirkeln utgör den vanligast förekommande verksamhetsformen inom studieför- bunden. Årligen arrangeras cirka 276 000 studiecirklar3 i Sverige med nästan 1,7 miljoner deltagare4. Andelen unika deltagare i studiecirklar uppgick år 2015 till cirka 628 000 personer,5 vilket visar att många deltar i flera studiecirklar. En studiecirkel är en grupp människor som söker kunskap tillsammans. Syftet är att varje individ ska utvecklas. Folkbildningsrådet beslutar genom villkor och fördelningskriterier för statsbidrag till studieförbund vissa kriterier för att en studiecirkel
3www.studieforbunden.se/studieforbund/
4Folkbildningsrådets rapport till regeringen 2016: Folkbildningens betydelse för samhället 2015 – Folkbildningsrådets samlade bedömning, s. 6.
5a.a.
360
SOU 2017:49 |
Folkbildning |
ska berättiga till statsbidrag.6 Vidare fördelar MYH statsbidrag till bl.a. studieförbund för den tolkutbildning som bedrivs.
Förutom studiecirkelverksamheten är studieförbunden aktiva med att anordna kulturprogram, exempelvis föreläsningar och musik- program. En mindre reglerad och mer flexibel studieverksamhet bedrivs under formen annan folkbildningsverksamhet. Denna verk- samhetsform ska ge studieförbundet möjlighet att pröva nya former och utveckla nyskapande folkbildningsverksamhet. Arrangemangen i annan folkbildningsverksamhet kan vara längre och genomföras täta- re än i studiecirklar. Antalet sammankomster kan vara en eller flera (a. prop.). Antalet kulturprogram har ökat kraftigt under senare år i jämförelse med
Studieförbunden arbetar främst med folkbildningsverksamhet för sina deltagare, men har också – i likhet med folkhögskolorna – genomfört uppdragsutbildningar, exempelvis Kunskapslyftet (en till- fällig statlig satsning på vuxenutbildning i slutet av
Utöver de tio ovan nämnda studieförbunden finns även studie- förbundet SISU Idrottsutbildarna som arbetar med
6Folkbildningsrådet, Statsbidrag till studieförbund 2017, Villkor och fördelningskriterier.
7Folkbildningsrådets rapport till regeringen 2016: Folkbildningens betydelse för samhället 2015 – Folkbildningsrådets samlade bedömning, s. 44.
361
Folkbildning |
SOU 2017:49 |
7.2.2Behandling av personuppgifter inom studieförbunden
Det finns ingen särskild reglering för studieförbundens personupp- giftsbehandling. I dagsläget är det således bestämmelserna i person- uppgiftslagen som studieförbunden har att tillämpa vid behandling av personuppgifter.
Studieförbunden inhämtar samtycke från deltagaren och tillämpar samtycke som rättslig grund för sin personuppgiftsbehandling. Ända- målen med behandlingen av personuppgifterna är bl.a. administration av studieverksamhet och återrapportering till Folkbildningsrådet via Statistiska centralbyrån.
Nio av de tio studieförbunden som Folkbildningsrådet fördelar statsbidrag till använder sig av ett administrativt system som Gustav- gruppen utvecklat. Gustav är en akronym för gemensam utveckling av studieförbundens administrativa verksamhetssystem. Gustav är ett samarbete mellan nio studieförbund och sker inom Studieförbun- den i samverkans (Studieförbunden) ram. Syftet är att utveckla och förvalta det gemensamma systemet. Organisationen Studieförbun- den är studieförbundens bransch- och intresseorganisation.
I det administrativa systemet behandlas uppgift om ålder, kön, adress, telefonnummer och personnummer. På individnivå behandlas inte några känsliga personuppgifter. I ett noteringsfält kan uppgifter om allergier eller funktionsnedsättning förekomma som en informa- tion för att nödvändiga förberedelser och val av lokal m.m. ska kun- na göras.
Det förekommer att vissa studieförbund som anordnar kontakt- tolkutbildning antecknar tolkspråk i sitt register.
Inom studieförbundet SISU Idrottsutbildarna anordnas utbild- ning på både nationell nivå och på distriktsnivå. Oavsett på vilken nivå utbildningen anordnas inhämtas samtycke från deltagarna till stöd för behandlingen av deras personuppgifter.
7.2.3Utredningens uppdrag i denna del
Rättslig grund
För att personuppgifter ska få ingå i eller komma att ingå i ett regis- ter eller behandlas helt eller delvis automatiskt krävs att åtminstone en rättslig grund i artikel 6.1 i dataskyddsförordningen är tillämplig.
362
SOU 2017:49 |
Folkbildning |
Enligt artikel 6.3 ska grunden för den behandling av personuppgifter som avses i artikel 6.1 c (rättslig förpliktelse) och e (uppgift av all- mänt intresse eller myndighetsutövning) fastställas i enlighet med unionsrätten eller den nationella rätten som den personuppgifts- ansvarige omfattas av. Enligt kommittédirektiven behöver det ana- lyseras vad dataskyddsförordningens krav i denna del innebär i fråga om nationell författningsreglering. Dataskyddsutredningen ska ana- lysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling och lämna behövliga och lämpliga författningsförslag.
När det gäller behandling av personuppgifter som utförs av myn- digheter, kommuner, landsting och enskilda inom utbildningsom- rådet, förutom forskningsverksamhet, ska utredningen analysera om en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, för att säkerställa att nödvändig behandling av person- uppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.
Utredningen ska därför undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom folkbildningsområdet, där- ibland studieförbunden, som är möjlig och kan behövas utöver data- skyddsförordningen och den generella reglering som Dataskydds- utredningen kommer att föreslå samt lämna de författningsförslag som behövs.
Känsliga personuppgifter
Av kommittédirektiven framgår att det inom utbildningsområdet i vissa fall är nödvändigt att behandla känsliga personuppgifter. Utred- ningen ska i denna del därför analysera om det, utöver dataskydds- förordningen och den generella reglering som Dataskyddsutred- ningen kommer att föreslå, finns behov av kompletterande bestäm- melser som reglerar behandling av känsliga personuppgifter inom studieförbunden.
363
Folkbildning |
SOU 2017:49 |
7.2.4Rättslig grund för personuppgiftsbehandling
Bedömning: Studieförbunden tillämpar i dagsläget den rättsliga grunden samtycke som stöd för sin personuppgiftsbehandling. De kan när dataskyddsförordningen ska börja tillämpas fortsätta att använda samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för sin personuppgiftsbehandling.
I praktiken är utrymmet för studieförbunden att tillämpa den rättsliga grunden intresseavvägning (artikel 6.1 f) synnerligen begränsat.
Allmänt
För att personuppgifter ska kunna behandlas helt eller delvis auto- matiskt eller annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register ska få ske när data- skyddsförordningen ska börja tillämpas den 25 maj 2018 krävs att åtminstone en av de rättsliga grunderna i artikel 6.1 i dataskyddsför- ordningen är tillämplig.
En rättslig grund är att den enskilde har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (6.1 a). En annan grund som enligt utredningens bedöm- ning aktualiseras för studieförbundens del är uppgift av allmänt intresse (6.1 e). Sistnämnda rättsliga grund kan tillämpas av både offentliga och privata aktörer. Det krävs dock att uppgiften av all- mänt intresse är fastställd i svensk rätt. I sammanhanget ska skäl 41 till dataskyddsförordningen beaktas. Där anges att en rättslig grund eller lagstiftningsåtgärd, som dataskyddsförordningen hänvisar till, bör vara tydlig och precis och dess tillämpning förutsägbar för per- soner som omfattas av den.
Behandling av personuppgifter får vidare även ske om behand- lingen är nödvändig för ändamål som rör den personuppgiftsansva- riges eller en tredje parts berättigade intressen, om inte den registre- rades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (artikel 6.1 f).
364
SOU 2017:49 |
Folkbildning |
Skäl för bedömning
Studieförbunden tillämpar i dagsläget samtycke från den registrerade som rättslig grund för sin personuppgiftsbehandling. Studieförbun- den är privata aktörer och det är helt frivilligt att delta i deras verk- samhet. Enligt utredningens bedömning kan det inte anses råda betydande ojämlikhet mellan ett studieförbund och deltagarna i dess verksamhet (jfr skäl 43 till dataskyddsförordningen). Studieförbun- den kan således fortsätta tillämpa samtycke som rättslig grund för sin personuppgiftsbehandling när dataskyddsförordningen ska börja tillämpas.
Studieförbundens verksamhet är i stort sett oreglerad. Av 2 § för- ordningen om statsbidrag till folkbildningen framgår dock att studie- förbunden bedriver
Syftet med statens stöd till folkbildningen är enligt 1 § att stödja verksamhet som bidrar till att stärka och utveckla demokratin samt att bidra till att göra det möjligt för en ökad mångfald människor att påverka sin livssituation och skapa engagemang att delta i samhälls- utvecklingen. Syftet är även att bidra till att utjämna utbildnings- klyftor och höja bildnings- och utbildningsnivån i samhället samt att bidra till att bredda intresset för och öka delaktigheten i kulturlivet.
Enligt utredningens uppfattning skulle den reglering av studieför- bunden som finns i nämnda föreskrifter och andra styrande doku- ment, beslutade med stöd av dessa föreskrifter, vid en närmare pröv- ning i och för sig anses kunna utgöra en i nationell rätt fastställd uppgift av allmänt intresse. Om så skulle anses vara fallet skulle per- sonuppgifter kunna behandlas av studieförbunden med stöd av den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförord- ningen.
Utredningen konstaterar att redan i dagsläget är personuppgifts- behandling tillåten om den är nödvändig för att kunna utföra en arbetsuppgift av allmänt intresse (jfr 10 § d PUL). Det rättsliga stö-
365
Folkbildning |
SOU 2017:49 |
det tillämpas dock enligt de uppgifter utredningen hämtat in inte av studieförbunden. Det framstår vidare som tveksamt hur behandling av personuppgifter inom studieförbunden utan samtycke skulle kun- na förenas med ledorden ”fri och frivillig”, som gäller för folkbild- ningen. Mot denna bakgrund avstår utredningen från att närmare utreda om behandling av personuppgifter skulle kunna ske med stöd av första ledet i artikel 6.1 e hos studieförbunden.
Av samma skäl som gör att utredningen avstår från att närmare utreda möjligheterna för studieförbunden att tillämpa den rättsliga grunden uppgift av allmänt intresse, anser utredningen att det så gott som aldrig bör vara aktuellt för studieförbunden att tillämpa den rättsliga grunden intresseavvägning även om de teoretiskt har möjlig- het att tillämpa den grunden (artikel 6.1 f). Denna begränsning följer inte av dataskyddsförordningen utan av syftet med den verksamhet som studieförbunden ska bedriva, nämligen att erbjuda fri och fri- villig utbildning.
Behandling av personuppgifter inom studieförbundens verksam- het ska således baseras på den enskildes samtycke i enlighet med de krav på samtycke som gäller enligt dataskyddsförordningen (se bl.a. artiklarna 4.11 och 7).
Även om det finns en rättslig grund enligt artikel 6.1 i dataskydds- förordningen åligger det den personuppgiftsansvarige att bestämma för vilka särskilda, uttryckligt angivna och berättigade ändamål som personuppgifterna ska behandlas (5.1 b i dataskyddsförordningen). Den personuppgiftsansvarige får bara behandla adekvata, relevanta och inte för omfattande personuppgifter i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c). Av artikel 5.2 framgår att den personuppgiftsansvarige ska ansvara för och kunna visa att nämnda och övriga punkter i 5.1 efterlevs.
7.2.5Känsliga personuppgifter
Bedömning: Studieförbunden har endast undantagsvis behov av att behandla känsliga personuppgifter. Sådan behandling kan då ske med stöd av samtycke enligt artikel 9.2 a i dataskyddsför- ordningen.
366
SOU 2017:49 |
Folkbildning |
Enligt artikel 9.1 i dataskyddsförordningen ska behandling av per- sonuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgif- ter om en fysisk persons sexualliv eller sexuella läggning vara förbju- den. Känsliga personuppgifter får dock behandlas enligt artikel 9.2 om vissa förutsättningar är uppfyllda, t.ex. att den registrerade ut- tryckligen har lämnat sitt samtycke till behandlingen av hans eller hennes känsliga personuppgifter för ett eller flera specifika ändamål
(a). Förutom artikel 9 finns det bestämmelser om behandling av känsliga personuppgifter i 3 kap. i Dataskyddsutredningens förslag till dataskyddslag.
Det förekommer att studieförbund som anordnar kontakttolk- utbildning antecknar tolkspråket i sina register. Uppgifter om namn och språkkunskaper har i vissa utredningar ansetts utgöra indirekta upplysningar om en persons etniska ursprung (t.ex. SOU 2001:32 s. 124 och SOU 2003:40 s. 180). I Datainspektionens rapport 2002:2 anges att en uppgift om en persons modersmål i vissa fall kan vara en uppgift som indirekt avslöjar etniskt ursprung (s. 8). Regeringen har dock bedömt att en isolerad uppgift om medborgarskap eller uppgifter om nationalitet eller ursprungsland inte avslöjar vare sig ras eller et- niskt ursprung (prop. 2001/02:144 s. 41 och prop. 2009/10:85 s. 325).
I linje med regeringens bedömning anser utredningen att en uppgift om tolkspråk i sig inte utgör en känslig personuppgift, men att den tillsammans med andra uppgifter kan bli en uppgift om etniskt ursprung, alltså en känslig personuppgift. Det är svårt att ut- tala sig om gränsdragningen för när sådana uppgifter utgör känsliga personuppgifter och i tveksamma fall kan det därför vara lämpligt om studieförbunden inhämtar samtycke från den enskilde innan uppgifterna registreras.
Det har således inte framkommit att det hos studieförbunden finns ett behov av att annat än undantagsvis behandla känsliga per- sonuppgifter. Om det i enskilda fall, t.ex. beträffande en studerande med funktionsnedsättning, uppstår ett behov av att behandla käns- liga personuppgifter är det utredningens uppfattning att detta är tillåtet efter att den enskildes samtycke hämtats in (artikel 9.2 a). Mot denna bakgrund finns det inte skäl att möjliggöra behandling av känsliga personuppgifter genom att reglera detta särskilt.
367
Folkbildning |
SOU 2017:49 |
7.2.6Behov av reglering i övrigt
Bedömning: Den rättsliga grunden samtycke enligt artikel 6.1 a i dataskyddsförordningen är tillräcklig för att nödvändig behand- ling av personuppgifter inom studieförbunden ska kunna ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättig- heter skyddas. Något behov av ytterligare reglering finns inte.
Enligt ovan bedömer utredningen att studieförbunden för sin be- handling av personuppgifter, även känsliga uppgifter, som rättslig grund kan tillämpa samtycke (artikel 6.1 a och 9.2 a i dataskydds- förordningen) och att denna grund är tillräcklig för utövandet av studieförbundens verksamhet. Utredningen anser att det inte heller i övrigt har framkommit något behov att särskilt reglera studieförbun- dens personuppgiftsbehandling. Tvärtom talar studieförbundens fristående från staten med en inte obetydlig styrka för att en sådan reglering – utöver dataskyddsförordningen och föreslagna data- skyddslagen – är direkt olämplig. En sådan reglering skulle nämligen enligt utredningens bedömning leda till att det statliga inflytandet över verksamheten ökade och att studieförbundens oberoende där- igenom minskade. Det saknas därför anledning att föreslå någon sådan reglering. Studieförbunden kommer då endast att tillämpa data- skyddsförordningen och tillämpliga bestämmelser i dataskyddslagen för sin personuppgiftsbehandling.
7.3Register över deltagare
i studieförbundens verksamhet
7.3.1Allmänt
Folkbildningsrådet (FBR) är en ideell organisation med tre medlem- mar som tillsammans representerar svensk folkbildning. Medlem- marna är Studieförbunden i samverkan som representerar de tio studieförbunden, Rörelsefolkhögskolornas intresseorganisation som representerar de folkhögskolor som har folkrörelser och andra orga- nisationer som huvudmän, och Sveriges Kommuner och Landsting i egenskap av företrädare för offentligägda folkhögskolor.
368
SOU 2017:49 |
Folkbildning |
FBR har fått vissa myndighetsuppdrag av riksdagen och reger- ingen. Genom 7 b § lagen (1976:1046) om överlämnande av förvalt- ningsuppgifter inom Utbildningsdepartementets verksamhetsområ- de har FBR anförtrotts förvaltningsuppgiften att pröva frågor om fördelning av statsbidrag mellan folkhögskolor, studieförbund och studerandeorganisationer inom folkhögskolan. Fördelningen av stats- bidrag till folkbildningen regleras i förordningen om statsbidrag till folkbildningen. Regeringen beslutar varje år om riktlinjer för FBR när det gäller uppgiften att fördela statsbidrag och den redovisning av den verksamheten som FBR ska lämna till regeringen.
Enligt 15 § förordningen om statsbidrag till folkbildningen ska FBR kontinuerligt följa upp och utvärdera verksamheten i för- hållande till de syften med folkbildningen som anges i förordning- en och de villkor som föreskrivits för att statsbidrag ska lämnas. FBR ska också i enlighet med de riktlinjer som regeringen medde- lar lämna regeringen sådana sakuppgifter om verksamheten och sådan verksamhetsredovisning som behövs för uppföljning och utvärdering8. FBR ska därvid redovisa hur statsbidraget har använts för studieförbundens verksamhet.
FBR:s samlade uppföljningsverksamhet består av flera delar med olika syften och inriktning, bl.a. uppföljning av statsbidragsvillkor, förebyggande av felaktig bidragsanvändning, underlag för fördelning av statsbidrag och återrapportering till regeringen.
Av FBR:s villkor och fördelningskriterier för statsbidrag till stu- dieförbund9 framgår att bidragsmottagaren är skyldig att regelbundet eller på begäran tillställa FBR dokument, handlingar och uppgifter som FBR bedömer vara nödvändiga för att kunna fullfölja sina myn- dighetsuppgifter. Vidare anges att statsbidragsvillkorade handlingar utgörs av bl.a. STUV (studieförbundens verksamhetsredovisning med gruppuppgifter), dokumentation och statistik samt deltagar- rapport med personuppgifter. Av de särskilda anvisningarna framgår att studieförbund årligen ska avrapportera den bidragsberättigade verksamheten i två delar, varav deltagarrapport med personnummer är den ena. För studiecirkel eller annan folkbildningsverksamhet krävs rapportering av uppgifter om deltagare. Samtycke till registre-
8Regeringens beslut
9FBR, Statsbidrag till studieförbund 2017, villkor och fördelningskriterier, s. 18 och 23.
369
Folkbildning |
SOU 2017:49 |
ring ska inhämtas i samband med information om registreringen vid deltagarens anmälan. Vissa uppräknade undantag från personnum- merrapportering accepteras.
FBR har genom årliga avtal med Statistiska centralbyrån (SCB) gett SCB i uppdrag att hantera insamlingen och framställa deltagar- statistiken. Insamlingen av uppgifter till deltagarstatistiken görs vid två tillfällen per år från de tio studieförbunden. Studieförbunden rap- porterar således två gånger per år in deltagarnas personuppgifter till SCB. SCB bearbetar sedan dessa uppgifter genom att matcha per- sonnummer mot Registret över totalbefolkningen och hämtar där- igenom uppgifter om bl.a. folkbokföring (på län- och kommunnivå), kön, ålder, utländsk/svensk bakgrund och född i Sverige/utomlands. Vidare hämtas uppgift om deltagarnas högsta utbildning från Utbild- ningsregistret.
SCB sammanställer en gång per år aggregerade, sekretessgrans- kade och avidentifierade data till FBR. FBR har inte tillgång till per- sonuppgifterna utan personuppgifter och kod för att knyta uppgift till en enskild individ finns hos SCB. Det är SCB som förvaltar registret.
I utredningens kommittédirektiv anges att FBR är personupp- giftsansvarig för ett centralt register som innehåller uppgifter om del- tagare i studiecirklar och annan folkbildningsverksamhet. Av den beskrivning som getts av FBR framgår dock att det inte är ett centralt register utan flera register/personuppgiftssamlingar. Vid två tillfällen varje år skapas utifrån studieförbundens rapportering ett nytt register över de som deltar i studiecirklar och annan folkbild- ningsverksamhet. Tre månader efter att SCB levererat aggregerad statistik i exceltabeller till FBR gallras, dvs. raderas, det insamlade materialet. Kodnyckeln för insamlingen som skett under vårter- minen sparas dock i tre år för att möjliggöra uppföljning av nya och återkommande deltagare. Därefter gallras även kodnyckeln löpande årsvis. För halvårsinsamlingen gallras materialet utan sparande av kodnyckel tre månader efter att bearbetningen gjorts. FBR är per- sonuppgiftsansvarig för registren och SCB är personuppgiftsbiträde och förvaltar registren.
Syftena med dessa centrala register är dels att kunna ta fram den statistik som krävs för återrapportering till Regeringskansliet i form av årsredovisning och budgetunderlag som FBR är skyldigt att göra, dels att skapa underlag för fördelningen av statsbidrag och att med
370
SOU 2017:49 |
Folkbildning |
detta som underlag göra det möjligt att tillföra folkbildningsverk- samheten i övrigt offentlig utbildnings- och kulturstatistik.
Cirka 2,4 miljoner deltagare per år rapporteras till registren. År 2013 var det fråga om 914 763 unika individer.
Någon särskild registerförfattning som reglerar behandlingen av personuppgifter i registren finns inte.
7.3.2Utredningens uppdrag i denna del
Som nämnts i föregående avsnitt omfattas FBR:s register över delta- gare i studiecirklar och annan folkbildningsverksamhet hos studie- förbunden inte av någon särskild registerförfattning. Datainspek- tionen har en i skrivelse till Regeringskansliet (Utbildningsdeparte- mentet) konstaterat att det är ett mycket omfattande register och har påtalat att myndigheten anser att ett centralt register av denna omfattning och detta slag behöver regleras i en särskild registerför- fattning10.
Av utredningens kommittédirektiv framgår att en bedömning av om registret behöver regleras i en särskild registerförfattning behö- ver göras mot bakgrund av att personuppgiftslagen kommer att upp- hävas när dataskyddsförordningen ska börja tillämpas. Vidare anges att bestämmelserna i en eventuell registerförfattning behöver vara anpassade till bestämmelserna i dataskyddsförordningen och till den generella reglering som Dataskyddsutredningen kommer att föreslå och de regleringar på utbildningsområdet som utredningen kan kom- ma att föreslå.
Mot den bakgrunden ska utredningen analysera om det behövs något författningsstöd utöver dataskyddsförordningen, den gene- rella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredaren kan komma att lämna för att personupp- gifter ska kunna behandlas i registret över deltagare i studiecirklar och annan folkbildningsverksamhet hos studieförbunden. Utred- ningen ska även lämna de författningsförslag som behövs.
10 Datainspektionens skrivelse
371
Folkbildning |
SOU 2017:49 |
7.3.3Behov av reglering
Bedömning: FBR och studieförbunden tillämpar samtycke från deltagarna i studiecirklar och annan folkbildningsverksamhet som rättslig grund för behandlingen av deras personuppgifter i FBR:s centrala uppgiftssamlingar över deltagare i studiecirkel och annan folkbildningsverksamhet som förvaltas av SCB. FBR och studie- förbunden kan även efter det att dataskyddsförordningen ska börja tillämpas använda samtycke, dvs. artikel 6.1 a i dataskydds- förordningen, till stöd för denna personuppgiftsbehandling.
Varken 2 kap. 6 § regeringsformen eller några andra skäl for- drar att det införs någon särskild reglering av behandlingen av per- sonuppgifter hos FBR i fråga om uppgiftssamlingarna.
Rättslig grund för behandling av personuppgifter
Enligt artikel 6.1 i dataskyddsförordningen krävs att åtminstone ett av de i artikeln uppräknade villkoren är uppfyllt för att behandling av personuppgifter ska vara laglig. Ett sådant villkor är samtycke från den registrerade (a). Ett annat villkor är att behandlingen är nödvän- dig för att fullgöra en rättslig förpliktelse som åvilar den personupp- giftsansvarige (c). Ett ytterligare villkor är att behandlingen är nöd- vändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (e).
Enligt artikel 6.3 första stycket krävs att den grund för behand- lingen som avses i punkt 1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den person- uppgiftsansvarige omfattas av. Dataskyddsutredningen har uttalat att grunden för behandlingen inte kan vara behandlingen i sig (SOU 2017:39 avsnitt 8.3.1). Med grunden för behandlingen avses den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen. Beträffande rättsliga förpliktelser (arti- kel 6.1 c) har Dataskyddsutredningen ansett att dessa kan vara fast- ställda genom att framgå av författning, men även av myndighets- beslut och domar som har meddelats med stöd av gällande rätt (SOU 2017:39 avsnitt 8.3.2). Även angående uppgifter av allmänt intresse har ansetts att dessa kan vara fastställda genom författning
372
SOU 2017:49 |
Folkbildning |
eller beslut som följer av lag eller annan författning (SOU 2017:39 avsnitt 8.3.4).
Enligt artikel 6.3 andra stycket ska dessutom avseende 6.1 c syftet med behandlingen vara fastställt i den rättsliga grunden. Beträffande behandling enligt 6.1 e ska syftet med behandlingen vara nödvändigt för att utföra en uppgift av allmänt intresse. Unionsrätten eller med- lemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Den första frågan som utredningen behöver ta ställning till är vilken eller vilka rättsliga grunder som personuppgiftsbehandling i nämnda register kan grundas på.
FBR är en ideell organisation som genom 7 b § lagen om överläm- nande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde har anförtrotts förvaltningsuppgiften att pröva frågor om fördelning av statsbidrag mellan folkhögskolor, studieför- bund och studerandeorganisationer inom folkhögskolan. I 5 § andra stycket förordningen om statsbidrag till folkbildningen anges att FBR beslutar om vilka som ska få statsbidrag och fördelar tillgäng- liga medel mellan dem. Vidare anges i 15 § andra stycket att FBR ska, i enlighet med de riktlinjer som regeringen meddelar, lämna reger- ingen sådana sakuppgifter om verksamheten och sådan verksamhets- redovisning som behövs för uppföljning och utvärdering.
Regeringen meddelar årligen riktlinjer för FBR. I riktlinjerna för 2017 anges att FBR ska redovisa hur statsbidraget har använts för studieförbundens verksamhet. Detta ska ske genom att antalet studiecirklar, antalet studietimmar och ämnesinriktning på cirklarna anges. Det totala deltagarantalet ska redovisas. Även bl.a. antalet del- tagare som är utrikes födda och deltagarnas utbildningsbakgrund ska redovisas.11
Av nämnda bestämmelser framgår att förvaltningsuppgifter som innefattar myndighetsutövning anförtrotts åt FBR. Uppgifterna består i att FBR i den mån det finns tillgång till medel ska besluta bl.a. vilka studieförbund som ska få statsbidrag och fördela tillgäng- liga medel mellan dem. Nödvändig behandling av personuppgifter
11 Regeringens beslut
373
Folkbildning |
SOU 2017:49 |
för att utföra myndighetsutövningen kan därför ske med stöd av 6.1 e i dataskyddsförordningen.
FBR är genom de riktlinjer regeringen beslutat om förpliktad att redovisa hur statsbidraget har fördelats och bl.a. redogöra för antalet studiecirklar och antalet studietimmar. Vidare ska det totala antalet deltagare redovisas. Antalet deltagare som är utrikes födda och anta- let deltagare med funktionsnedsättning liksom deltagarnas utbild- ningsbakgrund ska anges. Enligt utredningens uppfattning är det fråga om sådana rättsliga förpliktelser som avses i 6.1 c i dataskydds- förordningen. FBR redovisar i deltagarregistret uppgifter om utri- kes- och inrikesfödda, utbildningsbakgrund, ålder och kön. Uppgif- ter om antalet deltagare med funktionsnedsättning samlas inte in på individnivå utan redovisas i ett annat sammanhang.
Av den rättsliga förpliktelsen kan utläsas att antalet deltagare måste redovisas men enligt utredningens bedömning kan dock inte syftet med behandlingen av enskilda deltagares i studieförbunden personuppgifter hos FBR utläsas. Enligt utredningens bedömning kan därför inte den rättsliga grunden rättslig förpliktelse användas som grund för behandlingen.
Frågan är då om den rättsliga grunden uppgift av allmänt intresse är tillämplig. Att tillhandahålla utbildning är enligt utredningens bedömning en uppgift av allmänt intresse. FBR tillhandahåller ingen utbildning men har genom författningar getts i uppdrag att besluta vilka utbildningsanordnare, i form av folkhögskolor och studieför- bund som uppfyller vissa villkor, som ska få statsbidrag samt fördela tillgängliga medel mellan dem. Dataskyddsutredningen anser att uppgifter som utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åliggande bör anses vara av allmänt intresse oavsett om de faktiskt utförs i myndighetens egen regi eller t.ex. genom utkontraktering utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten bör entreprenören anses utföra en uppgift av allmänt intresse (SOU 2017:39 avsnitt 8.3.4). Genom lagen om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhets- område har FBR anförtrotts förvaltningsuppgiften att pröva frågor om fördelning av statsbidrag mellan folkhögskolor, studieförbund och studerandeorganisationer inom folkhögskolan. Enligt utred- ningens bedömning utgör detta en uppgift av allmänt intresse som är
374
SOU 2017:49 |
Folkbildning |
fastställd genom den författningen. Regleringen är tydlig och precis och dess tillämpning är förutsägbar för de som omfattas av den.
FBR skulle således kunna behandla nödvändiga personuppgifter för att utföra uppgiften av allmänt intresse, dvs. i detta fall samla in och föra ett register över deltagarna i studieförbundens studiecirklar och annan folkbildningsverksamhet för att kunna återrapportera till Regeringskansliet, förutsatt att syftet med behandlingen är nödvän- digt för att utföra uppgiften av allmänt intresse (artikel 6.3 andra stycket i dataskyddsförordningen).
Utredningen konstaterar att redan i dagsläget är personupp- giftsbehandling tillåten om den är nödvändig för att kunna utföra en arbetsuppgift av allmänt intresse (jfr 10 § d PUL). Det rättsliga stödet tillämpas dock enligt de uppgifter utredningen hämtat in inte av FBR för nu aktuell personuppgiftsbehandling. Av FBR:s villkor och fördelningskriterier för statsbidrag till studieförbund 2017 framgår i stället att studieförbunden ska inhämta samtycke i samband med information om registreringen vid deltagarens anmälan.
Ett studieförbund formulerar själv målen för sin verksamhet utifrån samhällets stöd till en fri och frivillig folkbildningsverksam- het och utifrån sin profil.12 Att delta i en studiecirkel eller annan folkbildningsverksamhet som anordnas av ett studieförbund är fritt och frivilligt. Det är därmed enligt utredningens mening tydligt att det inte råder betydande ojämlikhet mellan de enskilda vars person- uppgifter behandlas och studieförbunden eller FBR (jfr skäl 43 till dataskyddsförordningen). Både FBR och studieförbunden kan såle- des som i dagsläget använda sig av samtycke som rättslig grund för behandling av personuppgifterna när dataskyddsförordningen ska börja tillämpas. Enligt utredningens uppfattning finns det alltså ingen anledning att hos FBR behandla personuppgifterna med stöd av någon annan rättslig grund än vad som sker i dagsläget enbart på grund av att dataskyddsförordningen ska börja tillämpas.
Det bör dock betonas att en förutsättning för att ett samtycke ska kunna utgöra rättslig grund för personuppgiftsbehandlingen är att de krav som uppställs i förordningen på ett giltigt samtycke är uppfyllda (artikel 4.11, 7 och 8, se även skäl 32, 42 och 43). Utred- ningen är vidare av uppfattningen att det inte heller finns några prak- tiska hinder för studieförbunden att inhämta sådana giltiga sam-
12 FBR, Statsbidrag till studieförbund 2017, villkor och fördelningskriterier, s. 6.
375
Folkbildning |
SOU 2017:49 |
tycken. Studieförbunden och FBR måste dock innan dataskydds- förordningen ska börja tillämpas se över sina rutiner och formulär så att giltiga samtycken kan hämtas in och dokumenteras.
Mot denna bakgrund bedömer utredningen att dataskyddsför- ordningen inte medför att det behöver införas någon särskild regler- ing för att möjliggöra att FBR kan behandla deltagarnas i studie- cirklar och annan folkbildningsverksamhet hos studieförbunden personuppgifter med stöd av dataskyddsförordningen. Utredningen noterar vidare att FBR och de eventuella biträden som anlitas utöver att ha rättslig grund i dataskyddsförordningen även måste uppfylla övriga krav i förordningen såsom exempelvis artiklarna 5 och 89.1.
Regeringsformen och kravet på lagreglering för viss personuppgiftsbehandling
Enligt regeringsformen är var och en gentemot det allmänna skyd- dad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den en- skildes personliga förhållanden (2 kap. 6 §). Begränsningar av denna fri- och rättighet får enligt 2 kap. 20 § första stycket under vissa för- utsättningar göras genom lag.
Datainspektionen har i sitt beslut den 10 oktober 2008 ansett att det centrala register som FBR då påbörjat att skapa över deltagare i studieförbundens studiecirklar och annan folkbildningsverksamhet behövde regleras i en särskild registerförfattning. Registret beräkna- des innehålla uppgifter om över en miljon individer. De uppgifter som registreras är bl.a. namn, personnummer, kön och vilken kurs man deltagit i. Datainspektionens uppfattning var att ett centralt register av denna omfattning och detta slag behövde regleras i en särskild registerförfattning, under förutsättning att det fanns ett behov av ett sådant centralt register och behandlingen av personupp- gifter var proportionell i förhållande till intrånget i den enskildes personliga integritet.13
Av de uppgifter som FBR lämnat till utredningen framgår att studieförbunden tillämpar den rättsliga grunden samtycke från del- tagarna i studiecirklarna och annan folkbildningsverksamhet för att
13 Datainspektionens beslut
376
SOU 2017:49 |
Folkbildning |
bl.a. kunna lämna ut uppgifterna till FBR och för att FBR i sin tur ska kunna behandla uppgifterna för bl.a. statistikändamål. En för- utsättning för att samtycket ska vara giltigt är som ovan angetts att de krav som uppställs i dataskyddsförordningen på ett giltigt sam- tycke är uppfyllda. Det är alltså av avgörande betydelse att studie- förbunden lämnar klar och tydlig information om de personupp- giftsbehandlingar som kommer att ske och i övrigt säkerställer att rättsligt giltiga samtycken kan lämnas. Det ankommer inte på utred- ningen att bedöma om de samtycken som studieförbunden i dags- läget inhämtar uppfyller dessa krav eller inte. Det är en tillsynsfråga.
Då utredningens bedömning som framgått ovan är att samtycke till behandlingen kan fortsätta att utgöra den rättsliga grunden för personuppgiftsbehandlingen är det vidare utredningens uppfattning att regeringsformen inte ställer upp ett krav på en särskild registerlag för FBR:s behandling av deltagarnas i studiecirklar och annan folk- bildningsverksamhet personuppgifter. Det har som framgår av det föregående inte framkommit att det finns skäl för att ändra det rätts- liga stödet för personuppgiftsbehandlingen.
Frågan är då om det ändå är lämpligt att införa någon särskild reglering av de uppgiftssamlingar om deltagarna i studiecirklar och annan folkbildningsverksamhet som lagras hos SCB för FBR:s räk- ning. Utredningen gör i denna fråga följande bedömning.
Det kan konstateras att även om de aktuella registren/uppgifts- samlingarna innehåller uppgifter om ett stort antal individer kan uppgifterna som registreras inte bedömas som särskilt integritets- känsliga. De variabler som ingår i studieförbundens rapportering till SCB om deltagarna i förbundens kurser och arrangemang är:
1.År för deltagande
2.Förbundskod
3.Distriktskod
4.Avdelningskod
5.Län/kommun
6.Arrangemangsnummer
7.Personnummer
8.Förnamn
377
Folkbildning |
SOU 2017:49 |
9. Efternamn
10.Kön
11.Funktion (övrig eller ledare)
12.Notering (skyddad ID, person med samordningsnummer, delta- gare med ofullständigt personnummer, medborgare i EU/EES inkl. Schweiz utan svenskt personnummer)
13.Arrangemangstyp (folkbildning med statsbidrag, uppdrag via
FBR:s avtal ”Svenska från dag ett” eller ”Vardagssvenska”)
SCB kompletterar dessa uppgifter med uppgifter om utländsk/ svensk bakgrund, världsdelskod och utbildningsnivå genom att hämta dem från Registret över totalbefolkningen och Utbildnings- registret. Uppgifterna om utländsk bakgrund och världsdelskod skulle eventuellt i något fall kunna säga något om en individs etnici- tet. Regeringen har dock funnit att en isolerad uppgift om medbor- garskap eller uppgifter om nationalitet eller ursprungsland inte avslö- jar etniskt ursprung (prop. 2001/02:144 s. 41 och prop. 2009/10:85 s. 325). Registren innehåller enligt utredningens bedömning inte några känsliga personuppgifter. Dessutom omfattas uppgifterna hos SCB av statistiksekretess (24 kap. 8 § offentlighets- och sekretess- lagen [2009:400]).
FBR får endast tillgång till aggregerade, sekretessgranskade och avidentifierade data. Tre månader efter leverans till FBR förstörs det insamlade materialet med de av SCB tillagda uppgifterna. De upp- gifter som finns i SCB:s register i tre år är kodnyckeln bestående av id, år för deltagande, förbundskod, distriktskod, avdelningskod, län/kommun och verksamhetsform (dvs. studiecirkel eller annan folkbildningsverksamhet).
Vidare innebär den enskildes samtycke inte i något avseende att fältet är fritt för FBR att behandla personuppgifterna. Kraven i data- skyddsförordningen – inte minst de som framgår av artikel 5 – ska ändå vara uppfyllda. Utredningen konstaterar vidare att införandet av dataskyddsförordningen i väsentliga delar kommer innebära ett utökat skydd för enskildas integritet. Med hänsyn till dessa omstän- digheter anser utredningen att en särskild reglering av nu aktuella
378
SOU 2017:49 |
Folkbildning |
uppgiftssamlingar inte skulle innebära något väsentligt ökat integri- tetsskydd.
Mot den bakgrunden är utredningens bedömning att det inte behövs något ytterligare författningsstöd för den behandling av personuppgifter FBR utför i nu aktuella avseenden.
Det bör även noteras att SCB tillsammans med Myndigheten för kulturanalys i mars 2017 gett in en hemställan till Finansdepartemen- tet om bl.a. en ändring i förordningen (2001:100) om den officiella statistiken så att ansvaret för statistikområdet Studieförbund över- förs från Myndigheten för kulturanalys till SCB.14 Om den begärda ändringen i förordningen om den officiella statistiken genomförs kommer SCB att med stöd av lagen (2001:99) om den officiella sta- tistiken kunna samla in uppgifter motsvarande dem som samlas in i dag och leverera t.ex. aggregerade tabeller till FBR som motsvarar dess behov.
14 SCB:s och Myndigheten för kulturanalys hemställan till Finansdepartementet om ändring i förordningen (2001:100) om den officiella statistiken,
379
8 CSN:s studiestödsverksamhet
8.1Utredningens uppdrag i denna del
Enligt 1 § andra stycket förordningen (2007:1071) med instruktion för Centrala studiestödsnämnden fullgör Centrala studiestödsnämn- den (CSN) uppgifter enligt bl.a. studiestödslagen (1999:1395) och studiestödsförordningen (2000:655). För behandling av personupp- gifter i studiestödsverksamheten tillämpar CSN studiestödsdata- lagen (2009:287). Den innehåller bl.a. bestämmelser om förhållandet till personuppgiftslagen (1998:204, PUL). I studiestödsdataförord- ningen (2009:321) finns bestämmelser som kompletterar studiestöds- datalagens bestämmelser.
När dataskyddsförordningen ska börja tillämpas kommer person- uppgiftslagen att upphävas. Utredningen har därför fått i uppdrag att se över vilka anpassningar av studiestödsdatalagen och studiestöds- dataförordningen som behövs med anledning av dataskyddsförord- ningen, den generella reglering som Dataskyddsutredningen kom- mer att föreslå och de övriga förslag utredningen kan komma att läm- na. Utredningen ska även lämna de författningsförslag som behövs.
8.2Rättslig grund för personuppgiftsbehandling
Bedömning: Studiestödsverksamhet är en för CSN i svensk rätt fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e samt artikel 6.3 första stycket i dataskyddsförord- ningen.
Enligt artikel 6.2 och 6.3 andra stycket är det tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämp- ningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 e. Studiestödsdatalagen
381
CSN:s studiestödsverksamhet |
SOU 2017:49 |
och studiestödsdataförordningen är därmed i sig förenliga med dataskyddsförordningen.
Enligt artikel 6.1 i dataskyddsförordningen krävs att åtminstone ett av de i artikeln uppräknade villkoren är uppfyllt för att behandling av personuppgifter ska vara laglig. Ett sådant villkor är att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (6.1 e). En- ligt artikel 6.3 första stycket ska den grund för behandlingen som av- ses i punkt 1 e fastställas i enlighet med unionsrätten eller en med- lemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
Dataskyddsutredningen föreslår att det i 2 kap. 4 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) ska finnas en bestämmelse som anger att person- uppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförord- ningen om behandlingen är nödvändig bl.a. för att den personupp- giftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av bl.a. lag eller annan författning eller av beslut som har med- delats med stöd av lag eller annan författning. Vidare konstaterar Dataskyddsutredningen att statliga och kommunala myndigheters verksamhet i allt väsentligt är av allmänt intresse och att det är den rättsliga grunden i artikel 6.1 e som vanligen bör tillämpas av myn- digheter (SOU 2017:39, avsnitt 8.3.4). Vidare anför Dataskydds- utredningen följande.
Myndigheternas uppdrag och åligganden framgår av författningar, reger- ingsbeslut och kommunala reglementen, antagna i enlighet med grund- lagens bestämmelser om normgivningskompetens och kommunalt själv- styre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering av myndigheternas obligatoriska uppgifter krävs därmed inte på generell nivå för att myndigheter ska kunna vidta nödvändiga behandlingsåtgär- der för att fullgöra sina uppgifter.
382
SOU 2017:49 |
CSN:s studiestödsverksamhet |
Vid införandet av studiestödslagen uttalade regeringen följande i propositionen Ett reformerat studiestödssystem (prop. 1999/2000:10 s. 65).
Det övergripande utbildningspolitiska målet är att varje medborgare ska ha möjlighet till god utbildning oavsett kön, social eller ekonomisk bakgrund, bostadsort m.m.
[…]
Ekonomisk tillväxt ger möjligheter att trygga välfärden. Det är därför ett samhälleligt intresse att kunskapsbasen hos befolkningen upp- rätthålls och stärks på alla nivåer och att inga grupper lämnas utanför. Situationen med arbetslöshet har ytterligare accentuerat detta faktum. Men ekonomisk tillväxt och landets konkurrenskraft är också beroen- de av medborgarnas beredskap att möta förändringar. Kostnaderna för utbildning och studiestöd kan ses som en samhällelig investering som ger avkastning i ett senare skede i form av ökad ekonomisk tillväxt och social och kulturell utveckling.
Regeringen synes ha varit av uppfattningen att studiestödsverksam- heten är en uppgift av allmänt intresse. Uppgiften att administrera studiestödet ligger dessutom på en statlig myndighet och regleras i lag.
Det rättsliga stödet för behandlingen av personuppgifter i CSN:s studiestödsverksamhet förefaller ha varit artikel 7 e i dataskydds- direktivet, på den grunden att den anses nödvändig för att utföra en arbetsuppgift av allmänt intresse. I förarbetena till studiestödsdata- lagen konstateras nämligen att den registrerade enligt artikel 14 a, om inte den nationella lagstiftningen föreskriver något annat, har rätt att motsätta sig behandling som sker med stöd av bl.a. artikel 7 e, dvs. för att utföra en arbetsuppgift av allmänt intresse. Regeringen ansåg därför att det skulle införas en bestämmelse om att behandling av personuppgifter som får ske oberoende av den registrerades sam- tycke, ska få ske även om den registrerade motsätter sig behandlingen (prop. 2008/09:96 s. 36). En sådan bestämmelse, som nu finns i 5 § studiestödsdatalagen, hade inte varit nödvändigt att införa om reger- ingen inte ansett att artikel 7 e i dataskyddsdirektivet hade varit till- lämplig på behandlingarna.
Enligt utredningens uppfattning finns det inget som tyder på att begreppet allmänt intresse ska uppfattas snävare enligt dataskydds- förordningen än enligt dataskyddsdirektivet. Med hänsyn härtill får en behandling av personuppgifter som tillåtits i en registerförfatt- ning med stöd av den rättsliga grunden i artikel 7 e i dataskydds-
383
CSN:s studiestödsverksamhet |
SOU 2017:49 |
direktivet, dvs. utföra en arbetsuppgift av allmänt intresse, också anses nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Utredningen bedömer såle- des att CSN:s studiestödsverksamhet är en i svensk rätt fastställd uppgift av allmänt intresse.
Det framgår av artikel 6.2 att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behand- ling för att efterleva punkt 1 e. Enligt artikel 6.3 andra stycket andra meningen kan den rättsliga grunden för behandling, som fastställs i den nationella rätten, innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen i form av bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registre- rade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Dataskyddsförordningen medger således att det i nationell rätt finns sådana regleringar (registerförfattningar) som införts genom t.ex. studiestödsdatalagen och studiestödsdataförordningen.
Avslutningsvis ska, enligt artikel 6.3 andra stycket sista meningen i dataskyddsförordningen, den rättsliga regleringen uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Utredningen konstaterar att studiestödsdatalagen och studie- stödsdataförordningen tillkommit i den ordning som regeringsfor- men utpekar för föreskrifter av nu aktuellt slag. Bestämmelserna har bedömts relevanta och proportionerliga av regeringen och, såvitt avser studiestödsdatalagen, även av Lagrådet och riksdagen. Antagan- det av bestämmelserna har dessutom föregåtts av arbete inom ramen för utredningsväsendet och därpå följande remissbehandling. Såvitt framkommit har någon tillsynsmyndighet inte heller uttalat någon kritik eller tveksamhet i dessa avseenden. Det är därför rimligt att utgå från att de ändamål m.m. som fastställts i samband med författ- ningsarbetet är relevanta och proportionerliga i förhållande till det integritetsintrång behandlingarna kan innebära. Denna bedömning är giltig även i de avseenden som avses i dataskyddsförordningen. Utred- ningen har vid genomgången av aktuella författningar inte funnit
384
SOU 2017:49 |
CSN:s studiestödsverksamhet |
några bestämmelser som kan sägas vara irrelevanta eller oproportio- nerliga. Utredningen anser således att föreskrifterna uppfyller kraven i artikel 6.3 andra stycket i dataskyddsförordningen.
Med anledning av att dataskyddsförordningen och en ny gene- rell lagstiftning som i vissa delar kompletterar förordningen ska börja tillämpas, påkallas dock ställningstaganden till och ändringar i vissa av bestämmelserna i studiestödsdatalagen och studiestöds- dataförordningen. Det är därför nödvändigt med en genomgång av befintliga bestämmelser, vilket görs i följande avsnitt.
8.3Behov av ändringar i studiestödsdatalagen
Förslag: Hänvisningen till personuppgiftslagen i 2 § första stycket ska ersättas med en upplysningsbestämmelse om dataskydds- förordningen samt, i andra stycket, en reglering om förhållandet till dataskyddslagen. Det nuvarande andra stycket, som reglerar studiestödsdatalagens förhållande till lagen om den officiella sta- tistiken, ska flyttas till ett nytt tredje stycke. Vidare ska rubriken till 2 § ha lydelsen Förhållandet till annan dataskyddsreglering.
Bestämmelserna i 6 och 8 §§, vilka reglerar begränsningar i rätten att behandla personuppgifter respektive användningen av sökbegrepp, ska ändras på så sätt att de ska omfatta samtliga kate- gorier av personuppgifter som anges i artikel 9.1 i dataskydds- förordningen.
Bestämmelsen i 7 § tredje stycket om återkallande av sam- tycke ska upphävas.
Även 15 § som reglerar rättelse och skadestånd ska upphävas. Rubriken närmast före 15 § ska följaktligen utgå.
Bestämmelsen i 16 § tredje stycket ska ändras på så sätt att formuleringen ”historiska, statistiska eller vetenskapliga ändamål” ändras till ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.
Studiestödsdatalagen består av 16 paragrafer som finns under rubri- kerna Lagens tillämpningsområde, Förhållandet till personuppgifts- lagen och lagen om den officiella statistiken, Personuppgiftsansvar, Ändamål, Begränsningar i rätten att behandla personuppgifter, Sam- tycke av den registrerade, Sökbegrepp, Intern elektronisk tillgång till
385
CSN:s studiestödsverksamhet |
SOU 2017:49 |
personuppgifter, Direktåtkomst och annat elektroniskt utlämnande av personuppgifter, Rättelse och skadestånd samt Gallring. Nedan redogörs för regleringen i respektive paragraf och vilka behov av ändringar som utredningen anser är påkallade med anledning av att dataskyddsförordningen ska börja tillämpas.
Lagens tillämpningsområde
I 1 § första stycket anges att studiestödsdatalagen tillämpas vid be- handling av personuppgifter i CSN:s studiestödsverksamhet. Enligt andra stycket gäller lagen bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sök- ning eller sammanställning enligt särskilda kriterier.
Det saknas skäl att ändra upplysningsbestämmelserna i 1 § om studiestödsdatalagens tillämpningsområde, eftersom de enligt utred- ningens bedömning är förenliga med dataskyddsförordningen.
Förhållandet till personuppgiftslagen och lagen om den officiella statistiken
I 2 § första stycket anges att i den mån personuppgiftslagen innehål- ler bestämmelser om behandling av personuppgifter som saknar motsvarighet i studiestödsdatalagen, ska personuppgiftslagen tillläm- pas vid behandling av personuppgifter i CSN:s studiestödsverksam- het. Av andra stycket framgår att lagen (2001:99) om den officiella statistiken och anslutande författningar ska tillämpas vid CSN:s be- handling av personuppgifter för att framställa statistik i stället för studiestödsdatalagen.
När dataskyddsförordningen ska börja tillämpas kommer person- uppgiftslagen att upphävas och dataskyddslagen träda i kraft. Med anledning av detta behöver den nu aktuella hänvisningen i första stycket ändras.
Dataskyddsförordningen är direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Studiestödsdatalagen innehåller endast sådana tillåtna bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen. För att tilläm- paren ska få en fullständig bild av vilken reglering som gäller bör en
386
SOU 2017:49 |
CSN:s studiestödsverksamhet |
bestämmelse med en upplysning om att dataskyddsförordningen gäller tas in i förordningen.
Den föreslagna dataskyddslagen kommer, på samma sätt som personuppgiftslagen, att vara subsidiär i förhållande till annan lag- stiftning om behandling av personuppgifter. Av tydlighetsskäl bör en hänvisning till dataskyddslagen införas, såsom i dagsläget görs till personuppgiftslagen.
Utredningen föreslår därför att det i 2 § första stycket ska anges att lagen kompletterar dataskyddsförordningen. I andra stycket ska förhållandet till dataskyddslagen regleras. Bestämmelsen i nuvarande andra stycket, om studiestödsdatalagens förhållande till lagen om den officiella statistiken, ska därmed flyttas till ett nytt tredje stycke. Avslutningsvis föreslår utredningen att rubriken ska ha lydelsen För- hållandet till annan dataskyddsreglering.
Personuppgiftsansvar
I 3 § finns en upplysning om att CSN är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Av definitionen i artikel 4.7 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsam- mans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
Enligt utredningens bedömning är därmed bestämmelsen i 3 § studiestödsdatalagen förenlig med dataskyddsförordningen. Bestäm- melsen kan och bör därför behållas.
387
CSN:s studiestödsverksamhet |
SOU 2017:49 |
Ändamål
4 §
Enligt 4 § första stycket får personuppgifter behandlas i CSN:s studiestödsverksamhet bara om det behövs för att
1.handlägga ärenden i den verksamheten,
2.administrera handläggningen,
3.förbereda handläggningen,
4.informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner,
5.ta fram och distribuera bevis om studiestöd för studier till stude- rande, eller
6.anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheterna.
Enligt 4 § andra stycket får personuppgifter som behandlas enligt första stycket även behandlas genom att lämnas ut till den registre- rade själv, riksdagen och regeringen samt, i den utsträckning skyl- dighet för CSN att lämna uppgifter följer av lag eller förordning, till andra. Personuppgifter som behandlas enligt första stycket och som inte direkt pekar ut den registrerade får också behandlas för att ge tillgång till vägledande avgöranden.
I 4 § tredje stycket anges att regeringen får meddela föreskrifter om begränsningar av ändamålen i första stycket och om i vilka fall behandling får göras för att förbereda handläggningen. I
Av tredje stycket i 4 § studiestödsdatalagen framgår att reger- ingen också meddelar föreskrifter om begränsningar av vilka person- uppgifter som får behandlas för ett visst ändamål. I
Utredningen har i avsnitt 8.2 kommit fram till att det för CSN, i enlighet med första ledet i artikel 6.1 e samt artikel 6.3 första stycket i dataskyddsförordningen, finns en i svensk rätt fastställd uppgift av
388
SOU 2017:49 |
CSN:s studiestödsverksamhet |
allmänt intresse att bedriva studiestödsverksamhet. Enligt artikel 6.2 och 6.3 andra stycket är det då tillåtet att i en registerförfattning behålla specifika bestämmelser i form av bl.a. ändamålsbegräns- ningar. Utredningen anser följaktligen att 4 § studiestödsdatalagen är förenlig med dataskyddsförordningen och att lagrummet kan och bör behållas.
5 §
Enligt 5 § får behandling av personuppgifter som enligt studie- stödsdatalagen är tillåten utan den registrerades samtycke utföras även om den registrerade motsätter sig behandlingen. I förarbetena till bestämmelsen uttalas bl.a. följande (prop. 2008/09:96 s. 36).
Det finns behov av att i viss utsträckning kunna behandla personupp- gifter inom CSN:s studiestödsverksamhet oberoende av den registre- rades inställning. Därför ska sådan behandling av personuppgifter som enligt den föreslagna lagen får ske oberoende av den registrerades sam- tycke få ske även om den registrerade motsätter sig behandlingen. Med hänsyn till utformningen av bestämmelsen i artikel 14 dataskyddsdirek- tivet bör det i studiestödsdatalagen tas in en uttrycklig bestämmelse som föreskriver detta.
I artikel 14 i dataskyddsdirektivet regleras den registrerades rätt att göra invändningar. Enligt 14 a ska den registrerade, om den nationella lagstiftningen inte föreskriver något annat, ha rätt att av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandlingen, åtminstone i de fall då uppgifterna behandlas med stöd av en intresseavvägning av det slag som framgår av 10 § f PUL eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. I 12 § andra stycket PUL finns en bestämmelse som anger att en registrerad med ett par undantag inte har rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt personuppgiftslagen.
I dataskyddsförordningen regleras rätten att göra invändningar i artikel 21. Enligt 21.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (uppgift av allmänt intresse eller myndighetsutövning) eller f (intresseavvägning). Den personuppgiftsansvarige får inte längre behandla personuppgifterna
389
CSN:s studiestödsverksamhet |
SOU 2017:49 |
såvida denne inte kan påvisa tvingande berättigade skäl för behand- lingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
Enligt artikel 23.1 e ska det dock vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt, som den personuppgifts- ansvarige eller personuppgiftsbiträdet omfattas av, införa en lagstift- ningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i bl.a. artikel 21. En sådan begränsning ska ske med respekt för andemeningen i de grundläggande rättig- heterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett av unio- nens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland
Enligt artikel 23.2 ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser åtminstone, när så är relevant, avseende
a)ändamålen med behandlingen eller kategorierna av behandling,
b)kategorierna av personuppgifter,
c)omfattningen av de införda begränsningarna,
d)skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,
e)specificeringen av den personuppgiftsansvarige eller kategorier- na av personuppgiftsansvariga,
f)lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling,
g)riskerna för de registrerades rättigheter och friheter, och
h)de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.
Dataskyddsförordningen ställer därmed högre krav på den nationella begränsande regleringen än dataskyddsdirektivet, eftersom det i
390
SOU 2017:49 |
CSN:s studiestödsverksamhet |
dataskyddsdirektivet inte anges några särskilda villkor för en sådan reglering.
Som angetts ovan är det utredningens uppfattning att det är den rättsliga grunden enligt första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, som är tillämplig på CSN:s behandling av person- uppgifter inom studiestödsverksamheten. Enligt artikel 21.1 ska den registrerade då ha rätt att göra invändningar mot behandlingar. En prövning bör därför göras om förutsättningarna enligt artikel 23 för att begränsa den registrerades rätt att göra invändningar är uppfyllda.
I förarbetena till studiestödslagen anges, utöver vad som redo- gjorts för ovan, följande (prop. 1999/2000:10 s. 76).
Studiestödet i form av bidrag och lån är en del av utbildningspolitiken och ska bidra till att förverkliga målen för detta område. Studiestödet ska verka rekryterande och därmed bidra till ett högt deltagande i utbildningen. Det ska vidare ha en utjämnande verkan mellan individer och grupper i befolkningen och därmed bidra till ökad social rättvisa. Studiestödet ska ha en god effekt på samhällets ekonomiska hushållning över tiden.
Utredningens uppfattning är därför att studiestödsdatalagen reglerar behandling av personuppgifter som rör sådana viktiga mål av gene- rellt allmänt intresse som avses i artikel 23.1 e. Lagen med tillhö- rande förordning innehåller även sådana relevanta begränsningar som räknas upp i artikel 23.2, dvs. ändamålen med behandlingen (4 § studiestödsdatalagen), kategorierna av personuppgifter (bl.a.
Enligt utredningens bedömning har studiestödsdatalagen och studiestödsdataförordningen införts efter noggranna överväganden av vilka bestämmelser, utöver de som finns i personuppgiftslagen, som är relevanta i sammanhanget. Förutsättningarna för att behålla begränsningen av den registrerades rätt att göra invändningar i 5 § studiestödsdatalagen är enligt utredningens bedömning därmed upp- fyllda. Bestämmelsen kan och bör därför behållas.
391
CSN:s studiestödsverksamhet |
SOU 2017:49 |
Begränsningar i rätten att behandla personuppgifter
I 6 § första stycket anges att särskilda begränsningar gäller för be- handling av personuppgifter som avslöjar ras, etniskt ursprung, poli- tiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Särskilda begränsningar gäller även för behandling av uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihets- berövanden. Slutligen anges att särskilda begränsningar också gäller för behandling av uppgifter som rör hälsa eller sexualliv.
Av 6 § andra stycket framgår att uppgifter enligt första stycket bara får behandlas för ändamål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket.
I fråga om bestämmelserna i 6 § behöver ändras med anledning av att dataskyddsförordningen ska börja tillämpas gör utredningen föl- jande överväganden.
Känsliga personuppgifter
Enligt artikel 8.1 i dataskyddsdirektivet ska medlemsstaterna förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Bestämmel- sen har införlivats i svensk rätt genom 13 § PUL där nämnda upp- gifter betecknas som känsliga personuppgifter.
Enligt artikel 8.4 i dataskyddsdirektivet får medlemsstaterna, under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse, i sin nationella lagstiftning besluta om undantag från förbudet i artikel 8.1.
Enligt 6 § studiestödsdatalagen gäller, som framgår ovan, särskil- da begränsningar för behandling av bl.a. sådana personuppgifter som enligt 13 § PUL betecknas som känsliga och som det enligt huvud- regeln är förbjudet att behandla. Genom bestämmelsen i 6 § studie- stödsdatalagen finns det därmed ett undantag från förbudet att be- handla känsliga personuppgifter. Sådana undantag är möjliga att införa genom bestämmelsen i artikel 8.4 i dataskyddsdirektivet.
392
SOU 2017:49 |
CSN:s studiestödsverksamhet |
Motsvarande bestämmelse som den i 13 § PUL finns i artikel 9.1 i dataskyddsförordningen. Enligt artikel 9.1 ska dock även behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identi- fiera en fysisk person och uppgifter om sexuell läggning vara för- bjuden.
Med genetiska uppgifter avses enligt artikel 4.13 alla personupp- gifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska per- sons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga.
Avseende genetisk information uttalar regeringen i förarbetena till lagen (2006:351) om genetisk integritet att sådan information kan avslöja såväl hälsotillstånd som etnisk tillhörighet och är därför att betrakta som känsliga personuppgifter (prop. 2005/06:64 s. 63). Även genetiska uppgifter omfattas därmed av förbudet i 13 § PUL, trots att denna kategori till skillnad från artikel 9.1 i dataskydds- förordningen inte uttryckligen anges.
Med biometriska uppgifter avses enligt artikel 4.14 i dataskydds- förordningen personuppgifter som erhållits genom en särskild tek- nisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter.
Förbudet i artikel 9.1 mot att behandla där angivna kategorier av uppgifter ska enligt artikel 9.2 g dock inte tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsent- liga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Genom artikel 9.2 g i dataskyddsförordningen finns det således en motsvarande möjlighet som i artikel 8.4 i dataskyddsdirektivet att av hänsyn till ett viktigt allmänt intresse införa undantag från förbudet att behandla känsliga personuppgifter. Undantaget i 6 § studiestöds- datalagen är därmed förenligt med bestämmelserna i dataskydds- förordningen.
Vad utredningen har att ta ställning till är således om det i 6 § studiestödsdatalagen ska göras någon ändring med anledning av att
393
CSN:s studiestödsverksamhet |
SOU 2017:49 |
artikel 9.1 i dataskyddsförordningen även har genetiska och biomet- riska uppgifter samt uppgifter om sexuell läggning i uppräkningen av vilka kategorier av uppgifter som det ska vara förbjudet att behandla.
Enligt CSN behandlar man uppgifter om hälsa. I studiestödsverk- samheten behöver CSN dock inte behandla uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk över- tygelse eller medlemskap i fackförening eller uppgifter som rör sexualliv. CSN behandlar dock uppgifter om namn och medborgar- skap, vilka tillsammans kan avslöja etniskt ursprung. Enligt CSN kan den registrerade därtill komma in med vilka uppgifter som helst i en skrivelse till myndigheten. Eftersom dessa skrivelser bevaras elektro- niskt behandlas i så fall även de personuppgifter som framgår av skri- velserna.
I förarbetena till studiestödsdatalagen konstaterar regeringen att vissa av de angivna uppgifterna i 13 § PUL normalt inte torde före- komma i CSN:s studiestödsverksamhet. Regeringen uttalar vidare att det dock inte kan uteslutas att även uppgifter som avslöjar t.ex. ras eller filosofisk övertygelse kan förekomma i verksamheten. Även om CSN inte efterfrågar sådana uppgifter kan de ändå förekomma som information i t.ex. ansökningshandlingar eller intyg som lämnas in till myndigheten. Enligt regeringen skulle därför samtliga uppgif- ter som avses i 13 § PUL omfattas av bestämmelsen i studiestöds- datalagen (prop. 2008/09:96 s. 48 f.).
Dataskyddsutredningen konstaterar att viss behandling av käns- liga personuppgifter är oundviklig i myndigheternas verksamhet som en direkt följd av tryckfrihetsförordningens, offentlighets- och sek- retesslagens (2009:400) och förvaltningslagens (1986:223) bestäm- melser om allmänna handlingar, diarieföring och skyldighet att ta emot
Även om CSN för sin studiestödsverksamhet inte har behov av att behandla samtliga kategorier av känsliga personuppgifter finns det sammanfattningsvis således starka skäl som talar för att det i 6 § studiestödsdatalagen ska finnas samma uppräkning av kategorier av känsliga personuppgifter som i artikel 9.1 i dataskyddsförordningen. Utredningen föreslår därför att en sådan ändring ska göras.
394
SOU 2017:49 |
CSN:s studiestödsverksamhet |
Uppgifter om lagöverträdelser m.m.
Enligt 6 § första stycket studiestödsdatalagen gäller särskilda begräns- ningar för behandling av personuppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångs- medel eller administrativa frihetsberövanden, dvs. sådana uppgifter som det enligt 21 § första stycket PUL är förbjudet för andra än myndigheter att behandla.
Motsvarande bestämmelse som den i 21 § första stycket PUL finns i artikel 10 i dataskyddsförordningen. I artikel 10 anges att behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättig- heter och friheter fastställs.
Bestämmelserna om behandling av uppgifter om lagöverträdelser i 21 § PUL och i artikel 10 i dataskyddsförordningen är således inte enhetliga. Begränsningarna i artikel 10 gäller fällande domar, medan begränsningarna i 21 § första stycket PUL omfattar även uppgifter om friande domar. Bestämmelsen i 6 § första stycket studiestöds- datalagen är i denna del därmed mer restriktiv än vad artikel 10 i dataskyddsförordningen är. Dataskyddsförordningen medger att medlemsstaterna inför mer restriktiva bestämmelser än de som finns i förordningen. Utredningen anser därför att 6 § första stycket inte ska ändras i den del som avser uppgifter om lagöverträdelser m.m.
Samtycke av den registrerade
Enligt 7 § första stycket får personuppgifter, trots 4 § första stycket, behandlas i CSN:s studiestödsverksamhet med den registrerades samtycke. Uppgifter som avses i 6 § får behandlas för andra ändamål än som anges i paragrafen bara med den registrerades uttryckliga sam- tycke.
Av 7 § andra stycket följer att uppgifter som behandlas med sam- tycke enligt första stycket också får behandlas enligt 4 § andra stycket, dvs. för utlämnande i vissa fall och för att ge tillgång till väg- ledande avgöranden.
395
CSN:s studiestödsverksamhet |
SOU 2017:49 |
I 7 § tredje stycket anges att i de fall då behandling av personupp- gifter i CSN:s studiestödsverksamhet bara är tillåten när den regi- strerade har lämnat sitt samtycke, har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.
I fråga om bestämmelserna i första och andra stycket bedömer utredningen att dessa kan behållas, eftersom de har stöd i artikel 6.1 a och 9.2 a i dataskyddsförordningen.
När det gäller 7 § tredje stycket framgår det av förarbetena att bestämmelsen motsvarar och avser att ha samma innebörd som 12 § första stycket PUL. Efter en återkallelse får behandling av dessför- innan inhämtade personuppgifter fortsätta i enlighet med det ur- sprungligen lämnade samtycket. Några ytterligare uppgifter får dock inte samlas in eller behandlas. Befintliga uppgifter får alltså inte uppdateras eller kompletteras för det aktuella ändamålet (prop. 2008/09:96 s. 82 f.).
Enligt artikel 7.3 i dataskyddsförordningen ska de registrerade ha rätt att när som helst återkalla sitt samtycke. Återkallandet av sam- tycket ska inte påverka lagligheten av behandling som grundar sig på samtycke, innan detta återkallas.
Artikel 7.3 motsvarar således innehållet i 7 § tredje stycket studie- stödsdatalagen. Eftersom förordningen och dess bestämmelser är direkt tillämpliga föreslår utredningen att bestämmelsen i studie- stödsdatalagen ska upphävas.
Sökbegrepp
Bestämmelserna i 8 § begränsar vilka sökbegrepp som får användas. Enligt första stycket får som sökbegrepp inte användas sådana käns- liga uppgifter som det enligt huvudregeln i 13 § PUL är förbjudet att behandla, dvs. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening samt uppgifter som rör hälsa och sexualliv.
Enligt 8 § första stycket studiestödsdatalagen får inte heller upp- gifter som avser lagöverträdelser som innefattar brott, domar i brott- mål, straffprocessuella tvångsmedel eller administrativa frihetsberö- vanden användas som sökbegrepp, dvs. sådana uppgifter som det
396
SOU 2017:49 |
CSN:s studiestödsverksamhet |
enligt huvudregeln i 21 § första stycket PUL är förbjudet för andra än myndigheter att behandla.
Därutöver får enligt 8 § första stycket studiestödsdatalagen som sökbegrepp inte användas uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott, inte heller uppgift om att det all- männa helt eller till en väsentlig del bekostat en persons uppehälle. Sådana uppgifter har av regeringen ansetts vara av ömtålig eller integ- ritetskänslig natur (prop. 2008/09:96 s. 52).
I 8 § andra stycket finns undantag från förbudet mot att använda ovan angivna uppgifter som sökbegrepp. Dessa får användas vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen (vägledande avgöranden). För att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse får också uppgifter som rör hälsa användas som sökbe- grepp. För att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende får slutligen som sökbegrepp även användas uppgifter som rör inkomst och förmögenhet.
Bestämmelserna i 8 § aktualiserar samma frågeställningar som i 6 §, dvs. om den utvidgade definitionen av känsliga personuppgifter i artikel 9.1 i dataskyddsförordningen och om bestämmelserna om behandling av uppgifter om lagöverträdelser enligt artikel 10 påkallar en ändring av aktuell paragraf i studiestödsdatalagen.
Mot bakgrund av den ändring i 6 § som utredningen föreslår avseende känsliga personuppgifter bör motsvarande ändring göras även i 8 §. I övriga delar anser utredningen att det faktum att data- skyddsförordningen ska börja tillämpas inte föranleder något behov av ändring av lagrummet.
Intern elektronisk tillgång till personuppgifter
I 9 § första stycket anges att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om villkoren för elektro- nisk tillgång till personuppgifterna för den som arbetar i CSN:s stu- diestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten.
397
CSN:s studiestödsverksamhet |
SOU 2017:49 |
Av 9 § andra stycket framgår att CSN ska se till att elektronisk tillgång till personuppgifter dokumenteras. CSN ska också systema- tiskt och återkommande kontrollera om någon obehörig åtkomst till uppgifterna har förekommit. Enligt tredje stycket meddelar reger- ingen eller den myndighet som regeringen bestämmer ytterligare föreskrifter även i dessa delar.
I avsnitt 8.2 anges utredningens ställningstagande att det för CSN, i enlighet med första ledet i artikel 6.1 e samt artikel 6.3 första stycket i dataskyddsförordningen, finns en i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet. Enligt artikel 6.2 och 6.3 andra stycket är det då tillåtet att i en registerförfattning behålla specifika bestämmelser i form av bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandlingar. Utredningen anser följaktligen att 9 § studiestödsdatalagen är förenlig med data- skyddsförordningen och att lagrummet kan och bör behållas.
Direktåtkomst och annat elektroniskt utlämnande av personuppgifter
I studiestödsdatalagen finns fem paragrafer som reglerar utlämnan- de av uppgifter,
Enligt 10 § är utan den registrerades samtycke direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behand- las i CSN:s studiestödsverksamhet tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att 4 och
Enligt 11 § får Försäkringskassan och arbetslöshetskassorna, i den utsträckning CSN har uppgiftsskyldighet enligt lag eller för- ordning, ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet. Regeringen meddelar föreskrifter om vilka personuppgifter som får omfattas av sådan direktåtkomst.
Av 12 § framgår att även den registrerade får ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet, om uppgifterna avser honom eller henne själv eller om uppgifterna finns i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan.
398
SOU 2017:49 |
CSN:s studiestödsverksamhet |
Sådan direktåtkomst får även förekomma om uppgifterna avser dokumentation av den elektroniska tillgång som har förekommit till den registrerades personuppgifter, dock inte sådan information som avslöjar vilken enskild handläggare som haft tillgång till uppgifterna.
I 13 § anges att när personuppgifter får lämnas ut till någon genom direktåtkomst, får personuppgifterna också på något annat sätt lämnas ut elektroniskt till mottagaren. Vidare anges att enstaka personuppgifter även i andra fall får lämnas ut på medium för auto- matiserad behandling eller via elektronisk kommunikation i enskilda fall.
En sista bestämmelse om utlämnande finns i 14 § som anger att på begäran enligt 6 § lagen (2002:1022) om revision av statlig verk- samhet m.m. får personuppgifter lämnas ut till Riksrevisionen på medium för automatiserad behandling.
I dataskyddsförordningen finns inga särskilda bestämmelser om direktåtkomst, utan det krävs – i likhet med vad som gäller för all be- handling av personuppgifter – att behandlingen uppfyller de krav som dataskyddsförordningen ställer, bl.a. de grundläggande krav som finns i artikel 5.
Vidare anser utredningen, som redovisas i avsnitt 8.2, att det för CSN, i enlighet med första ledet i artikel 6.1 e samt artikel 6.3 första stycket i dataskyddsförordningen, finns en i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet. Enligt artikel 6.2 och 6.3 andra stycket är det då tillåtet att i en regis- terförfattning behålla specifika bestämmelser i form av bl.a. de enhe- ter till vilka personuppgifterna får lämnas ut och för vilka ändamål. Utredningen anser följaktligen att bestämmelserna i
Rättelse och skadestånd
I 15 § upplyses om att bestämmelserna i 28 och 48 §§ PUL om rät- telse och skadestånd gäller vid behandling av personuppgifter enligt studiestödsdatalagen eller föreskrifter som har meddelats i anslut- ning till denna lag.
Enligt 28 § PUL är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna så-
399
CSN:s studiestödsverksamhet |
SOU 2017:49 |
dana personuppgifter som inte har behandlats i enlighet med person- uppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen. Eftersom 28 § PUL endast avser sådana personuppgifter som har behandlats i strid med personuppgiftslagen eller föreskrifter som utfärdats med stöd av lagen, har det i studiestödsdatalagen varit nöd- vändigt att hänvisa till personuppgiftslagens bestämmelser.
Enligt artikel 16 i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande.
Eftersom personuppgiftslagen kommer att upphävas behöver även den nu aktuella bestämmelsen i studiestödsdatalagen ändras. Mot bakgrund av att dataskyddsförordningen är direkt tillämplig så- vitt gäller rättelse, till skillnad mot vad som gäller enligt person- uppgiftslagen, ska någon materiell bestämmelse i nationell rätt inte införas. Enligt utredningens mening saknas vidare anledning att in- föra en upplysningsbestämmelse om att det i förordningen finns bestämmelser om rättelse. Med hänsyn till detta föreslår utredningen att 15 §, i den del som avser rättelse, ska upphävas.
Som nämnts ovan anger 15 § att även bestämmelserna i person- uppgiftslagen om skadestånd gäller vid behandling av personupp- gifter enligt studiestödsdatalagen.
Enligt 48 § PUL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personupp- giftslagen har orsakat. Även avseende rätten till skadestånd har det därmed varit nödvändigt att i studiestödsdatalagen hänvisa till per- sonuppgiftslagens bestämmelser.
I dataskyddsförordningen regleras rätten till skadestånd i arti- kel 82. Av artikel 82.1 följer att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskydds- förordningen ska ha rätt till ersättning från den personuppgifts- ansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Av skäl 146 framgår att behandling som strider mot dataskyddsförord- ningen även omfattar behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med dataskydds-
400
SOU 2017:49 |
CSN:s studiestödsverksamhet |
förordningen och medlemsstaternas nationella rätt med närmare specifikation av dataskyddsförordningens bestämmelser.
Dataskyddsutredningen föreslår att 8 kap. 1 § dataskyddslagen ska innehålla en bestämmelse som upplyser om att rätten till ersätt- ning som regleras i artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra för- fattningar som kompletterar dataskyddsförordningen. Studiestöds- datalagen är en författning som kompletterar dataskyddsförord- ningen.
Eftersom artikel 82 i dataskyddsförordningen är direkt tillämplig bör 15 § studiestödsdatalagen även upphävas i den del som avser skadestånd. Utredningen gör samma bedömning som gjorts i det föregående i fråga om behovet av att i stället göra om bestämmelsen till en upplysningsparagraf. Nämnda paragraf bör följaktligen upp- hävas i sin helhet.
Gallring
I 16 § första stycket anges att om återbetalning eller återkrav av studie- stöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.
Enligt 16 § andra stycket ska personuppgifter som behandlas enligt 4 § första stycket 3, dvs. i syfte att förbereda handläggningen, i den utsträckning de inte har tillförts ett ärende om studiestöd, gall- ras senast ett år efter det att uppgifterna registrerades.
I 16 § tredje stycket anges att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personupp- gifter får bevaras för historiska, statistiska eller vetenskapliga ända- mål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Enligt tredje stycket får CSN också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett
401
CSN:s studiestödsverksamhet |
SOU 2017:49 |
ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.
Utredningen bedömer att det för CSN, i enlighet med första ledet i artikel 6.1 e samt artikel 6.3 första stycket i dataskyddsför- ordningen, finns en i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet (se avsnitt 8.2). Enligt artikel 6.2 och 6.3 andra stycket är det då tillåtet att i en registerförfattning behålla specifika bestämmelser i form av lagringstid. Gallringsbestäm- melserna i 16 § kan och bör följaktligen behållas.
I sammanhanget ska dock formuleringen ”historiska, statistiska eller vetenskapliga ändamål”, som finns i 16 § tredje stycket, lyftas fram. Med denna formulering avses samma sak som i 9 § tredje stycket PUL (prop. 2008/09:96 s. 88). Av bestämmelserna i 9 § första och tredje styckena PUL framgår bl.a. att den personupp- giftsansvarige ska se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Personuppgifter får dock bevaras för historiska, statis- tiska eller vetenskapliga ändamål under längre tid men inte längre tid än vad som behövs för dessa ändamål. Regleringen i detta avseende har sin grund i artikel 6.1 e i dataskyddsdirektivet.
I dataskyddsförordningen finns motsvarande bestämmelser i arti- kel 5.1 e. Av nämnda artikel framgår bl.a. att personuppgifter, under vissa förutsättningar, får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statis- tiska ändamål i enlighet med artikel 89.1.
Den nuvarande formuleringen i dataskyddsdirektivet och person- uppgiftslagen om historiska, statistiska eller vetenskapliga ändamål har i dataskyddsförordningen således ändrats till att avse arkivända- mål av allmänt intresse, vetenskapliga eller historiska forsknings- ändamål eller statistiska ändamål. Enligt utredningens bedömning innebär omformuleringen dock inte någon skillnad i sak. Utred- ningen föreslår emellertid att bestämmelsen i 16 § tredje stycket studiestödsdatalagen ändras så att den anpassas till den formulering som används i dataskyddsförordningen.
402
SOU 2017:49 |
CSN:s studiestödsverksamhet |
Sammanfattning
Utredningen föreslår att hänvisningen till personuppgiftslagen i 2 § första stycket ska ersättas med en upplysningsbestämmelse om data- skyddsförordningen samt, i andra stycket, en reglering om förhål- landet till dataskyddslagen. Det nuvarande andra stycket, som regle- rar studiestödsdatalagens förhållande till lagen om den officiella statistiken, flyttas till ett nytt tredje stycke. Vidare föreslår utred- ningen att rubriken till 2 § ska ha lydelsen Förhållandet till annan dataskyddsreglering.
Utredningen föreslår att bestämmelserna i 6 och 8 §§, vilka regle- rar begränsningar i rätten att behandla personuppgifter respektive användningen av sökbegrepp, ändras så att dessa omfattar samtliga kategorier av personuppgifter som räknas upp i artikel 9.1 i data- skyddsförordningen.
Vidare anser utredningen att bestämmelsen i 7 § tredje stycket om återkallande av samtycke ska upphävas eftersom den motsvarar artikel 7.3 i dataskyddsförordningen som är direkt tillämplig.
Utredningen har även kommit fram till att bestämmelserna om rättelse och skadestånd i 15 § ska upphävas. Även i fråga om rättelse och skadestånd finns det direkt tillämpliga bestämmelser i data- skyddsförordningen.
Avslutningsvis anser utredningen att 16 § tredje stycket ska ändras på så sätt att formuleringen ”historiska, statistiska eller vetenskapliga ändamål” ändras till den formulering som används i dataskydds- förordningen, dvs. ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.
8.4Behov av ändringar
i studiestödsdataförordningen
Förslag: Bestämmelsen i 16 § studiestödsdataförordningen ska ändras på så sätt att formuleringen ”historiska, statistiska och vetenskapliga ändamål” byts ut mot ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.
403
CSN:s studiestödsverksamhet |
SOU 2017:49 |
Studiestödsdataförordningen består också av 16 paragrafer som finns under rubrikerna Inledande bestämmelse, Förberedande handlägg- ning, Ärenden om studiehjälp, Ärenden om studiemedel, Informa- tion om studiestödsförmåner och studiesociala förmåner, Fram- tagande och distribution av bevis om studiestöd för studier, Intern elektronisk tillgång till personuppgifter, Direktåtkomst, Annat elektroniskt utlämnande och Gallring. Nedan redogörs för regle- ringen i respektive paragraf och vilka behov av ändringar som utred- ningen anser är påkallade med anledning av att dataskyddsförord- ningen ska börja tillämpas.
Inledande bestämmelse
I 1 § anges att i förordningen finns kompletterande bestämmelser om sådan behandling av personuppgifter som omfattas av studie- stödsdatalagen.
Utredningen bedömer att denna upplysningsbestämmelse är för- enlig med dataskyddsförordningen. Bestämmelsen kan och bör där- för behållas.
Förberedande handläggning
Bestämmelserna i 2 § kompletterar 4 § studiestödsdatalagen i den del som avser behandling av personuppgifter i syfte att förbereda hand- läggningen.
Av 2 § 1 framgår att personuppgifter får behandlas i CSN:s studiestödsverksamhet för att förbereda handläggningen av ärenden om studiehjälp för personer som fyller 16 år och som för första gången skulle kunna få studiehjälp.
Enligt 2 § 2 får personuppgifter även behandlas för att förbereda handläggningen av ärenden om studiemedel för personer som har antagits till en utbildning som berättigar till studiemedel.
Utredningen bedömer att det för CSN, i enlighet med första ledet i artikel 6.1 e samt artikel 6.3 första stycket i dataskydds- förordningen, finns en i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet (se avsnitt 8.2). Enligt artikel 6.2 och 6.3 andra stycket är det då tillåtet att i en registerför- fattning behålla specifika bestämmelser i form av bl.a. ändamåls-
404
SOU 2017:49 |
CSN:s studiestödsverksamhet |
begränsningar. Utredningen anser följaktligen att 2 § studiestöds- dataförordningen är förenlig med dataskyddsförordningen och att paragrafen kan och bör behållas.
Ärenden om studiehjälp
Enligt 3 § första stycket 1 får behandlingen av personuppgifter enligt 2 § 1, i fråga om den person som fyller 16 år, endast avse uppgifter om namn, adress, folkbokföringsort, personnummer, samordnings- nummer, födelsetid, särskilt identifikationsnummer som getts av CSN, sekretessmarkering, medborgarskap och invandrings- och utvandringsdatum.
Enligt 3 § första stycket 2 och andra stycket gäller samma begräns- ning i fråga om den eller de som senast mottog allmänt eller förlängt barnbidrag eller som i annat fall kan få studiehjälp utbetalad för den person som fyller 16 år, med undantag för att även uppgift om bank- konto får behandlas.
Enligt 3 § tredje stycket får uppgifter om andra personer inte utan den registrerades samtycke behandlas enligt 2 § 1.
När den rättsliga grunden är uppgift av allmänt intresse är det en- ligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen tillåtet att i en registerförfattning behålla särskilda bestämmelser om vilken typ av uppgifter som ska behandlas.
I fråga om personnummer och samordningsnummer får, enligt 22 § PUL, uppgifter om personnummer eller samordningsnummer utan samtycke behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Av 50 § c PUL följer att reger- ingen får meddela närmare föreskrifter om i vilka fall användning av personnummer är tillåten.
Enligt artikel 87 första meningen i dataskyddsförordningen får medlemsstaterna närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de regi- strerades rättigheter och friheter enligt dataskyddsförordningen.
405
CSN:s studiestödsverksamhet |
SOU 2017:49 |
Dataskyddsutredningen föreslår att det i 3 kap. 13 § dataskydds- lagen ska införas en bestämmelse med samma ordalydelse som 22 § PUL. Vidare föreslår Dataskyddsutredningen en bestämmelse i 3 kap. 14 § dataskyddslagen som anger att regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten. Bestämmelsen motsvarar såle- des delvis 50 § c PUL.
Utredningen anser att det i aktuellt sammanhang är klart moti- verat med hänsyn till ändamålet med behandlingen och vikten av en säker identifiering att personnummer eller samordningsnummer får behandlas. Därtill finns det ett bemyndigande för regeringen i data- skyddslagen att meddela ytterligare föreskrifter om i vilka fall be- handling av personnummer och samordningsnummer är tillåten.
Sammanfattningsvis bedömer utredningen att bestämmelserna i 3 § studiestödsdataförordningen är förenliga med dataskyddsför- ordningens bestämmelser. De kan och bör därför behållas.
Ärenden om studiemedel
Enligt 4 § första stycket 1 får behandlingen av personuppgifter enligt 2 § 2, i fråga om den person som har antagits till en utbildning, endast avse uppgifter om namn, adress, folkbokföringsort, person- nummer, samordningsnummer, födelsetid, särskilt identifikations- nummer som getts av CSN, sekretessmarkering, medborgarskap, invandrings- och utvandringsdatum, studieresultat och den utbild- ning som antagningen avser.
Enligt 4 § första stycket 2 får behandling av personuppgifter i fråga om barn som den person som har antagits till en utbildning är vårdnadshavare för, endast avse personnummer, samordningsnum- mer eller födelsetid.
Enligt 4 § andra stycket får uppgifter om andra personer inte utan den registrerades samtycke behandlas enligt 2 § 2.
Utredningen gör i denna del motsvarande bedömning som i fråga om bestämmelserna i 3 §. Bestämmelserna i 4 § kan och bör således behållas.
406
SOU 2017:49 |
CSN:s studiestödsverksamhet |
Information om studiestödsförmåner och studiesociala förmåner
I 5 § finns kompletterande bestämmelser till 4 § studiestödsdatalagen i den del som avser behandling av personuppgifter för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. Av 5 § i studiestödsdataförordningen framgår att för såda- na ändamål får utan den registrerades samtycke endast uppgifter om namn, adress, folkbokföringsort, personnummer, samordningsnum- mer, födelsetid, särskilt identifikationsnummer som getts av CSN, medborgarskap, bankkonto och typ av studiestöd behandlas.
Utredningen gör även i denna del motsvarande bedömning som i fråga om bestämmelserna i 3 §. Bestämmelserna i 5 § kan och bör således behållas.
Framtagande och distribution av bevis om studiestöd för studier
I 6 § finns kompletterande bestämmelser till 4 § studiestödsdatalagen i den del som avser behandling av personuppgifter för att ta fram och distribuera bevis om studiestöd för studier till studerande. Av 6 § i förordningen framgår att för sådana ändamål får utan den registre- rades samtycke endast uppgifter om namn, adress, personnummer, samordningsnummer, födelsetid, särskilt identifikationsnummer som getts av CSN, studietakt, typ av studiestöd och studietid behandlas.
Utredningen gör också i denna del motsvarande bedömning som i fråga om bestämmelserna i 3 §. Bestämmelserna i 6 § kan och bör således behållas.
Intern elektronisk tillgång till personuppgifter
I
Enligt 7 § första stycket studiestödsdataförordningen ska direkt elektronisk tillgång till personuppgifter i ett ärende om studiestöd, som inte behövs för återbetalning eller återkrav av studiestöd, begrän- sas senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. Det innebär att bara ett begränsat antal personer som arbetar i myndighetens
407
CSN:s studiestödsverksamhet |
SOU 2017:49 |
studiestödsverksamhet får ha sådan tillgång till personuppgifterna i ärendet. Behövs personuppgifterna för ett nytt ärende om studiestöd får begränsningen upphävas. Genom 7 § andra stycket bemyndigas CSN att meddela närmare föreskrifter om begränsning av intern elektronisk tillgång.
Enligt 8 § får CSN, i fråga om personuppgifter som inte omfattas av 7 §, meddela föreskrifter om villkoren för elektronisk tillgång till personuppgifterna för den som arbetar i myndighetens studiestöds- verksamhet. Sådan tillgång ska begränsas till vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter inom studie- stödsverksamheten.
Inför beslut om att meddela föreskrifter enligt 7 och 8 §§ ska CSN samråda med Datainspektionen. Detta framgår av 9 §.
När den rättsliga grunden är uppgift av allmänt intresse är det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen tillåtet att i en registerförfattning behålla särskilda bestämmelser i form av bl.a. de allmänna villkor som ska gälla för den personupp- giftsansvariges behandlingar. Utredningen anser följaktligen att
Direktåtkomst
Bestämmelserna i
Enligt 10 § får Försäkringskassans direktåtkomst till personupp- gifter som behandlas i CSN:s studiestödsverksamhet endast avse uppgifter om personnummer, samordningsnummer, särskilt identi- fikationsnummer som getts av CSN, utbetalat studiestödsbelopp för en viss tidsperiod, beviljat studiestöd för en viss tidsperiod och typ av studiestöd.
I 11 § anges att arbetslöshetskassornas direktåtkomst till person- uppgifter som behandlas i CSN:s studiestödsverksamhet får endast avse uppgifter enligt 23 § förordningen (1997:835) om arbetslös- hetsförsäkring och särskilt identifikationsnummer som getts av CSN.
Enligt 12 § får en läroanstalt ha direktåtkomst till de personupp- gifter som behandlas i CSN:s studiestödsverksamhet som läroan-
408
SOU 2017:49 |
CSN:s studiestödsverksamhet |
stalten själv har lämnat till CSN och till anknytande uppgifter om sär- skilt identifikationsnummer som getts av CSN, namn och sekre- tessmarkering. Läroanstalten får också ha direktåtkomst till uppgifter om att CSN har beslutat eller sänt meddelande till parten i ett ärende om studiestöd.
I 13 § första stycket anges att en socialnämnd får ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet i den utsträckning som anges i 2 § förordningen (2008:975) om uppgiftsskyldighet i vissa fall enligt socialtjänstlagen (2001:453). Enligt andra stycket får en socialnämnd dock ha direktåtkomst först sedan CSN har försäkrat sig om att handläggare hos socialnämnden bara kan ta del av uppgifter om personer som är aktuella i ärenden hos socialnämnden.
Slutligen, i 14 §, finns en bestämmelse som anger att direktåt- komst enligt
I dataskyddsförordningen finns inga särskilda bestämmelser om direktåtkomst, utan det krävs – i likhet med vad som gäller för all behandling av personuppgifter – att behandlingen uppfyller de krav som dataskyddsförordningen ställer, bl.a. de grundläggande krav som finns i artikel 5. När den rättsliga grunden är uppgift av allmänt intresse är det vidare, enligt artikel 6.2 och 6.3 andra stycket, tillåtet att i en registerförfattning behålla särskilda bestämmelser i form av bl.a. de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål. Utredningen anser följaktligen att bestämmelserna i
Annat elektroniskt utlämnande
I 15 § första stycket regleras vilka uppgifter CSN utan den registre- rades samtycke får lämna ut elektroniskt på annat sätt än genom direktåtkomst till Kronofogdemyndigheten, Skatteverket, bank eller annan betalningsförmedlare, inkassoföretag, myndighet som begär det eller sådant organ som anges i bilagan till offentlighets- och sekretesslagen som begär det, kommun, företag som tar fram och till studerande distribuerar bevis om studiestöd för studier samt Örebro kommun.
409
CSN:s studiestödsverksamhet |
SOU 2017:49 |
Enligt 15 § andra stycket får CSN utan den registrerades sam- tycke också lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst i den utsträckning det behövs för att någon annan ska kunna lämna ut personuppgifter elektroniskt till myn- digheten.
Som konstaterats i det föregående är det tillåtet med särskilda bestämmelser i en registerförfattning som reglerar till vilka enheter personuppgifterna får lämnas ut och för vilka ändamål. Bestämmel- serna i 15 § är följaktligen förenliga med dataskyddsförordningen och bör därför behållas.
Gallring
Av 16 § framgår att Riksarkivet bemyndigas att meddela föreskrif- ter om att personuppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål samt för redovisningsändamål, även om föreskrifterna kommer att avvika från bestämmelserna om gallring i 16 § första stycket studiestödsdatalagen. Inför beslut om att med- dela förskrifter ska Riksarkivet samråda med Datainspektionen.
Utredningen gör avseende nu nämnda bestämmelser motsvarande bedömning som i fråga om gallringsbestämmelserna i 16 § studie- stödsdatalagen. Bestämmelserna i 16 § studiestödsdataförordningen är således förenliga med dataskyddsförordningen och bör behållas.
Formuleringen ”historiska, statistiska och vetenskapliga ändamål” ska dock ändras till den formulering som används i dataskyddsför- ordningen, dvs. ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.
Sammanfattning
Utredningen anser att i 16 § ska formuleringen ”historiska, statistiska och vetenskapliga ändamål” ändras till den formulering som används i dataskyddsförordningen, dvs. ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska
ändamål”. Utredningen bedömer att övriga bestämmelser i studie- stödsdataförordningen är förenliga med dataskyddsförordningen.
410
9 Betygsdatabasen BEDA
9.1Allmänt
För att underlätta samordnad och lokal antagning fick dåvarande Verket för högskoleservice (VHS) i regleringsbrev för budgetåret 1997 i uppdrag av regeringen att utveckla ett centralt system för antagning av studenter till högskoleutbildning. Inom ramen för upp- draget skulle VHS utveckla och sedermera vara huvudman för en nationell databas för gymnasiebetyg. Uppdraget resulterade i den nationella betygsdatabasen BEDA. På frivillig basis slöt sedan VHS avtal med gymnasieskolor om att skicka in samtliga slutbetyg som utfärdats under avtalsperioden.
Eftersom Statens skolverk (Skolverket) såsom ansvarig för den nationella statistiken om skolväsendet också samlade in slutbetyg från gymnasieskolan, beslöt VHS, Skolverket och Statistiska central- byrån (SCB), som administrerade uppgiftsinsamlingen för Skolver- kets räkning, att samordna insamlingen av betygsuppgifterna. De skolor som rapporterade slutbetygen till VHS behövde då inte längre skicka in slutbetygen även till SCB, utan det ombesörjdes av VHS.
I beslut i mars 2002 avslog VHS en begäran om att från BEDA få ut slutbetyg från gymnasieskolan. Enligt VHS omfattades begärda uppgifter av absolut sekretess enligt dåvarande 9 kap. 4 § sekretess- lagen (1980:100) som reglerade sekretess avseende statistik. Motsva- rande bestämmelse finns nu i 24 kap. 8 § offentlighets- och sekretess- lagen (2009:400, OSL). Kammarrätten gick på VHS:s linje och avslog överklagandet (se Kammarrätten i Stockholms dom den 10 oktober 2002, mål nr
411
Betygsdatabasen BEDA |
SOU 2017:49 |
begäran därför med hänvisning till att absolut sekretess gäller för uppgifterna.
Sedan den 15 augusti 2015 finns det dock en skyldighet för UHR att från BEDA till kommuner lämna ut uppgift om en person har examens- eller studiebevis eller motsvarande från gymnasieskolan. Detta framgår av 10 § förordningen (2006:39) om register och doku- mentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar.
Genom BEDA och den samordning som skett av insamlingen av betygsuppgifter från gymnasieskolan (slutbetyg och numera exa- mensbevis) har således skapats ett enkelt sätt att föra över slut- betygen till universitetens och högskolornas antagningssystem samt till Skolverket genom SCB. Sedan hösten 2012 förs även examens- bevis från den kommunala vuxenutbildningen på gymnasial nivå över till BEDA.
Att ansluta sig till BEDA är fortfarande frivilligt men är ett sätt för huvudmännen för gymnasieskolor och kommunal vuxen- utbildning på gymnasial nivå att uppfylla den uppgiftsskyldighet som föreligger enligt 26 kap. 25 § skollagen (2010:800). Enligt uppgift från UHR har nästan alla gymnasieskolor och drygt 60 procent av de som bedriver kommunal vuxenutbildning på gymnasial nivå anslutit sig till BEDA som i dagsläget är ett omfattande register med betygs- uppgifter för över 1,8 miljoner individer.
9.2Utredningens uppdrag i denna del
Behandlingen av personuppgifter i BEDA regleras av personuppgifts- lagen (1998:204, PUL). När dataskyddsförordningen träder i kraft kommer personuppgiftslagen att upphävas. Utredningen har därför fått i uppdrag att analysera om det behövs något författningsstöd, utöver dataskyddsförordningen, den generella reglering som Data- skyddsutredningen kommer att föreslå och de övriga förslag utred- ningen kan komma att lämna, för att personuppgifter ska kunna be- handlas i betygsdatabasen BEDA även fortsättningsvis. Utredningen ska även lämna de eventuella författningsförslag som behövs.
412
SOU 2017:49 |
Betygsdatabasen BEDA |
9.3Behov av särskild reglering
9.3.1Behandlingar av personuppgifter i BEDA
Betygsdatabasen BEDA aktualiserar sex olika behandlingar av per- sonuppgifter.
Huvudmän för gymnasieskolor och kommunal vuxenutbildning på gymnasial nivå lämnar in betygsuppgifter till UHR.
Huvudmännens betygsuppgifter, tillsammans med uppgifter om namn och personnummer, registreras i BEDA.
Uppgifterna lämnas ut till SCB för statistikändamål.
Uppgifterna lagras för att kunna användas när en person anmä- ler sig till en utbildning vid ett universitet eller en högskola.
När en person anmäler sig till en utbildning vid ett universitet eller en högskola överförs uppgifterna till antagningssystemet NyA, under förutsättning att den enskilde lämnar sitt samtycke till att bryta sekretessen som gäller för uppgifterna i BEDA.
Uppgifter avseende personer som kan omfattas av kommuners aktivitetsansvar för ungdomar lämnas på begäran ut till kommuner.
För analysen av behovet av särskilt författningsstöd för personupp- giftsbehandlingen i BEDA har utredningen därmed att undersöka om bestämmelserna i dataskyddsförordningen eller den generella reglering som Dataskyddsutredningen föreslår ger tillräckligt stöd för ovan nämnda behandlingar.
9.3.2Skolhuvudmännens utlämnande av uppgifter
Bedömning: När dataskyddsförordningen ska börja tillämpas kan skolhuvudmännen tillämpa artikel 6.1 c och första ledet i arti- kel 6.1 e som rättslig grund när de fullgör sin skyldighet att lämna betygsuppgifter om elever i gymnasieskolan genom att skicka betygsuppgifterna till UHR. För att huvudmännen som bedriver kommunal vuxenutbildning på gymnasial nivå ska kunna tillämpa dessa rättsliga grunder när de fullgör sin skyldighet att lämna uppgifter om gymnasieexamen genom att lämna uppgifterna till
413
Betygsdatabasen BEDA |
SOU 2017:49 |
UHR krävs det att Skolverket kompletterar sina föreskrifter om uppgiftsinsamling från huvudmännen inom skolväsendet m.m. Något regleringsbehov i övrigt aktualiseras inte.
Skolverket är statistikansvarig myndighet för skolväsendet enligt lagen (2001:99) och förordningen (2001:100) om den officiella stati- stiken. Enligt 26 kap. 24 § skollagen ska Skolverket på nationell nivå följa upp och utvärdera bl.a. skolväsendet, vilket enligt 1 kap. 1 § skollagen omfattar bl.a. gymnasieskolan och den kommunala vuxen- utbildningen.
Av 26 kap. 25 § skollagen följer att en huvudman för utbildning eller annan verksamhet som är föremål för nationell uppföljning och utvärdering till Skolverket ska lämna sådana uppgifter om verksamheten och sådan verksamhetsredovisning som behövs för uppföljningen och utvärderingen. Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om vilka uppgifter och vilken verksamhetsredovisning som ska lämnas.
I 1 § första stycket förordningen (1992:1083) om viss uppgifts- skyldighet för huvudmännen inom skolväsendet m.m. har Skolverket bemyndigats att meddela sådana föreskrifter som avses i 26 kap. 25 § skollagen. Av 1 § andra stycket Skolverkets föreskrifter (SKOLFS 2011:142) om uppgiftsinsamling från huvudmännen inom skolväsendet m.m. framgår att uppgifterna ska lämnas till SCB, så- vida inte Skolverket anger annat för viss uppgiftsinsamling. Av bilaga 9 till Skolverkets föreskrifter, som reglerar gymnasieskolors uppgiftslämnande, framgår att uppgiftsinlämningen kan fullgöras genom godkänd rapportering till UHR. UHR ser då till att uppgif- terna lämnas till SCB som genom en överenskommelse med Skolver- ket är den myndighet som sammanställer statistiken för Skolverkets räkning.
På huvudmännen som bedriver utbildning inom gymnasieskolan åvilar därmed en i svensk rätt fastställd rättslig förpliktelse att till Skolverket lämna ut vissa uppgifter, vilka närmare anges i Skolverkets föreskrifter. Denna uppgiftsskyldighet kan fullgöras genom att upp- gifterna lämnas till SCB eller UHR. Syftet med behandlingen, att fullgöra en uppgiftsskyldighet, är fastställd i den rättsliga grunden. När dataskyddsförordningen ska börja tillämpas kan nödvändig per- sonuppgiftsbehandling för fullgörandet av förpliktelsen därmed ske med stöd av artikel 6.1 c. Enligt utredningen är även första ledet i
414
SOU 2017:49 |
Betygsdatabasen BEDA |
artikel 6.1 e, dvs. uppgift av allmänt intresse, tillämplig. I avsnitt 4.6.2 redovisas utredningens uppfattning att tillhandahållande och anord- nande av utbildning som regleras i skollagen med anslutande före- skrifter är en i svensk rätt fastställd uppgift av allmänt intresse. Att fullgöra uppgiftsskyldigheten genom att lämna ut uppgifterna till SCB eller UHR måste därmed anses vara nödvändigt för att utföra en uppgift av allmänt intresse.
På huvudmännen som bedriver kommunal vuxenutbildning på gymnasial nivå åvilar enligt ovan också en i svensk rätt fastställd rättslig förpliktelse att lämna ut vissa uppgifter till Skolverket. Enligt bilaga 12 till Skolverkets föreskrifter, som reglerar den kommunala vuxenutbildningens uppgiftslämnande, ska bl.a. uppgifter om gymna- sieexamen lämnas. Uppgiftsskyldigheten fullgörs i dagsläget genom att uppgifterna lämnas till SCB. Drygt 60 procent av de som bedriver kommunal vuxenutbildning på gymnasial nivå har dock valt att full- göra uppgiftsskyldigheten genom att lämna uppgifterna till UHR. Enligt nuvarande utformning av Skolverkets föreskrifter finns dock inte motsvarande möjlighet som gymnasieskolorna har att fullgöra förpliktelsen genom att lämna uppgifterna till UHR. I bilaga 12 till föreskrifterna anges nämligen inte att uppgiftsinlämningen kan full- göras genom godkänd rapportering till UHR. Därmed gäller 1 § andra stycket i föreskrifterna, dvs. att uppgifterna ska lämnas till SCB.
För huvudmännen som bedriver kommunal vuxenutbildning på gymnasial nivå finns det därför ett behov av reglering för att de ska kunna lämna sina betygsuppgifter till UHR. Nämnda reglerings- behov är dock inte påkallat med anledning av att dataskydds- förordningen ska börja tillämpas. Det kan därmed inte anses ingå i utredningens uppdrag att lämna något författningsförslag i denna del. Det får i stället anses ankomma på Skolverket att komplettera sina föreskrifter i den mån det bedöms möjligt och lämpligt. Om Skolverket kompletterar sina föreskrifter på motsvarande sätt som i bilaga 9 kan även huvudmän som bedriver kommunal vuxenutbild- ning på gymnasial nivå använda sig av artikel 6.1 c och första ledet i artikel 6.1 e som grund för nödvändig personuppgiftsbehandling vid fullgörandet av uppgiftsskyldigheten.
Eftersom det vid fullgörandet av uppgiftsskyldigheten för huvud- männens del är fråga om behandling av personuppgifter för statis- tiska ändamål bör avslutningsvis artikel 89.1 i dataskyddsförord- ningen nämnas. Där anges bl.a. att behandling för statistiska ändamål
415
Betygsdatabasen BEDA |
SOU 2017:49 |
ska omfattas av lämpliga skyddsåtgärder i enlighet med förordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas.
9.3.3Registrering i BEDA, utlämnande till SCB och lagring
Förslag och bedömning: UHR:s uppgift att ansvara för en natio- nell databas för betygsuppgifter från gymnasieskolan och den kommunala vuxenutbildningen på gymnasial nivå, betygsdatabasen BEDA, ska fastställas genom att den förs in i en bestämmelse i UHR:s instruktion. Såväl ändamålet med registret att användas vid antagning av studenter till studier vid universitet och högskolor som det statistiska ändamål uppgifterna i registret används för ska fastställas i bestämmelsen.
När dataskyddsförordningen ska börja tillämpas kan registre- ring av uppgifter i BEDA, utlämnande av uppgifter till SCB och lagring av uppgifter för användning när en person anmäler sig till en utbildning vid ett universitet eller en högskola ske med stöd av artikel 6.1 c eller första ledet i artikel 6.1 e i dataskyddsförord- ningen.
Som angetts ovan är BEDA resultatet av ett regeringsuppdrag som gavs till VHS i regleringsbrev för budgetåret 1997. Enligt uppdraget skulle VHS utveckla och sedermera vara huvudman för en nationell databas för gymnasiebetyg. Eftersom förandet av registret är ett ut- tryckligt uppdrag från regeringen, och då det avser ett mycket stort antal individer på ett så viktigt område som utbildningsområdet, är det utredningens bedömning att förandet av registret är en arbets- uppgift av allmänt intresse. UHR, som tagit över ansvaret för BEDA, kan i dagsläget därmed tillämpa 10 § d PUL som rättslig grund för att registrera betygsuppgifterna i BEDA.
För att kunna tillämpa motsvarande grund i dataskyddsförord- ningen, dvs. uppgift av allmänt intresse enligt första ledet i arti- kel 6.1 e, krävs enligt artikel 6.3 första stycket att denna grund är fastställd i nationell rätt.
Utredningen konstaterar att regeringsuppdraget gavs till VHS för cirka 20 år sedan. BEDA förs numera dock av UHR. Något uttryck-
416
SOU 2017:49 |
Betygsdatabasen BEDA |
ligt stöd för UHR:s övertagande av ansvaret för registret finns inte. Vidare lämnar nu även huvudmän för kommunal vuxenutbildning på gymnasial nivå betygsuppgifter till UHR. Utredningen anser därför att kravet i artikel 6.3 i dataskyddsförordningen, att uppgiften av allmänt intresse ska vara fastställd i nationell rätt, inte är uppfyllt när det gäller BEDA. Det finns således ett regleringsbehov för att UHR ska kunna registrera betygsuppgifter i BEDA även när dataskydds- förordningen ska börja tillämpas. Frågan utredningen har att ta ställ- ning till är hur en sådan reglering lämpligen bör utformas.
Enligt det ursprungliga uppdraget skulle VHS, i syfte att under- lätta samordnad och lokal antagning, utveckla ett centralt system för antagning av studenter till högskoleutbildning. Inom ramen för detta uppdrag skulle VHS vara huvudman för en nationell databas för gymnasiebetyg. I det ursprungliga uppdraget fanns således en kopp- ling mellan antagningssystemet och förandet av registret. Enligt utred- ningens uppfattning bör en bestämmelse som möjliggör registrering av uppgifter i BEDA därmed också ha en sådan koppling.
Genom samordningen av betygsinsamlingen som VHS, Skol- verket och SCB tog initiativ till används BEDA även för statistiska ändamål. Det statistiska ändamålet har i praxis t.o.m. bedömts vara så betydande att uppgifterna i BEDA omfattas av statistiksekretes- sen, vilken regleras i 24 kap. 8 § OSL. En bestämmelse som ska möj- liggöra fortsatt registrering av betygsuppgifter i BEDA när data- skyddsförordningen ska börja tillämpas bör, enligt utredningens uppfattning, därmed även ge uttryck för nämnda statistiska ändamål.
Frågan utredningen därefter har att ta ställning till är var en bestämmelse med ovan angivna innehåll lämpligen bör placeras.
Enligt 2 § 1 förordningen (2012:811) med instruktion för Univer- sitets- och högskolerådet har UHR till uppgift att på uppdrag av uni- versitet och högskolor som omfattas av högskolelagen (1992:1434) eller av enskilda utbildningsanordnare som har tillstånd att utfärda examina enligt lagen (1993:792) om tillstånd att utfärda vissa examina biträda vid antagning av studenter och ansvara för ett samordnat antagningsförfarande. I bestämmelsen uttrycks därmed en skyldighet för UHR att biträda vid antagningsförfarandet. Kopplingen mellan antagningsförfarandet och förandet av BEDA, som utredningen anser ska finnas, kan därmed åstadkommas genom att föra in en ny bestämmelse i UHR:s instruktion som anger att för de ändamål som anges i 2 § första stycket 1 ska myndigheten med hjälp av automati-
417
Betygsdatabasen BEDA |
SOU 2017:49 |
serad behandling föra ett register över uppgifter om elevers slut- betyg, examensbevis eller motsvarande från gymnasieskolan och den kommunala vuxenutbildningen på gymnasial nivå.
För att även tillgodose behovet av att det statistiska ändamålet kommer till uttryck kan det i den nya bestämmelsen även anges att uppgifterna i registret ska lämnas till statistikansvarig myndighet för skolväsendet eller till den myndighet eller det organ som den sta- tistikansvariga myndigheten bestämmer.
Genom införandet av sådana bestämmelser skapas i svensk rätt fastställda rättsliga förpliktelser för UHR att föra ett register som BEDA och att lämna ut uppgifterna i registret till statistikansvarig myndighet för skolväsendet, i dagsläget Skolverket, eller till den som statistikansvarig myndighet bestämmer, i dagsläget SCB. Med före- slagen utformning av bestämmelserna fastställs behandlingarnas syf- ten, dvs. att föra registret och att fullgöra en uppgiftsskyldighet. När dataskyddsförordningen ska börja tillämpas kan, enligt utredningens bedömning, registrering av betygsuppgifter i BEDA, utlämnande av uppgifter till SCB och lagring av uppgifter för användning när en person anmäler sig till en utbildning vid ett universitet eller en hög- skola därmed ske med stöd av artikel 6.1 c, dvs. så som nödvändigt för att fullgöra en rättslig förpliktelse. Även den rättsliga grunden i första ledet i artikel 6.1 e, dvs. för att utföra en uppgift av allmänt intresse, skulle bli tillämplig.
Eftersom BEDA används för statistiska ändamål bör avslut- ningsvis, liksom i föregående avsnitt, nämnas att artikel 89.1 innehål- ler särskilda bestämmelser om behandling för statistiska ändamål.
9.3.4Överföring av uppgifter till antagningssystemet NyA
Bedömning: När dataskyddsförordningen ska börja tillämpas kan överföring av betygsuppgifter från BEDA till NyA ske med stöd av första ledet i artikel 6.1 e i dataskyddsförordningen. Något ytterligare regleringsbehov aktualiseras därmed inte.
I avsnitt 5.3.2 bedömer utredningen att anordnande och bedrivande av högskoleutbildning är en i svensk rätt fastställd uppgift av all- mänt intresse i enlighet med första ledet i artikel 6.1 e och 6.3 förs- ta stycket i dataskyddsförordningen.
418
SOU 2017:49 |
Betygsdatabasen BEDA |
För att bli antagen till utbildning på grundnivå eller avancerad nivå vid ett universitet eller en högskola krävs det att sökanden har grund- läggande behörighet och dessutom den särskilda behörighet som kan vara föreskriven för utbildningen. Grundläggande behörighet har den som bl.a. avlagt en högskoleförberedande examen i gymnasieskolan eller inom kommunal vuxenutbildning på gymnasial nivå (se 7 kap. 1, 2, 5 och 24 §§ högskoleförordningen [1993:100]).
Enligt 2 § 1 förordningen med instruktion för Universitets- och högskolerådet ska myndigheten på uppdrag av universitet och hög- skolor som omfattas av högskolelagen eller av enskilda utbildnings- anordnare som har tillstånd att utfärda examina enligt lagen om till- stånd att utfärda vissa examina biträda vid antagning av studenter och ansvara för ett samordnat antagningsförfarande.
Som framgår ovan är ett av syftena med BEDA att underlätta antagningsförfarandet och enligt 4 kap. 1 § förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor får UHR föra ett antagningsregister, vars ändamål är att vara till hjälp för högskolor vid antagning av studenter. Som framgår av avsnitt 5.6.2 anser utredningen att det för UHR:s del därmed finns en i svensk rätt fastställd uppgift av allmänt intresse att föra ett antagningsregister. I detta ingår att föra över uppgifter för ändamålet att vara till hjälp vid antagning.
Antagningssystemet som UHR använder sig av heter NyA. En- ligt 4 kap. 5 § får den registrerade ha direktåtkomst till sådana per- sonuppgifter om sig själv i antagningsregistret som får lämnas ut till henne eller honom. När en person anmäler sig till en högskoleutbild- ning kan denne välja att skapa ett konto som gör det möjligt att logga in i NyA. I NyA behöver sökanden lämna sitt samtycke till att bryta sekretessen i BEDA för att möjliggöra en hämtning av betygs- uppgifterna till NyA. Eftersom det finns en för UHR fastställd upp- gift att föra ett antagningsregister, kan registreringen i NyA därmed ske med stöd av första ledet i artikel 6.1 e i dataskyddsförordningen. Något regleringsbehov med anledning av att dataskyddsförordningen ska börja tillämpas för att föra över uppgifter från BEDA till NyA finns enligt utredningens mening följaktligen inte.
419
Betygsdatabasen BEDA |
SOU 2017:49 |
9.3.5Utlämnande av uppgifter till kommuner
Bedömning: När dataskyddsförordningen ska börja tillämpas kan nödvändig personuppgiftsbehandling för att UHR ska kunna full- göra sin uppgiftsskyldighet enligt 10 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitets- ansvar för ungdomar ske med stöd av artikel 6.1 c. Någon ytter- ligare reglering behövs därmed inte.
En hemkommun ska löpande under året hålla sig informerad om hur de ungdomar i kommunen är sysselsatta som har fullgjort sin skol- plikt men inte har fyllt 20 år och inte genomför eller har fullföljt ut- bildning på nationella program i gymnasieskola eller gymnasiesär- skola eller motsvarande utbildning. Detta framgår av 29 kap. 9 § första stycket skollagen.
Enligt andra stycket har hemkommunen inom ramen för detta s.k. aktivitetsansvar uppgiften att erbjuda de ungdomar som berörs lämpliga individuella åtgärder. Åtgärderna ska i första hand syfta till att motivera den enskilde att påbörja eller återuppta en utbild- ning. Kommunen ska dokumentera sina insatser på lämpligt sätt. Av tredje stycket framgår att kommunen ska föra ett register över de ungdomar som omfattas av ansvaret.
Genom 10 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar under- lättas kommunernas arbete. På begäran från en kommun ska UHR nämligen lämna ut uppgift om en person, som kan omfattas av den kommunens aktivitetsansvar, har examens- eller studiebevis eller motsvarande från gymnasieskolan.
På UHR åvilar därmed en i svensk rätt fastställd rättslig förplik- telse att från BEDA lämna ut vissa uppgifter till de kommuner som begär det. Syftet med behandlingen, att fullgöra en uppgiftsskyldig- het, är fastställd i den rättsliga grunden. När dataskyddsförord- ningen ska börja tillämpas kan den aktuella behandlingen följaktligen ske med stöd av artikel 6.1 c i dataskyddsförordningen. Något ytter- ligare regleringsbehov aktualiseras enligt utredningens bedömning därmed inte.
420
SOU 2017:49 |
Betygsdatabasen BEDA |
9.4Behov av ytterligare reglering
Bedömning: När dataskyddsförordningen ska börja tillämpas kan ändamålsenlig behandling av personuppgifter i BEDA, som sam- tidigt skyddar den enskildes fri- och rättigheter, ske med stöd av förordningens bestämmelser och utredningens förslag till regler- ing i förordningen med instruktion för Universitets- och hög- skolerådet.
Personuppgiftsbehandlingen i BEDA är inte sådan att det krävs en särskild lagreglering enligt 2 kap. 6 och 20 §§ regerings- formen och det saknas även i övrigt skäl till ytterligare reglering.
Ovan redovisas att utredningen anser att Skolverket behöver kom- plettera sina föreskrifter (SKOLFS 2011:142) på så sätt att det ska framgå att de huvudmän som bedriver kommunal vuxenutbildning på gymnasial nivå kan fullgöra sin uppgiftsskyldighet enligt 26 kap. 25 § skollagen, i här aktuella delar, genom godkänd rapportering till UHR. Detta regleringsbehov är dock inte påkallat med anledning av att dataskyddsförordningen ska börja tillämpas.
För att betygsuppgifter från gymnasieskolor och kommunal vuxenutbildning på gymnasial nivå ska kunna registreras och lagras i BEDA krävs det en bestämmelse som fastställer att UHR ska föra ett register över sådana uppgifter för antagningsändamål. För att upp- gifterna ska kunna lämnas till SCB föreslår utredningen även en bestämmelse som anger att uppgifterna i registret ska lämnas till statistikansvarig myndighet för skolväsendet eller till den myndighet eller det organ som den statistikansvariga myndigheten bestämmer. Något ytterligare regleringsbehov med anledning av att dataskydds- förordningen ska börja tillämpas anser utredningen dock inte finnas.
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den person- liga integriteten, om det sker utan samtycke och innebär övervak- ning eller kartläggning av den enskildes personliga förhållanden. Nämnda rättighet får enligt 2 kap. 20 § dock begränsas genom lag. Frågan är då om skyddet mot betydande intrång i den personliga integriteten innebär att det krävs en särskild lag för behandlingen av personuppgifter i BEDA.
I förarbetena till 2 kap. 6 § andra stycket regeringsformen utta- las bl.a. följande (prop. 2009/10:80 s. 250).
421
Betygsdatabasen BEDA |
SOU 2017:49 |
Vid bedömning av vilka åtgärder som kan anses utgöra ett "betydande intrång" ska både åtgärdens omfattning och arten av det intrång åtgärden innebär beaktas. Även åtgärdens ändamål och andra omstän- digheter kan ha betydelse vid bedömningen. Bestämmelsen omfattar endast sådana intrång som på grund av åtgärdens intensitet eller om- fattning eller av hänsyn till uppgifternas integritetskänsliga natur eller andra omständigheter innebär ett betydande ingrepp i den enskildes privata sfär.
Som redan nämnts är BEDA ett omfattande register som i dagsläget består av betygsuppgifter för cirka 1,8 miljoner individer. Uppgifter- na gallras inte. Det är således ett ständigt växande register. Dessa omständigheter talar för en reglering av BEDA.
Det kan emellertid konstateras att det endast är ett fåtal uppgifter som finns om varje registrerad. Uppgifterna omfattas av absolut sekretess i de fall utlämnande eller överföring inte görs med stöd av samtycke eller författning. Vidare behandlas det inte några känsliga personuppgifter eller uppgifter av integritetskänslig natur i BEDA och det finns inte heller något behov av att behandla sådana uppgif- ter. Sammantaget, med särskilt beaktande av att det inte behandlas några känsliga personuppgifter, bedömer utredningen att behand- lingen av personuppgifter i BEDA inte är sådan att den utgör ett betydande intrång i den personliga integriteten i regeringsformens mening. Något ytterligare regleringsbehov med anledning av reger- ingsformens bestämmelser finns därmed inte.
I bedömningen av behovet att av andra skäl än kraven i regerings- formen ytterligare reglera behandlingen av personuppgifter i BEDA ska artikel 89.2 i dataskyddsförordningen beaktas. I 89.2 anges att om personuppgifter behandlas för bl.a. statistiska ändamål får det i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i arti- kel 89.1 i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.
Artiklarna 15, 16, 18 och 21 reglerar den registrerades rätt till information om personuppgifter som behandlas, rätt att få felaktiga personuppgifter rättade, rätt att kräva begränsning av behandling och rätt att göra invändningar mot behandling. Något skäl att föreskriva undantag från dessa bestämmelser finns det enligt utredningens bedömning dock inte.
422
SOU 2017:49 |
Betygsdatabasen BEDA |
Sammanfattningsvis bedömer utredningen att nödvändiga och ändamålsenliga behandlingar i BEDA, som samtidigt skyddar den enskildes fri- och rättigheter, kan göras även när dataskyddsförord- ningen ska börja tillämpas, om utredningens förslag till reglering i UHR:s instruktion genomförs. Något skäl till ytterligare reglering av personuppgiftsbehandlingen i BEDA finns inte.
423
10 Lärar- och förskollärarregistret
10.1Allmänt
Kravet på legitimation för lärare och förskollärare infördes i skol- lagen (2010:800) 2011. Målet med legitimationen är att höja kvali- teten i svenska skolan, höja statusen på lärar- och förskolläraryrkena och tydliggöra vad en lärare och förskollärare är behörig att under- visa i (jfr prop. 2010/11:20 s. 25 f.). Huvudregeln är att lärare respek- tive förskollärare ska ha en legitimation och vara behöriga för viss undervisning för att få bedriva undervisningen (2 kap. 13 § skol- lagen). Det krävs legitimation som lärare respektive förskollärare för att kunna bli tillsvidareanställd och för att självständigt få sätta betyg (2 kap. 20 § och 3 kap. 16 § skollagen). Statens skolverk (Skolverket) meddelar legitimationer och för ett register med uppgifter om legi- timerade eller tidigare legitimerade lärare och förskollärare (2 kap. 16 § skollagen och förordningen [2011:268] om lärar- och förskol- lärarregister).
Skolverket hade enligt sin webbsida per den 3 maj 2017 legitimerat över 200 000 lärare och förskollärare sedan legitimationskravet infördes. Antalet legitimerade personer var då 232 584, av vilka vissa har rätt till både en lärar- och förskollärarlegitimation. Det totala antalet utfärdade legitimationer var 263 182, och av dessa avsåg 172 127 lärarlegitimationer och 91 055 förskollärarlegitimationer.1
1
425
Lärar- och förskollärarregistret |
SOU 2017:49 |
10.2Utredningens uppdrag i denna del
Enligt förordningen om lärar- och förskollärarregister ska Skolverket föra ett register över legitimerade och tidigare legitimerade lärare och förskollärare. Personuppgiftslagen (1998:204, PUL) gäller vid be- handling av personuppgifter i registret om inte annat följer av för- ordningen. När dataskyddsförordningen ska börja tillämpas kommer personuppgiftslagen att upphävas.
Utredningen har därför fått i uppdrag att analysera vilka ändring- ar i förordningen om lärar- och förskollärarregister som behöver göras med anledning av dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredningen kan komma att lämna. Utredningen ska även lämna de författningsförslag som behövs.
10.3Rättslig grund för personuppgiftsbehandling
Bedömning: Bestämmelserna i förordningen om lärar- och för- skollärarregister utgör i enlighet med artikel 6.1 c i dataskydds- förordningen en fastställd rättslig förpliktelse för Skolverket att föra ett register över legitimerade och tidigare legitimerade lärare och förskollärare. Förandet av registret är dessutom en för Skol- verket fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e.
Enligt artikel 6.2 och 6.3 andra stycket är det tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämp- ningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva 6.1 c och e. Förordningen om lärar- och förskollärarregister är därmed i sig förenlig med data- skyddsförordningen.
Enligt artikel 6.1 i dataskyddsförordningen krävs att åtminstone ett av de i artikeln uppräknade villkoren är uppfyllt för att behandling av personuppgifter ska vara laglig. Ett sådant villkor är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (6.1 c). Ett annat villkor är att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (6.1 e). Enligt artikel 6.3 första stycket krävs att den grund för behandlingen
426
SOU 2017:49 |
Lärar- och förskollärarregistret |
som avses i punkt 1 c och e ska fastställas i enlighet med unionsrät- ten eller en medlemsstats nationella rätt som den personuppgifts- ansarige omfattas av.
I fråga om rättslig förpliktelse föreslår Dataskyddsutredningen en förtydligande bestämmelse i 2 kap. 3 § lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning (data- skyddslagen), enligt vilken personuppgifter får behandlas med stöd av artikel 6.1 c om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som bl.a. gäller enligt lag eller annan författning eller följer av beslut som har meddelats med stöd av lag eller annan författning.
Av artikel 6.3 andra stycket första meningen i dataskyddsförord- ningen framgår att, i fråga om den rättsliga grunden rättslig för- pliktelse, syftet med behandlingen ska fastställas i den rättsliga grun- den. Enligt Dataskyddsutredningen torde kravet innebära att en för- pliktelse inte kan läggas till grund för behandling av personuppgifter om syftet med behandlingen inte framgår av den författning som förpliktelsen grundas på. Dataskyddsutredningen gör bedömningen att en myndighets uppdrag enligt myndighetsinstruktionen eller regleringsbrevet i vissa fall kan utgöra en i enlighet med nationell rätt (regeringsformen) fastställd rättslig förpliktelse i dataskyddsförord- ningens mening, t.ex. om myndigheten ges i uppdrag att föra ett visst personuppgiftsregister (SOU 2017:39, avsnitt 8.3.2).
I 1 § förordningen om lärar- och förskollärarregister anges att Skolverket med hjälp av automatiserad behandling för vissa ändamål ska föra ett register över legitimerade och tidigare legitimerade lärare och förskollärare. Enligt utredningens bedömning utgör denna para- graf ett utryck för en rättslig förpliktelse för Skolverket att föra nämnda register. Enligt 5 och 6 §§ får personuppgifterna i registret behandlas för vissa ändamål. Syftet med behandlingen framgår såle- des av 5 och 6 §§ förordningen. Den rättsliga förpliktelsen för Skol- verket att föra lärar- och förskollärarregistret är, enligt utredningens bedömning, därigenom fastställd i svensk rätt.
Beträffande den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen, uppgift av allmänt intresse, föreslår Data- skyddsutredningen att det i 2 kap. 4 § dataskyddslagen ska finnas en förtydligande bestämmelse på motsvarande sätt som i fråga om rätts- lig förpliktelse, dvs. att personuppgifter får behandlas med stöd av artikel 6.1 e om behandlingen är nödvändig för att utföra en uppgift
427
Lärar- och förskollärarregistret |
SOU 2017:49 |
av allmänt intresse som följer av bl.a. lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.4). Vidare konstaterar Dataskyddsutred- ningen att statliga och kommunala myndigheters verksamhet i allt väsentligt är av allmänt intresse och att det är den rättsliga grunden i artikel 6.1 e som vanligen bör tillämpas av myndigheter. Dataskydds- utredningen anför vidare.
Myndigheternas uppdrag och åligganden framgår av författningar, reger- ingsbeslut och kommunala reglementen, antagna i enlighet med grund- lagens bestämmelser om normgivningskompetens och kommunalt själv- styre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering av myndigheternas obligatoriska uppgifter krävs därmed inte på generell nivå för att myndigheter ska kunna vidta nödvändiga behandlingsåtgär- der för att fullgöra sina uppgifter.
Vid införandet av lärar- och förskollärarlegitimationer uttalade reger- ingen att det med hänsyn till vikten av att huvudmännen får reella möjligheter att få tillgång till säker och aktuell information om legiti- merade lärare och förskollärare finns ett starkt behov av ett register för att uppnå syftet med den nu aktuella reformen (prop. 2010/11:20 s. 66 f.). Regeringen synes ha varit av uppfattningen att förandet av lärar- och förskollärarregistret är en uppgift av allmänt intresse. Uppgiften att föra registret ligger dessutom på en statlig myndighet och regleras i förordning.
Enligt utredningens bedömning finns det således två rättsliga grunder i artikel 6.1 i dataskyddsförordningen till stöd för behand- lingen av personuppgifter i lärar- och förskollärarregistret, rättslig förpliktelse (6.1 c) och uppgift av allmänt intresse (6.1 e). De rätts- liga grunderna är fastställda i svensk rätt genom förordningen om lärar- och förskollärarregister.
Av artikel 6.2 framgår att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestäm- melserna i dataskyddsförordningen med hänsyn till behandling för att efterleva punkt 1 c och e. Enligt artikel 6.3 andra stycket andra meningen kan dessutom den rättsliga grunden för behandling, som fastställs i den nationella rätten, innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen i form
428
SOU 2017:49 |
Lärar- och förskollärarregistret |
av bl.a. de allmänna villkor som ska gälla för den personuppgifts- ansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagrings- tid samt typer av behandling och förfaranden för behandling, inbe- gripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Dataskyddsförordningen medger således att det i nationell rätt finns sådana regleringar (registerförfattningar) som införts genom t.ex. förordningen om lärar- och förskollärarregister.
Vidare ska, enligt artikel 6.3 andra stycket sista meningen i data- skyddsförordningen, den rättsliga regleringen dessutom uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Utredningen konstaterar att förordningen om lärar- och förskol- lärarregister tillkommit i den ordning som regeringsformen utpekar för föreskrifter av nu aktuellt slag. Bestämmelserna har bedömts relevanta och proportionerliga av regeringen. Regeringen uttalade i samband med förslaget om legitimationssystem för lärare och för- skollärare att den avsåg att meddela föreskrifter om lärar- och för- skollärarregistret i en förordning, eftersom den bedömde att be- handlingen av uppgifterna – såväl insamlingen och lagringen som utlämnandet – inte innefattar ett så stort ingrepp i enskildas privatliv att det kan anses utgöra ett betydande intrång i den personliga integ- riteten i den mening som avses i numera 2 kap. 6 § regeringsformen (prop. 2010/11:20 s. 67). Regeringen uttalade även vilka uppgifter registret avsågs innehålla. Riksdagen har i sin beredning av nämnda proposition inte ifrågasatt regeringens bedömning i den delen (jfr betänkande 2010/11:UbU5). Inte heller har såvitt framkommit någon tillsynsmyndighet uttalat någon kritik eller tveksamhet i dessa avseenden. Det är därför rimligt att utgå från att de ändamål m.m. som fastställts i samband med författningsarbetet är relevanta och proportionerliga i förhållande till det integritetsintrång behand- lingarna kan innebära. Denna bedömning är giltig även i de avseen- den som avses i dataskyddsförordningen. Utredningen har inte heller vid genomgången av förordningen funnit några exempel på bestäm- melser som kan sägas vara irrelevanta eller oproportionerliga. Utred- ningen anser således att förordningen uppfyller kraven i artikel 6.3 andra stycket i dataskyddsförordningen.
429
Lärar- och förskollärarregistret |
SOU 2017:49 |
Med anledning av att dataskyddsförordningen och en ny generell lagstiftning som i vissa delar kompletterar förordningen ska börja tillämpas, påkallas dock ställningstaganden till och ändringar i vissa av bestämmelserna i förordningen om lärar- och förskollärarregister. En genomgång av befintliga bestämmelser görs i följande avsnitt.
10.4Behov av ändringar
Förslag: I 2 § förordningen om lärar- och förskollärarregister ska anges att förordningen kompletterar dataskyddsförordningen. Vidare ska förordningens förhållande till den föreslagna lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) regleras. Hänvisningen till personuppgiftslagen ska tas bort.
I ett nytt tredje stycke i 6 § ska en hänvisning till artikel 5.1 b i dataskyddsförordningen införas. Hänvisningen ersätter den nuva- rande hänvisningen till finalitetsprincipen i 9 § PUL som finns i 6 § andra stycket.
Bestämmelserna om information i 10 § ska ändras på så sätt att de endast reglerar den informationsskyldighet som gäller utöver den informationsskyldighet som kommer att gälla enligt data- skyddsförordningen.
Bestämmelserna om rättelse och skadestånd i 11 § ska upp- hävas.
Förordningen om lärar- och förskollärarregister består av elva para- grafer som finns under rubrikerna inledning, personuppgiftsansvarig, registrets ändamål, registrets innehåll, direktåtkomst, utlämnande på medium för automatiserad behandling, information samt rättelse och skadestånd. Nedan redogörs för regleringen i respektive paragraf och vilka behov av ändringar som utredningen anser är påkallade med anledning av att dataskyddsförordningen ska börja tillämpas.
430
SOU 2017:49 |
Lärar- och förskollärarregistret |
Inledning
1 §
Enligt 1 § förordningen om lärar- och förskollärarregister ska Skol- verket, för de ändamål som anges i 5 och 6 §§, med hjälp av auto- matiserad behandling föra ett register över legitimerade och tidigare legitimerade lärare och förskollärare. Bestämmelsen ålägger således Skolverket att föra en viss typ av register för vissa ändamål.
Dataskyddsförordningen hindrar inte att medlemsstaterna fritt bestämmer tillämpningsområdet för nationell lagstiftning som kom- pletterar dataskyddsförordningen (jfr artikel 6.2). Enligt utredning- ens bedömning är 1 § därmed förenlig med dataskyddsförordningen. Bestämmelsen bör därför finnas kvar och inte ändras.
2 §
I 2 § anges att personuppgiftslagen gäller vid behandling av per- sonuppgifter i registret om inte annat följer av denna förordning.
När dataskyddsförordningen ska börja tillämpas kommer person- uppgiftslagen att upphävas och den föreslagna dataskyddslagen träda i kraft. Med anledning av detta behöver den nu aktuella hänvisningen i 2 § förordningen om lärar- och förskollärarregister ändras.
Dataskyddsförordningen är direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Förordningen om lärar- och förskollärarregister innehåller endast sådana tillåtna be- stämmelser som kompletterar eller tar över bestämmelserna i data- skyddsförordningen. För att tillämparen ska få en fullständig bild av vilken reglering som gäller bör en bestämmelse med en upplysning om att dataskyddsförordningen gäller tas in i förordningen.
Den föreslagna dataskyddslagen kommer, på samma sätt som personuppgiftslagen, att vara subsidiär i förhållande till andra författ- ningar om behandling av personuppgifter. Av tydlighetsskäl bör en hänvisning till dataskyddslagen införas, såsom i dag görs till person- uppgiftslagen.
Utredningen föreslår därför att det i 2 § första stycket förord- ningen om lärar- och förskollärarregister ska anges att förordningen kompletterar dataskyddsförordningen. I ett nytt andra stycke ska förhållandet till dataskyddslagen regleras.
431
Lärar- och förskollärarregistret |
SOU 2017:49 |
3 §
I 3 § anges att en registrerad inte har rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt förordningen.
I dataskyddsdirektivet regleras den registrerades rätt att göra invändningar i artikel 14. Om den nationella lagstiftningen inte före- skriver något annat, ska den registrerade, enligt artikel 14 a, ha rätt att av avgörande och berättigade skäl som rör hans personliga situa- tion motsätta sig behandlingen, åtminstone i de fall då uppgifterna behandlas med stöd av en intresseavvägning av det slag som framgår av 10 § f PUL eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. I 12 § andra stycket PUL har införts en bestämmelse som anger att en registrerad med ett par undantag inte har rätt att motsätta sig sådan behandling av person- uppgifter som är tillåten enligt personuppgiftslagen.
I dataskyddsförordningen regleras rätten att göra invändningar i artikel 21. Enligt artikel 21.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (uppgift av all- mänt intresse eller myndighetsutövning) eller f (intresseavvägning). Den personuppgiftsansvarige får inte längre behandla personupp- gifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättig- heter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
Enligt artikel 23.1 e ska det dock vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt, som den personuppgiftsansva- rige eller personuppgiftsbiträdet omfattas av, införa en lagstiftnings- åtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i bl.a. artikel 21. En sådan begränsning ska ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, sär- skilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland
432
SOU 2017:49 Lärar- och förskollärarregistret
Enligt artikel 23.2 ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser, åtminstone när det är rele- vant, avseende
a)ändamålen med behandlingen eller kategorierna av behandling,
b)kategorierna av personuppgifter,
c)omfattningen av de införda begränsningarna,
d)skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,
e)specificeringen av den personuppgiftsansvarige eller kategorier- na av personuppgiftsansvariga,
f)lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling,
g)riskerna för de registrerades rättigheter och friheter, och
h)de registrerades rätt att bli informerade om begränsningen, så- vida detta inte kan inverka menligt på begränsningen.
Dataskyddsförordningen ställer därmed högre krav på den natio- nella begränsande regleringen än dataskyddsdirektivet, eftersom det i dataskyddsdirektivet inte anges några särskilda villkor för en sådan reglering.
Den första frågan är om förordningen om lärar- och förskollärar- register omfattas av artikel 21 i dataskyddsförordningen. Om den rättsliga grunden för behandling av personuppgifter enligt förord- ningen om lärar- och förskollärarregister är att behandlingen är nödvändig för Skolverket för att fullgöra en rättslig förpliktelse är artikel 21 inte tillämplig och den registrerade har därmed inte rätt att göra någon invändning mot behandlingen av hans eller hennes per- sonuppgifter. Om så är fallet är 3 § förenlig med dataskyddsförord- ningen.
Som anges ovan anser utredningen att två rättsliga grunder enligt artikel 6.1 är tillämpliga, rättslig förpliktelse (c) och uppgift av all- mänt intresse (e). Eftersom flera rättsliga grunder kan vara tillämp- liga samtidigt enligt dataskyddsförordningen, och då utredningens uppfattning är att även den rättsliga grunden uppgift av allmänt in-
433
Lärar- och förskollärarregistret |
SOU 2017:49 |
tresse är en tillämplig grund för behandlingen av personuppgifter i lärar- och förskollärarregistret, prövar utredningen om förutsätt- ningarna enligt artikel 23 för att begränsa den registrerades rätt att göra invändningar är uppfyllda.
Ett av syftena med att införa lärar- och förskollärarregistret var att skapa möjlighet för skolhuvudmännen att få en reell tillgång till säker och aktuell information om legitimerade lärare och förskol- lärare för att kunna kontrollera om den lärare eller förskollärare som anställs innehar legitimation, tilldelats en eller flera varningar eller fått sin legitimation återkallad (prop. 2010/11:20 s. 67).
Utredningens uppfattning är därför att förordningen om lärar- och förskollärarregister reglerar behandling av personuppgifter som rör sådana viktiga mål av generellt allmänt intresse som avses i artikel 23.1 e. Förordningen innehåller även sådana relevanta begräns- ningar som räknas upp i artikel 23.2, dvs. ändamålen med behand- lingen (5 och 6 §§), kategorierna av personuppgifter (7 §), omfatt- ningen av de införda begränsningarna (3 §), skyddsåtgärder (8 och 9 §§), specificering av den personuppgiftsansvarige (4 §) och den registrerades rätt att bli informerad om begränsningen (10 §).
Enligt utredningens bedömning har förordningen införts efter noggranna överväganden av vilka bestämmelser, utöver de som finns i personuppgiftslagen, som är relevanta i sammanhanget. Förut- sättningarna för att behålla begränsningen av den registrerades rätt att göra invändningar i 3 § är enligt utredningens bedömning därmed uppfyllda. Bestämmelsen kan och bör därför behållas.
Personuppgiftsansvarig
I 4 § anges att Skolverket är personuppgiftsansvarig för behandling av personuppgifter i lärar- och förskollärarregistret.
Av definitionen i artikel 4.7 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsam- mans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur
434
SOU 2017:49 |
Lärar- och förskollärarregistret |
denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
I förordningen om lärar- och förskollärarregister anges ända- målen och medlen för behandlingen. Enligt utredningens bedömning är det således tillåtet att i förordningen ange att Skolverket är per- sonuppgiftsansvarig. Bestämmelsen i 4 § kan och bör därför behållas.
Registrets ändamål
5 §
Enligt 5 § får personuppgifterna i registret behandlas för att föra en aktuell förteckning över legitimerade och tidigare legitimerade lärare och förskollärare.
När den rättsliga grunden är rättslig förpliktelse och uppgift av allmänt intresse är det enligt artikel 6.2 och 6.3 andra stycket i data- skyddsförordningen tillåtet med särskilda bestämmelser om bl.a. ändamålsbegränsningar. Bestämmelsen i 5 § kan och bör därför be- hållas.
6 §
I 6 § första stycket anges att personuppgifterna i registret får, utöver det som anges i 5 §, behandlas om det behövs för att
1.handlägga ärenden om legitimation enligt 2 kap. 16 § skollagen, enligt föreskrifter som har meddelats med stöd av 2 kap. 16 b § andra stycket skollagen eller enligt 27 kap. 4 § skollagen,
2.lämna uppgifter till utländska myndigheter i enlighet med förord- ningen (2016:157) om erkännande av yrkeskvalifikationer,
3.utöva tillsyn av skolväsendet och dess personal, och
4.kontrollera identitet och behörighet i samband med tjänstetill- sättning av lärare och förskollärare.
Enligt 6 § andra stycket får personuppgifterna i registret också be- handlas för att fullgöra uppgiftslämnande som sker i överensstäm- melse med lag eller förordning. I andra stycket anges vidare att i övrigt gäller 9 § första stycket d och andra stycket PUL.
435
Lärar- och förskollärarregistret |
SOU 2017:49 |
När den rättsliga grunden är rättslig förpliktelse och uppgift av allmänt intresse är det som tidigare angetts tillåtet att införa ända- målsbegränsningar (se artikel 6.2 och 6.3 andra stycket).
Beträffande 6 § första stycket 2, dvs. att personuppgifterna i registret får behandlas om det behövs för att lämna uppgifter till ut- ländska myndigheter i enlighet med förordningen om erkännande av yrkeskvalifikationer, kompletterar förordningen om erkännande av yrkeskvalifikationer bestämmelserna i lagen (2016:145) om erkän- nande av yrkeskvalifikationer. Genom lagen och förordningen om erkännande av yrkeskvalifikationer genomförs allmänna bestämmel- ser i Europaparlamentets och rådets direktiv 2005/36/EG av den 7 september 2005 om erkännande av yrkeskvalifikationer, i lydelsen enligt Europaparlamentets och rådets direktiv 2013/55/EU (yrkes- kvalifikationsdirektivet).
Av 2 § lagen om erkännande av yrkeskvalifikationer framgår att lagen innehåller bestämmelser om bl.a. tillfällig yrkesutövning och om erkännande av yrkeskvalifikationer för den som vill utöva ett reglerat yrke i Sverige, som anställd eller som egenföretagare, och som har förvärvat yrkeskvalifikationer eller fått dem erkända i en annan stat inom Europeiska ekonomiska samarbetsområdet (EES) eller i Schweiz. Av förarbetena (prop. 2015/16:44 s. 47) framgår att yrkeskvalifikationsdirektivet för svenskt vidkommande behöver genomföras på så sätt att
Av 8 kap. 11 § förordningen om erkännande av yrkeskvalifika- tioner framgår att de behöriga myndigheterna ska med behöriga myndigheter i andra stater inom EES och i Schweiz utbyta sådana uppgifter som är nödvändiga för att en tjänstemottagares klagomål mot en yrkesutövare som tillfälligt utövar ett yrke i en annan stat än i etableringsstaten ska kunna utredas. Vidare framgår det av 13 § att IMI (Informationssystemet för den inre marknaden) ska användas
436
SOU 2017:49 |
Lärar- och förskollärarregistret |
för utbyte av information med behöriga myndigheter och rådgiv- ningscentrum i andra stater inom EES och i Schweiz. Bestämmelser om användning av IMI finns i Europaparlamentets och rådets förordning (EU) nr 1024/2012 av den 25 oktober 2012 om admi- nistrativt samarbete genom informationssystemet för den inre mark- naden och om upphävande av kommissionens beslut 2008/49/EG
Att Skolverket i dagsläget kan föra över personuppgifter till aktörer belägna i
Dataskyddsförordningen innehåller inte någon definition av tredjeland. Artikel 3 i dataskyddsförordningen anger förordningens territoriella tillämpningsområde och där anges bl.a. ”etablerad i unionen” och ”befinner sig i unionen”. Om personuppgifter förs
över till myndigheter i Norge, Island, Liechtenstein eller Schweiz bör det normalt vara fråga om en överföring av personuppgifter till tredjeland eftersom dessa länder inte är medlemmar i EU. Data- skyddsförordningens bestämmelser om överföring till tredjeland är direkt tillämpliga och medger inte att medlemsstaterna i sin natio- nella rätt tillåter överföring av personuppgifter till tredjeland på annat sätt (se artikel
2
437
Lärar- och förskollärarregistret |
SOU 2017:49 |
förordningen om lärar- och förskollärarregister kommer att vara förenlig med dataskyddsförordningen.
Som nämnts ovan anger 6 § andra stycket andra meningen att i övrigt gäller 9 § första stycket d och andra stycket PUL. Detta är en hänvisning till den s.k. finalitetsprincipen, dvs. att personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in.
En uttrycklig hänvisning till finalitetsprincipen tillkom första gången efter att Lagrådet anfört att uppbyggnaden och utform- ningen av ändamålsbestämmelserna i förslaget till lag om behandling av personuppgifter inom socialförsäkringens administration gav in- tryck av att de angivna ändamålen var uttömmande. Att det fanns en avsikt att även andra efterkommande behandlingar skulle få företas förutsatt att det inte kunde anses oförenligt med de ursprungliga ändamålen ansågs inte framgå av den föreslagna lagtexten. Reger- ingen föreslog då ett förtydligande – en hänvisning till 9 § första stycket d och andra stycket PUL. Mot bakgrund av att motsvarande förtydligande vid den tiden saknades i andra registerförfattningar betonade regeringen att det inte var fråga om en materiell regel, utan endast ett förtydligande (prop. 2002/03:135 s. 56).
Finalitetsprincipen finns uttryckt i artikel 5.1 b och 6.4 i data- skyddsförordningen. Där framgår att personuppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka de samlats in, samt att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses vara oförenlig med de ursprungliga ändamålen. Regleringen motsvarar den som finns i artikel 6.1 b i dataskyddsdirektivet. Finalitetsprincipen kommer således att finnas kvar även med dataskyddsförordningen.
En bestämmelse med innebörden att personuppgifter, som be- handlas för i författningen uttryckligen angivna ändamål, får behand- las också för andra ändamål när det inte strider mot finalitetsprin- cipen är en sådan specificering som kan och bör behållas. Det bör dock noteras att artikel 13.3 och 14.4 i dataskyddsförordningen i regel innebär att de registrerade på förhand måste informeras om till- tänkt återanvändning av deras personuppgifter. Enligt utredningens bedömning kan en bestämmelse som klargör att de i registerför- fattningen angivna ändamålen inte är uttömmande utan att också sådan behandling som inte strider mot finalitetsprincipen finnas även
438
SOU 2017:49 |
Lärar- och förskollärarregistret |
fortsättningsvis i författningen. Bestämmelsen i 6 § andra stycket andra meningen förordningen om lärar- och förskollarregister behö- ver dock hänvisa till dataskyddsförordningen i stället för som i dags- läget till aktuella bestämmelser i personuppgiftslagen. För tydlighets skull föreslås bestämmelsen placeras i ett eget tredje stycke.
Sammanfattningsvis bedömer utredningen att bestämmelserna i 6 §, med nyss nämnda förslag till ändring i andra stycket, är fören- liga med dataskyddsförordningen och att de kan och bör behållas.
Registrets innehåll
Enligt 7 § första stycket får registret innehålla endast de uppgifter som räknas upp där, t.ex. namn, kön, personnummer, samordnings- nummer, yrke, lärosäte som utfärdat examen, utbildningsland, lära- rens eller förskollärarens behörighet enligt legitimationen, samt om beslut om varning eller återkallelse av legitimation har meddelats. I andra stycket anges att registret inte får innehålla uppgifter om skä- len för beslut om varning eller återkallelse av legitimation.
Av bestämmelserna i 7 § framgår motsatsvis (e contrario) att registret inte får innehålla sådana särskilda kategorier av uppgifter som anges i artikel 9.1 i dataskyddsförordningen (känsliga person- uppgifter).
När den rättsliga grunden är rättslig förpliktelse eller uppgift av allmänt intresse är det enligt artikel 6.2 och 6.3 andra stycket i data- skyddsförordningen tillåtet med särskilda bestämmelser om vilka typer av uppgifter som får behandlas.
Beträffande personnummer och samordningsnummer får, enligt 22 § PUL, uppgifter om personnummer eller samordningsnummer utan samtycke behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Av 50 § c PUL följer att regeringen får meddela närmare föreskrifter om i vilka fall användning av person- nummer är tillåten.
Av artikel 87 i dataskyddsförordningen framgår att medlemssta- terna får närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identi- fiering får behandlas. I ett tillägg anges dessutom att sådana uppgif- ter i sådana fall endast ska användas med iakttagande av lämpliga
439
Lärar- och förskollärarregistret |
SOU 2017:49 |
skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen.
Dataskyddsutredningen har i sitt förslag till 3 kap. 13 § dataskydds- lagen föreslagit en bestämmelse med samma ordalydelse som 22 § PUL. Vidare föreslår Dataskyddsutredningen en bestämmelse i 3 kap. 14 § dataskyddslagen som anger att regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten. Bestämmelsen motsvarar såle- des delvis 50 § c PUL.
Utredningen anser att det i lärar- och förskollärarregistret är klart motiverat med hänsyn till behandlingen och vikten av en säker iden- tifiering att personnummer eller samordningsnummer används för identifiering. Därtill finns det ett bemyndigande för regeringen i data- skyddslagen att meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten.
Sammanfattningsvis bedömer utredningen att bestämmelserna i 7 § förordningen om lärar- och förskollärarregister om vilka uppgif- ter som får behandlas i registret är förenliga med dataskyddsför- ordningen. Paragrafen kan och bör därför behållas.
Direktåtkomst och utlämnande på medium för automatiserad behandling
Av 8 § framgår att direktåtkomst inte får medges till uppgifterna i registret. Enligt 9 § får personuppgifterna i registret lämnas ut på medium för automatiserad behandling om uppgifterna ska behand- las för de ändamål som anges i 5 och 6 §§.
Utlämnande genom direktåtkomst och utlämnande på medium för automatiserad behandling utgör olika former av behandling av personuppgifter som ofta regleras i registerförfattningar. I data- skyddsförordningen och i Dataskyddsutredningens förslag till data- skyddslag finns det inga särskilda bestämmelser som direkt rör dessa former av behandling eller utlämnande utan det krävs – i likhet med vad som gäller för all behandling av personuppgifter – att behand- lingen uppfyller tillämpliga grundläggande krav i artikel 5 i data- skyddsförordningen och har lagligt stöd enligt artikel 6. Det krävs också att säkerhetsåtgärder enligt artikel 24.1 och 32 är vidtagna. Om utlämnandet sker till en myndighet eller enskild i tredjeland eller till
440
SOU 2017:49 |
Lärar- och förskollärarregistret |
internationella organisationer krävs dessutom att villkoren i kapitel V (artikel
Om utlämnandet i sig är tillåtet enligt dataskyddsförordningen får det således ske på vilket sätt som helst så länge föreskrivna säker- hetsåtgärder vidtas och, i relevanta fall, bestämmelserna rörande överföring av personuppgifter till tredjeland följs. Artiklarna om säkerhetsåtgärder och om överföring av personuppgifter till tredje- land kommer att vara direkt tillämpliga.
Bestämmelsen i 8 § är en begränsning som förhindrar direkt- åtkomst till registret. Begränsningen är tillåten enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen. Utredningens bedöm- ning är att bestämmelserna i 8 och 9 §§ är förenliga med dataskydds- förordningen. Båda paragraferna kan och bör behållas.
Information
I 10 § anges att Skolverket på lämpligt sätt ska informera den regi- strerade om registret (dvs. formen för hur informationen ska läm- nas). Vidare anges vilken information som ska lämnas. Informatio- nen ska ge upplysning om vem som är personuppgiftsansvarig och redovisa ändamålet med registret och vilken typ av uppgifter som registret får innehålla samt ge upplysning om
1.de sekretess- och säkerhetsbestämmelser som gäller för regist- ret,
2.rätten att få information och rättelse enligt personuppgiftslagen,
3.rätten till skadestånd vid behandling av personuppgifter i strid med denna förordning och personuppgiftslagen,
4.vad som gäller i fråga om sökbegrepp, direktåtkomst och utläm- nande av uppgifter på medium för automatiserad behandling, och
5.om registreringen är frivillig eller inte.
Formen för lämnande av information
Av artikel 12.1 i dataskyddsförordningen följer att den personupp- giftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information som avses i artikel 13 och 14 (som
441
Lärar- och förskollärarregistret |
SOU 2017:49 |
anger vilken information som ska lämnas). Informationen ska till- handahållas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas muntligt, förutsatt att den registrera- des identitet bevisats på andra sätt.
Eftersom artikel 12 i dataskyddsförordningen är direkt tillämp- lig och då utredningen bedömer att den inhemska lagstiftningen av tydlighetsskäl inte ska dubbelreglera viss förordningstext, föreslår utredningen att första meningen i 10 § förordningen om lärar- och förskollärarregister ska tas bort.
Vilken information som ska lämnas
Artikel 13 i dataskyddsförordningen reglerar vilken information som den personuppgiftsansvarige ska informera den registrerade om i de fall personuppgifter samlas in från den registrerade.
Artikel 14 reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade.
De uppgifter som registreras i registret rörande legitimationer kommer främst från lärare eller förskollärare, dvs. de registrerade, när de ansöker om legitimation. Vid registreringen hämtar Skolver- ket även uppgifter från folkbokföringen, dvs. uppgifter kommer från någon annan än den registrerade. Enligt 27 kap. 4 § skollagen prövar Lärarnas ansvarsnämnd, efter anmälan av Statens skolinspektion, frågor om lärares och förskollärares fortsatta rätt att inneha legitima- tion och om varning ska meddelas. I de fall en lärare eller förskol- lärare har meddelats en varning eller fått sin legitimation återkallad lägger Skolverket, i egenskap av Lärarnas ansvarsnämnds kansli- resurs, in uppgifterna i registret. Även då registreras uppgifter från någon annan än den registrerade.
Följande delar av 10 § förordningen om lärar- och förskollärar- register bedömer utredningen motsvarar bestämmelser i artikel 13 och 14 i dataskyddsförordningen. Att Skolverket ska ge upplysning om vem som är personuppgiftsansvarig följer av artikel 13.1 a och 14.1 a. Att ändamålet med registret ska redovisas följer av arti- kel 13.1 c och 14.1 c. Att Skolverket ska ge upplysning om rätten till
442
SOU 2017:49 |
Lärar- och förskollärarregistret |
rättelse enligt personuppgiftslagen finns det motsvarande bestäm- melser om i artikel 13.2 b och 14.2 c.
Eftersom artikel 13 och 14 i dataskyddsförordningen är direkt tillämpliga och då utredningen bedömer att den inhemska lagstift- ningen av tydlighetsskäl inte ska dubbelreglera viss förordningstext, ska de delar av 10 § förordningen om lärar- och förskollärarregister som omnämnts i det ovanstående stycket tas bort.
Bestämmelserna i 10 § förordningen om lärar- och förskollärar- register ålägger dessutom Skolverket att informera om vissa uppgif- ter som inte följer av artikel 13 och 14 i dataskyddsförordningen, dvs. de sekretess- och säkerhetsbestämmelser som gäller för regist- ret, rätten att få information enligt personuppgiftslagen, rätten till skadestånd vid behandling av personuppgifter i strid med denna för- ordning och personuppgiftslagen, vad som gäller i fråga om sök- begrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling, samt om registreringen är frivillig eller inte. Eftersom utredningen bedömer att de rättsliga grunderna för behandling av personuppgifter i lärar- och förskollärarregistret är artikel 6.1 c (rättslig förpliktelse) och första ledet i artikel 6.1 e (upp- gift av allmänt intresse) är det förenligt med artikel 6.2 och 6.3 andra stycket att behålla mer specifika bestämmelser såsom dessa. Hän- visningarna till personuppgiftslagen ska dock ändras till hänvisningar till dataskyddsförordningen.
Slutligen ålägger 10 § förordningen om lärar- och förskollärar- register Skolverket att informera den registrerade om vilken typ av uppgifter som registret får innehålla. Artikel 14.1 d innehåller en motsvarande bestämmelse som anger att den personuppgiftsansva- rige ska förse den registrerade med information om de kategorier av personuppgifter som behandlingen gäller. Artikel 13 innehåller dock inte någon motsvarande bestämmelse. Utredningens bedöm- ning är därför att ett behållande av bestämmelsen inte medför en dubbelreglering utan att bestämmelsen på ett tillåtet sätt ålägger Skolverket en utökad informationsskyldighet i förhållande till data- skyddsförordningen i de fall personuppgifterna har samlats in från den registrerade. Bestämmelsen bör och kan därför finnas kvar.
För att tillämparen inte ska ledas till den felaktiga slutsatsen att paragrafen reglerar all information som Skolverket ska lämna själv- mant föreslås att paragrafen även ska kompletteras med en upplys-
443
Lärar- och förskollärarregistret |
SOU 2017:49 |
ning om att den gäller utöver vad som följer av dataskyddsförord- ningen.
Rättelse och skadestånd
Enligt 11 § gäller bestämmelserna i personuppgiftslagen om rättelse och skadestånd vid behandling av personuppgifter enligt förord- ningen.
Enligt 28 § PUL är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med per- sonuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen. Eftersom 28 § PUL endast avser sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller före- skrifter som utfärdats med stöd av lagen, har det i förordningen om lärar- och förskollärarregister varit nödvändigt att hänvisa till person- uppgiftslagens bestämmelser.
Enligt artikel 16 i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få fel- aktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande.
Eftersom personuppgiftslagen kommer att upphävas behöver 11 § förordningen om lärar- och förskollärarregister ändras. Eftersom dataskyddsförordningen är direkt tillämplig såvitt gäller rättelse, till skillnad mot vad som gäller enligt personuppgiftslagen, ska någon materiell bestämmelse i nationell rätt inte införas. Enligt utredningens mening saknas det anledning att införa en upplysningsbestämmelse om att det i dataskyddsförordningen finns bestämmelser om rättelse. Med hänsyn till detta föreslår utredningen att 11 §, i den del som avser rättelse, ska upphävas.
Som nämnts ovan anger 11 § även att bestämmelserna i person- uppgiftslagen om skadestånd gäller vid behandling av personupp- gifter enligt förordningen om lärar- och förskollärarregister.
Enligt 48 § PUL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgifts-
444
SOU 2017:49 |
Lärar- och förskollärarregistret |
lagen har orsakat. Även avseende rätten till skadestånd har det där- med varit nödvändigt att i förordningen hänvisa till personupp- giftslagens bestämmelser.
I dataskyddsförordningen regleras rätten till skadestånd i arti- kel 82. Av artikel 82.1 följer att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskydds- förordningen ska ha rätt till ersättning från den personuppgifts- ansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Av skäl 146 framgår att behandling som strider mot dataskyddsför- ordningen även omfattar behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med data- skyddsförordningen och medlemsstaternas nationella rätt med när- mare specifikation av dataskyddsförordningens bestämmelser.
Dataskyddsutredningen föreslår att 8 kap. 1 § dataskyddslagen ska innehålla en bestämmelse som upplyser om att rätten till ersätt- ning som regleras i artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra för- fattningar som kompletterar dataskyddsförordningen. Förordningen om lärar- och förskollärarregister är en författning som kompletterar dataskyddsförordningen.
Eftersom artikel 82 i dataskyddsförordningen är direkt tillämplig bör 11 § förordningen om lärar- och förskollärarregister även upp- hävas i den del som avser skadestånd. Utredningen gör samma bedömning som den gjort i det föregående i fråga om behovet av att i stället göra om bestämmelsen till en upplysningsparagraf. Nämnda paragraf föreslås därför upphävas i sin helhet.
445
11Kommunernas register över ungdomar som
de har aktivitetsansvar för
11.1Allmänt
Enligt 29 kap. 9 § skollagen (2010:800) ska en hemkommun löpande under året hålla sig informerad om hur de ungdomar i kommunen är sysselsatta som har fullgjort sin skolplikt men inte har fyllt 20 år och inte genomför eller har fullföljt utbildning på nationella program i gymnasieskola eller gymnasiesärskola eller motsvarande utbildning (aktivitetsansvar). Hemkommunen har inom ramen för ansvaret upp- giften att erbjuda de ungdomar som berörs lämpliga individuella åt- gärder. Åtgärderna ska i första hand syfta till att motivera den enskil- de att påbörja eller återuppta en utbildning. Kommunen ska doku- mentera sina insatser på lämpligt sätt. Kommunen ska föra ett regis- ter över de ungdomar som omfattas av ansvaret.
I 29 kap. 9 § finns vidare ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om den dokumentation och den behandling av personuppgifter som är nödvändig för att kommunen ska kunna fullgöra sina skyldighe- ter. Regeringen har meddelat sådana föreskrifter i förordningen (2006:39) om register och dokumentation vid fullgörandet av kom- munernas aktivitetsansvar för ungdomar. Genom förordningen regle- ras således kommunernas register över ungdomar som omfattas av kommunernas aktivitetsansvar närmre.
Frågan om de personuppgifter som ska behandlas har sådan karak- tär som innebär ett sådant intrång i de enskildas personliga integritet att det krävs lagreglering av behandlingarna synes ha prövats, i vart fall indirekt, vid flera tillfällen. De senaste ändringarna av 29 kap. 9 § skollagen trädde i kraft den 1 januari 2015. I förarbetena konstatera-
447
Kommunernas register över ungdomar som de har aktivitetsansvar för |
SOU 2017:49 |
des att regeringen även avsåg att göra nödvändiga justeringar i förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar (prop. 2013/14:191 s. 140). Vid förordningens tillkomst gjordes en integritetsintrångs- prövning. Regeringen fann då att det med hänsyn till uppgifternas karaktär inte förelåg skäl att i lag närmare reglera handhavandet av dessa (prop. 2004/05:2 s. 87 f.).
11.2Utredningens uppdrag i denna del
Förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar innehåller bestämmel- ser om bl.a. förhållandet till personuppgiftslagen (1998:204, PUL), ändamålet med behandlingen av personuppgifter, vilka uppgifter som får behandlas och uppgiftsskyldighet. När dataskyddsförordningen ska börja tillämpas kommer personuppgiftslagen att upphävas.
Utredningen har därför fått i uppdrag att analysera vilka ändring- ar i förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar som behöver göras med anledning av dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga för- slag utredaren kan komma att lämna. Utredningen ska även lämna de författningsförslag som behövs.
11.3Rättslig grund för personuppgiftsbehandling
Bedömning: Bestämmelserna i 29 kap. 9 § skollagen och förord- ningen om register och dokumentation vid fullgörandet av kom- munernas aktivitetsansvar för ungdomar utgör i enlighet med artikel 6.1 c i dataskyddsförordningen en fastställd rättslig för- pliktelse för kommunerna att föra ett register över de ungdomar som omfattas av kommunens aktivitetsansvar. Förandet av regist- ren är dessutom en för kommunerna fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e.
Enligt artikel 6.2 och 6.3 andra stycket är det tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämp- ningen av bestämmelserna i dataskyddsförordningen med hänsyn
448
SOU 2017:49 |
Kommunernas register över ungdomar som de har aktivitetsansvar för |
till behandling för att efterleva 6.1 c och e. Förordningen om regis- ter och dokumentation vid fullgörandet av kommunernas akti- vitetsansvar för ungdomar är därmed i sig förenlig med data- skyddsförordningen.
Enligt artikel 6.1 i dataskyddsförordningen krävs att åtminstone ett av de i artikeln uppräknade villkoren är uppfyllt för att behandling av personuppgifter ska vara laglig. Ett sådant villkor är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (6.1 c). Ett annat villkor är att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (6.1 e). En- ligt artikel 6.3 första stycket krävs att den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med unionsrät- ten eller en medlemsstats nationella rätt som den personuppgifts- ansvarige omfattas av.
I fråga om rättslig förpliktelse föreslår Dataskyddsutredningen en förtydligande bestämmelse i 2 kap. 3 § lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning (data- skyddslagen), enligt vilken personuppgifter får behandlas med stöd av artikel 6.1 c om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som bl.a. gäller enligt lag eller annan författning eller följer av beslut som har meddelats med stöd av lag eller annan författning.
Av artikel 6.3 andra stycket första meningen i dataskyddsförord- ningen framgår att, i fråga om den rättsliga grunden rättslig för- pliktelse, syftet med behandlingen ska fastställas i den rättsliga grun- den. Enligt Dataskyddsutredningen torde kravet innebära att en för- pliktelse inte kan läggas till grund för behandling av personuppgifter om syftet med behandlingen inte framgår av den författning som förpliktelsen grundas på. Dataskyddsutredningen gör bedömningen att en myndighets uppdrag enligt myndighetsinstruktionen eller regleringsbrevet i vissa fall kan utgöra en i enlighet med nationell rätt (regeringsformen) fastställd rättslig förpliktelse i dataskyddsförord- ningens mening, t.ex. om myndigheten ges i uppdrag att föra ett visst personuppgiftsregister (SOU 2017:39, avsnitt 8.3.2).
Av 29 kap. 9 § tredje stycket skollagen följer att hemkommunen ska föra ett register över de ungdomar som omfattas av aktivitets- ansvaret. Det är fråga om en skyldighet för kommunerna att föra detta register (prop. 2013/14:191 s. 140). Enligt utredningens bedöm-
449
Kommunernas register över ungdomar som de har aktivitetsansvar för |
SOU 2017:49 |
ning utgör 29 kap. 9 § tredje stycket skollagen ett utryck för en rättslig förpliktelse för kommunerna att föra nämnda register. Enligt 3 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar får personuppgifterna i registret behandlas bara om det är nödvändigt för att kommunen ska kunna fullgöra den skyldighet som framgår av 29 kap. 9 § första, andra och tredje styckena skollagen och den uppgiftsskyldighet som följer av 26 kap. 25 § samma lag. Syftet med behandlingen framgår redan av 29 kap. 9 § tredje stycket skollagen, dvs. att registrera de ungdomar som omfattas av kommunens aktivitetsansvar, men även av 3 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar. Den rättsliga för- pliktelsen för kommunerna att föra ett register över de ungdomar som omfattas av aktivitetsansvaret är enligt utredningens bedömning därigenom fastställd i svensk rätt.
Beträffande den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen, uppgift av allmänt intresse, föreslår Data- skyddsutredningen att det i 2 kap. 4 § dataskyddslagen ska finnas en förtydligande bestämmelse på motsvarande sätt som i fråga om rättslig förpliktelse, dvs. att personuppgifter får behandlas med stöd av artikel 6.1 e om behandlingen är nödvändig för att utföra en upp- gift av allmänt intresse som följer av bl.a. lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författ- ning (SOU 2017:39, avsnitt 8.3.4). Vidare konstaterar Dataskydds- utredningen att statliga och kommunala myndigheters verksamhet i allt väsentligt är av allmänt intresse och att det är den rättsliga grun- den i artikel 6.1 e som vanligen bör tillämpas av myndigheter. Data- skyddsutredningen anför vidare följande.
Myndigheternas uppdrag och åligganden framgår av författningar, reger- ingsbeslut och kommunala reglementen, antagna i enlighet med grund- lagens bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering av myndigheternas obligatoriska uppgifter krävs därmed inte på generell nivå för att myndigheter ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra sina uppgifter.
450
SOU 2017:49 |
Kommunernas register över ungdomar som de har aktivitetsansvar för |
Då kommunernas uppgift att föra ett register över ungdomar som omfattas av aktivitetsansvaret regleras genom lag och förordning be- dömer utredningen att förandet av sådana register inte bara är en rättslig förpliktelse för kommunerna, utan även en uppgift av allmänt intresse. De rättsliga grunderna är fastställda i svensk rätt genom 29 kap. 9 § tredje stycket skollagen och förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitets- ansvar för ungdomar.
Av artikel 6.2 i dataskyddsförordningen framgår att medlems- staterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva punkt 1 c och e. Enligt artikel 6.3 andra stycket andra meningen kan dessutom den rättsliga grunden för behandling, som fastställs i den nationella rätten, inne- hålla särskilda bestämmelser för att anpassa tillämpningen av bestäm- melserna i förordningen i form av bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av upp- gifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Dataskyddsförordningen medger således att det i nationell rätt finns sådana regleringar (registerförfattningar) som införts genom t.ex. förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar.
Vidare ska, enligt artikel 6.3 andra stycket sista meningen i data- skyddsförordningen, den rättsliga regleringen uppfylla ett mål av all- mänt intresse och vara proportionell mot det legitima mål som efter- strävas.
Utredningen konstaterar att ändringen i 29 kap. 9 § skollagen och förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar tillkommit i den ord- ning som regeringsformen utpekar för föreskrifter av nu aktuellt slag. Bestämmelserna har bedömts relevanta och proportionerliga av regeringen och, såvitt avser ändringen i skollagen, även av Lagrådet och riksdagen. Inte heller har såvitt framkommit någon tillsynsmyn- dighet uttalat någon kritik eller tveksamhet i dessa avseenden. Det är därför rimligt att utgå från att de ändamål m.m. som fastställts i sam-
451
Kommunernas register över ungdomar som de har aktivitetsansvar för |
SOU 2017:49 |
band med författningsarbetet är relevanta och proportionerliga i för- hållande till det integritetsintrång behandlingarna kan innebära. Den- na bedömning är giltig även i de avseenden som avses i dataskydds- förordningen. Utredningen har inte heller vid genomgången av för- ordningen om register och dokumentation vid fullgörandet av kom- munernas aktivitetsansvar för ungdomar funnit några exempel på bestämmelser som kan sägas vara irrelevanta eller oproportionerliga. Utredningen anser således att förordningen uppfyller kraven i arti- kel 6.3 andra stycket i dataskyddsförordningen.
Med anledning av att dataskyddsförordningen och en ny generell lagstiftning som i vissa delar kompletterar förordningen ska börja tillämpas, påkallas dock ställningstaganden till och ändringar i vissa av bestämmelserna i förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar. En genomgång av befintliga bestämmelser görs i följande avsnitt.
11.4Behov av ändringar
Förslag: I 2 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar ska anges att förordningen kompletterar dataskyddsförordningen. Vidare ska förordningens förhållande till den föreslagna lagen med kompletterande bestämmelser till EU:s dataskyddsförord- ning (dataskyddslagen) regleras. Hänvisningen till personupp- giftslagen ska tas bort.
Bestämmelsen i 5 § om förbud mot att behandla känsliga per- sonuppgifter ska anpassas till dataskyddsförordningen genom att hänvisa till artikel 9.1 i stället för 13 § PUL.
Bestämmelsen i 5 § om förbud mot att behandla uppgifter om lagöverträdelser m.m. ska ändras så att den när dataskyddsför- ordningen och dataskyddslagen ska börja tillämpas kommer att ha samma materiella innebörd som i dagsläget.
Bestämmelserna om rättelse och skadestånd i 6 § ska upp- hävas.
Förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar består av tio paragrafer som finns under rubrikerna inledning, förhållandet till personupp-
452
SOU 2017:49 |
Kommunernas register över ungdomar som de har aktivitetsansvar för |
giftslagen, ändamål, personuppgifter som får behandlas, förbud mot behandling av känsliga personuppgifter m.m., rättelse och skadestånd, gallring, dokumentation och uppgiftsskyldighet. Nedan redogörs för regleringen i respektive paragraf och vilka behov av ändringar som utredningen anser är påkallade med anledning av att dataskyddsför- ordningen ska börja tillämpas.
Inledning
Enligt 1 § första stycket innehåller förordningen bestämmelser om
1.behandling av personuppgifter i samband med att kommunerna för register över ungdomar som de har aktivitetsansvar för,
2.kommunernas dokumentation av sina insatser för dessa ungdo- mar enligt 29 kap. 9 § skollagen, och
3.uppgiftsskyldighet i samband med arbetet med aktivitetsansvaret.
Bestämmelsen i första stycket upplyser om förordningens innehåll och är enligt utredningens bedömning förenlig med dataskyddsför- ordningen.
Av 1 § andra stycket framgår att bestämmelserna i
Dataskyddsförordningen hindrar inte att medlemsstaterna fritt bestämmer tillämpningsområdet för nationell lagstiftning som kom- pletterar dataskyddsförordningen (jfr artikel 6.2). Enligt utredning- ens bedömning är bestämmelsen i andra stycket därmed förenlig med dataskyddsförordningen.
I 1 § tredje stycket anges att behandling av personuppgifter som är tillåten enligt denna förordning får utföras även om den registre- rade motsätter sig detta.
I dataskyddsdirektivet regleras den registrerades rätt att göra invändningar i artikel 14. Om den nationella lagstiftningen inte före- skriver något annat, ska den registrerade, enligt artikel 14 a, ha rätt att av avgörande och berättigade skäl som rör hans personliga situa- tion motsätta sig behandlingen, åtminstone i de fall då uppgifterna
453
Kommunernas register över ungdomar som de har aktivitetsansvar för |
SOU 2017:49 |
behandlas med stöd av en intresseavvägning av det slag som framgår av 10 § f PUL eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. I 12 § andra stycket PUL finns en bestämmelse som anger att en registrerad med ett par undantag inte har rätt att motsätta sig sådan behandling av person- uppgifter som är tillåten enligt personuppgiftslagen.
I dataskyddsförordningen regleras rätten att göra invändningar i artikel 21. Enligt artikel 21.1 ska den registrerade, av skäl som hän- för sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseen- de honom eller henne som grundar sig på artikel 6.1 e (uppgift av allmänt intresse eller myndighetsutövning) eller f (intresseavväg- ning). Den personuppgiftsansvarige får inte längre behandla per- sonuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intres- sen, rättigheter och friheter eller om det sker för fastställande, ut- övande eller försvar av rättsliga anspråk.
Enligt artikel 23.1 e ska det dock vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt, som den personuppgiftsansva- rige eller personuppgiftsbiträdet omfattas av, införa en lagstiftnings- åtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i bl.a. artikel 21. En sådan begränsning ska ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finan- siella intressen, däribland
Enligt artikel 23.2 ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser, åtminstone när det är relevant, avseende
a)ändamålen med behandlingen eller kategorierna av behandling,
b)kategorierna av personuppgifter,
c)omfattningen av de införda begränsningarna,
d)skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,
454
SOU 2017:49 |
Kommunernas register över ungdomar som de har aktivitetsansvar för |
e)specificeringen av den personuppgiftsansvarige eller kategori- erna av personuppgiftsansvariga,
f)lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling,
g)riskerna för de registrerades rättigheter och friheter, och
h)de registrerades rätt att bli informerade om begränsningen, så- vida detta inte kan inverka menligt på begränsningen.
Dataskyddsförordningen ställer därmed högre krav på den nationella begränsande regleringen än dataskyddsdirektivet, eftersom det i dataskyddsdirektivet inte anges några särskilda villkor för en sådan reglering.
Den första frågan är om förordningen om register och dokumen- tation vid fullgörandet av kommunernas aktivitetsansvar för ung- domar omfattas av artikel 21 i dataskyddsförordningen. Om den rättsliga grunden för behandling av personuppgifter enligt förord- ningen om register och dokumentation vid fullgörandet av kommu- nernas aktivitetsansvar för ungdomar är att behandlingen är nödvän- dig för kommunen för att fullgöra en rättslig förpliktelse är artikel 21 i dataskyddsförordningen inte tillämplig. Den registrerade har där- med inte rätt att göra någon invändning mot behandlingen av hans eller hennes personuppgifter. Om så är fallet är 1 § tredje stycket för- ordningen om register och dokumentation vid fullgörandet av kom- munernas aktivitetsansvar för ungdomar förenlig med dataskydds- förordningen.
Som anges ovan anser utredningen att två rättsliga grunder enligt artikel 6.1 är tillämpliga, rättslig förpliktelse (c) och uppgift av all- mänt intresse (e). Eftersom flera rättsliga grunder enligt dataskydds- förordningen kan vara tillämpliga samtidigt, och då utredningens uppfattning är att även den rättsliga grunden uppgift av allmänt in- tresse är en tillämplig grund för behandlingen av personuppgifter i nämnda register, prövar utredningen om förutsättningarna enligt artikel 23 för att begränsa den registrerades rätt att göra invänd- ningar är uppfyllda.
Av förarbetena framgår att det i alla kommuner finns ungdomar som inte går i gymnasieskolan. Dokumentation av insatser och föran- de av register är en förutsättning för att kommunerna ska kunna full-
455
Kommunernas register över ungdomar som de har aktivitetsansvar för |
SOU 2017:49 |
göra sin skyldighet enligt 29 kap. 9 § skollagen. Ett ansvar för att göra insatser för mer än en individ innebär att information behöver samlas systematiskt i en bestämd struktur. Ett register är således en förut- sättning för att kommunerna ska kunna ha en löpande överblick över vilka ungdomar som berörs (prop. 2013/14:191 s. 139).
Utredningens uppfattning är därför att förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitets- ansvar för ungdomar reglerar behandling av personuppgifter som rör sådana viktiga mål av generellt allmänt intresse som avses i arti- kel 23.1 e. Förordningen innehåller även sådana relevanta begräns- ningar som räknas upp i artikel 23.2, dvs. ändamålen med behand- lingen (3 §), kategorierna av personuppgifter (4 och 5 §§), omfatt- ningen av de införda begränsningarna (1 § tredje stycket) och lag- ringstiden (7 §).
Enligt utredningens bedömning har förordningen införts efter noggranna överväganden av vilka bestämmelser, utöver de som finns i personuppgiftslagen, som är relevanta i sammanhanget. Förutsätt- ningarna för att behålla begränsningen av den registrerades rätt att göra invändningar i 1 § tredje stycket är enligt utredningens bedöm- ning därmed uppfyllda.
Sammanfattningsvis anser utredningen att bestämmelserna i 1 § är förenliga med dataskyddsförordningen och att de kan och bör behållas.
Förhållandet till personuppgiftslagen
I 2 § anges att personuppgiftslagen gäller vid den behandling av per- sonuppgifter som en kommun vidtar i sin verksamhet enligt 29 kap. 9 § skollagen om inte annat följer av denna förordning.
När dataskyddsförordningen ska börja tillämpas kommer person- uppgiftslagen att upphävas och dataskyddslagen träda i kraft. Med anledning av detta behöver den nu aktuella hänvisningen i 2 § för- ordningen om register och dokumentation vid fullgörandet av kom- munernas aktivitetsansvar för ungdomar ändras.
Dataskyddsförordningen är direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Förordningen om register och dokumentation vid fullgörandet av kommunernas akti- vitetsansvar för ungdomar innehåller endast sådana tillåtna bestäm-
456
SOU 2017:49 |
Kommunernas register över ungdomar som de har aktivitetsansvar för |
melser som kompletterar eller tar över bestämmelserna i dataskydds- förordningen. För att tillämparen ska få en fullständig bild av vilken reglering som gäller bör en bestämmelse med en upplysning om att dataskyddsförordningen gäller tas in i förordningen.
Den föreslagna dataskyddslagen kommer, på samma sätt som per- sonuppgiftslagen, att vara subsidiär i förhållande till annan lagstift- ning om behandling av personuppgifter. Av tydlighetsskäl bör en hänvisning till dataskyddslagen införas, såsom i dag görs till per- sonuppgiftslagen.
Utredningen föreslår därför att det i 2 § första stycket ska anges att förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar kompletterar data- skyddsförordningen. I ett nytt andra stycke ska förhållandet till den nya dataskyddslagen regleras.
Ändamål
Enligt 3 § får personuppgifter behandlas bara om det är nödvändigt för att kommunen ska kunna fullgöra den skyldighet som framgår av 29 kap. 9 § första, andra och tredje styckena skollagen och den uppgiftsskyldighet som följer av 26 kap. 25 § samma lag.
När den rättsliga grunden är rättslig förpliktelse eller uppgift av allmänt intresse är det enligt artikel 6.2 och 6.3 andra stycket i data- skyddsförordningen tillåtet med särskilda bestämmelser om ända- målsbegränsningar. Utredningens bedömning är därför att 3 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar är förenlig med data- skyddsförordningen och att den kan och bör behållas.
Personuppgifter som får behandlas
Bestämmelsen i 4 § utgör en begränsning för den personuppgifts- ansvarige eftersom den anger vilka personuppgifter som får behand- las. De uppgifter som får behandlas är namn, personnummer eller samordningsnummer och kontaktuppgifter. Även uppgifter om tidi- gare, nuvarande och framtida sysselsättning i form av t.ex. utbildning får behandlas. Om det är aktuellt med någon individuell åtgärd får
457
Kommunernas register över ungdomar som de har aktivitetsansvar för |
SOU 2017:49 |
även uppgifter om åtgärdens innehåll, tidpunkten när åtgärden inleds och upphör samt orsaken till att den upphör behandlas.
När den rättsliga grunden är rättslig förpliktelse eller uppgift av allmänt intresse är det enligt artikel 6.2 och 6.3 andra stycket i data- skyddsförordningen tillåtet med särskilda bestämmelser om vilka typer av uppgifter som ska behandlas.
Beträffande personnummer och samordningsnummer får, enligt 22 § PUL, uppgifter om personnummer eller samordningsnummer utan samtycke behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Av 50 § c PUL följer att reger- ingen får meddela närmare föreskrifter om i vilka fall användning av personnummer är tillåten.
Av artikel 87 i dataskyddsförordningen framgår att medlems- staterna får närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identi- fiering får behandlas. I ett tillägg anges dessutom att sådana uppgif- ter i sådana fall endast ska användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen.
Dataskyddsutredningen har i sitt förslag till 3 kap. 13 § dataskydds- lagen föreslagit en bestämmelse med samma ordalydelse som 22 § PUL. Vidare föreslår Dataskyddsutredningen en bestämmelse i 3 kap. 14 § dataskyddslagen som anger att regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samord- ningsnummer är tillåten. Bestämmelsen motsvarar således delvis 50 § c PUL.
Utredningen anser att det i de register som kommunerna är ålagda att föra för att fullgöra aktivitetsansvaret för ungdomar är klart motiverat med hänsyn till behandlingen och vikten av en säker identifiering att personnummer eller samordningsnummer används för identifiering. Därtill finns det ett bemyndigande för regeringen i dataskyddslagen att meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten.
Sammanfattningsvis bedömer utredningen att bestämmelserna i 4 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar om vilka uppgifter som får behandlas i registren är förenliga med dataskyddsförord- ningen. Paragrafen kan och bör därför behållas.
458
SOU 2017:49 |
Kommunernas register över ungdomar som de har aktivitetsansvar för |
Förbud mot behandling av känsliga personuppgifter m.m.
Enligt 5 § får personuppgifter som omfattas av 13 och 21 §§ PUL inte behandlas. Bestämmelsen innebär således ett förbud mot att behandla känsliga personuppgifter och uppgifter om lagöverträdel- ser m.m. i registren.
Motsvarande bestämmelse som den i 13 § PUL finns i artikel 9.1 i dataskyddsförordningen. Enligt artikel 9.1 är dock även behandling av genetiska uppgifter, biometriska uppgifter för att entydigt iden- tifiera en fysisk person och uppgifter om sexuell läggning förbjuden.
Dataskyddsutredningen föreslår bestämmelser i dataskyddslagen som innebär att myndigheter i vissa situationer får behandla känsliga personuppgifter (SOU 2017:39, avsnitt 10.6.2). För att det även fort- sättningsvis ska råda ett förbud mot att behandla känsliga person- uppgifter i de register kommunerna ska föra enligt förordningen om register och dokumentation vid fullgörandet av kommunernas akti- vitetsansvar för ungdomar behöver en bestämmelse motsvarande 5 § fortfarande gälla.
En fråga som också aktualiseras är om 5 § bör ändras så att den omfattar även den utvidgade definitionen av känsliga personupp- gifter enligt artikel 9.1. Utredningen bedömer att det – då det inte framkommit att det finns något behov för kommunerna att behandla de nya kategorierna av känsliga personuppgifter i aktuella register – saknas skäl att tillåta kommunerna att i register över de ungdomar som de har aktivitetsansvar för behandla de nya kategorierna av känsliga personuppgifter. Utredningen föreslår därför att en hän- visning till 9.1 i dataskyddsförordningen införs i 5 §.
Vidare är det, enligt 21 § första stycket PUL, förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångs- medel eller administrativa frihetsberövanden.
Motsvarande bestämmelse som den i 21 § första stycket PUL finns i artikel 10 i dataskyddsförordningen. I artikel 10 anges att behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rät- tigheter och friheter fastställs.
459
Kommunernas register över ungdomar som de har aktivitetsansvar för |
SOU 2017:49 |
Bestämmelserna om behandling av uppgifter om lagöverträdelser i 21 § PUL och i artikel 10 i dataskyddsförordningen är således inte likalydande. Begränsningarna i artikel 10 gäller fällande domar, me- dan begränsningarna i 21 § första stycket PUL även omfattar upp- gifter om friande domar. Dessutom innehåller 21 § första stycket ett förbud mot att behandla administrativa frihetsberövanden. Bestäm- melsen i 5 § förordningen om register och dokumentation vid full- görandet av kommunernas aktivitetsansvar för ungdomar är därmed mer restriktiv än vad artikel 10 i dataskyddsförordningen är.
Dataskyddsutredningen föreslår att det i 3 kap. 9 § dataskydds- lagen ska finnas en bestämmelse som anger att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får enligt artikel 10 i dataskydds- förordningen behandlas av myndigheter. Som tidigare nämnts med- ger dataskyddsförordningen att medlemsstaterna inför mer restrik- tiva bestämmelser än de som finns i förordningen när den rättsliga grunden för behandlingen av personuppgifterna är rättslig förpliktel- se eller uppgift av allmänt intresse (artikel 6.2 och 6.3 andra stycket). Det har inte framkommit att kommunerna har ett behov av att behandla brottmålsdomar eller uppgifter om administrativa frihets- berövanden i aktuella register. Utredningen anser därför att 5 § för- ordningen om register och dokumentation vid fullgörandet av kom- munernas aktivitetsansvar för ungdomar i denna del ska ändras så att den i materiellt hänseende kommer att ha samma innebörd som i dagsläget även när dataskyddsförordningen börjar tillämpas och per- sonuppgiftslagen upphävs.
Sammanfattningsvis anser utredningen att 5 § ska ändras på så sätt att den ska ange att personuppgifter som omfattas av artikel 9.1 i dataskyddsförordningen och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångs- medel eller administrativa frihetsberövanden inte får behandlas.
Rättelse och skadestånd
Enligt 6 § gäller bestämmelserna i 28 och 48 §§ PUL om rättelse och skadestånd vid behandling av personuppgifter enligt förordningen.
Enligt 28 § PUL är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana
460
SOU 2017:49 |
Kommunernas register över ungdomar som de har aktivitetsansvar för |
personuppgifter som inte har behandlats i enlighet med personupp- giftslagen eller föreskrifter som har utfärdats med stöd av lagen. Eftersom 28 § PUL endast avser sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som utfärdats med stöd av lagen, har det i förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar varit nödvändigt att hänvisa till personuppgiftslagens bestämmelser.
Enligt artikel 16 i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande.
Eftersom personuppgiftslagen kommer att upphävas behöver 6 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar ändras. Eftersom data- skyddsförordningen är direkt tillämplig såvitt gäller rättelse, till skill- nad mot vad som gäller enligt personuppgiftslagen, ska någon mate- riell bestämmelse i nationell rätt inte införas. Enligt utredningens mening saknas det anledning att införa en upplysningsbestämmelse om att det i dataskyddsförordningen finns bestämmelser om rättelse. Med hänsyn till detta föreslår utredningen att 6 §, i den del som avser rättelse, ska upphävas.
Som nämnts ovan anger 6 § även att bestämmelserna i person- uppgiftslagen om skadestånd gäller vid behandling av personuppgif- ter enligt förordningen om register och dokumentation vid full- görandet av kommunernas aktivitetsansvar för ungdomar.
Enligt 48 § PUL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgifts- lagen har orsakat. Även avseende rätten till skadestånd har det där- med varit nödvändigt att i förordningen hänvisa till personuppgifts- lagens bestämmelser.
I dataskyddsförordningen regleras rätten till skadestånd i arti- kel 82. Av artikel 82.1 följer att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskydds- förordningen ska ha rätt till ersättning från den personuppgifts- ansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Av
461
Kommunernas register över ungdomar som de har aktivitetsansvar för |
SOU 2017:49 |
skäl 146 framgår att behandling som strider mot dataskyddsförord- ningen även omfattar behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med dataskyddsför- ordningen och medlemsstaternas nationella rätt med närmare speci- fikation av dataskyddsförordningens bestämmelser.
Dataskyddsutredningen föreslår att 8 kap. 1 § dataskyddslagen ska innehålla en bestämmelse som upplyser om att rätten till ersätt- ning som regleras i artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra för- fattningar som kompletterar dataskyddsförordningen. Förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar är en författning som kompletterar dataskyddsförordningen.
Eftersom artikel 82 i dataskyddsförordningen är direkt tillämplig bör 6 § förordningen om register och dokumentation vid fullgöran- det av kommunernas aktivitetsansvar för ungdomar även upphävas i den del som avser skadestånd. Utredningen gör samma bedömning som den gjort i det föregående i fråga om behovet av att i stället göra om bestämmelsen till en upplysningsparagraf. Nämnda paragraf föreslås därför upphävas i sin helhet.
Gallring
Av 7 § framgår att personuppgifter ska gallras ur registret när de inte längre behövs med hänsyn till ändamålet med behandlingen, dock senast vid utgången av det kalenderår när den registrerade fyller 21 år.
Av artikel 5.1 e i dataskyddsförordningen framgår att vid behand- ling av personuppgifter gäller att de inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna be- handlas. Som tidigare nämnts får medlemsstaterna behålla eller in- föra mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen när den rättsliga grunden för behandlingen av personuppgifterna är rättslig förpliktelse eller uppgift av allmänt intresse (se artikel 6.2 och 6.3 andra stycket). En- ligt utredningens bedömning är 7 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för
462
SOU 2017:49 |
Kommunernas register över ungdomar som de har aktivitetsansvar för |
ungdomar därmed förenlig med dataskyddsförordningen. Bestäm- melsen kan och bör därför behållas.
Dokumentation
I 8 § första stycket anges att av 29 kap. 9 § skollagen framgår att kommunen på lämpligt sätt ska dokumentera sina insatser för de ungdomar i kommunen som omfattas av aktivitetsansvaret. Enligt andra stycket får Statens skolverk meddela föreskrifter om innehållet i dokumentationen.
Bestämmelsen i 8 § är en bemyndigandebestämmelse som inte behöver anpassas eller förändras med anledningen av att dataskydds- förordningen kommer att börja tillämpas. Den kan och bör därför behållas.
Uppgiftsskyldighet
I förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar finns avslutningsvis två paragrafer, 9 och 10 §§, under rubriken uppgiftsskyldighet.
9 §
I 9 § första stycket anges att det av 26 kap. 25 § skollagen framgår att en huvudman för utbildning eller annan verksamhet som är föremål för nationell uppföljning och utvärdering till Statens skolverk ska lämna sådana uppgifter om verksamheten och sådan verksamhets- redovisning som behövs för uppföljningen och utvärderingen. Enligt andra stycket får Statens skolverk meddela föreskrifter om vilka upp- gifter som ska lämnas för uppföljning och utvärdering enligt 26 kap. 25 § skollagen av hur kommunerna uppfyller sina skyldigheter enligt 29 kap. 9 § samma lag.
Bestämmelsen i 9 § är, liksom 8 §, således en bemyndigande- bestämmelse som inte behöver anpassas eller förändras med anled- ningen av att dataskyddsförordningen kommer att börja tillämpas. Den kan och bör därför behållas.
463
Kommunernas register över ungdomar som de har aktivitetsansvar för |
SOU 2017:49 |
10 §
Av 10 § framgår att Universitets- och högskolerådet (UHR) på begä- ran av en kommun till kommunen ska lämna ut uppgift om en person, som kan omfattas av den kommunens aktivitetsansvar för ungdomar, har examens- eller studiebevis eller motsvarande från gymnasieskolan.
Bestämmelsen är en sekretessbrytande bestämmelse som samti- digt fastställer en rättslig förpliktelse för UHR att lämna ut uppgifter på begäran till en kommun (artikel 6.1 c i dataskyddsförordningen). Av bestämmelsen framgår även syftet med behandlingen (artikel 6.3 andra stycket), dvs. utlämnandet. Syftet är att kommunen ska få uppgift om en ungdom har examens- eller studiebevis. Enligt utred- ningens bedömning är bestämmelsen förenlig med dataskyddsför- ordningen och kan och bör behållas. Bestämmelsen behandlas även i avsnittet om betygsdatabasen BEDA, avsnitt 9.
464
12Övriga myndigheter med anknytning
till utbildningsområdet
12.1Utredningens uppdrag
I kommittédirektiven anges att utbildningsområdet omfattar bl.a. skolväsendet, den verksamhet som bedrivs av universitet och hög- skolor, yrkeshögskolan och folkbildningen. Därefter ges en fördju- pad beskrivning av de olika utbildningsformerna. Vidare anges att till utbildningsområdet hör även studiestödet.
De myndigheter vars verksamhet anknyter till utbildningsom- rådet t.ex. Statens skolinspektion, Statens skolverk och Universitets- och högskolerådet omnämns inte. Direktiven anger inte heller i övrigt att det ska göras en analys av om det behöver införas komplet- terande regleringar för dessa myndigheters personuppgiftsbehand- ling. Enligt utredningens uppfattning omfattas därför inte den per- sonuppgiftsbehandling som sker vid dessa myndigheter av utred- ningens uppdrag, annat än i de fall det särskilt har angivits att utred- ningen ska analysera behovet av reglering av särskilda register som förs av en myndighet eller behovet av anpassningar av författningar som styr en myndighets personuppgiftsbehandling.
Av direktiven framgår dock att utredningen är oförhindrad att inom de ramar som angetts för uppdraget ta upp och belysa även andra frågeställningar som är relevanta för uppdraget. Om utred- ningen kommer fram till att det krävs eller är lämpligt med komplet- terande eller ändrade nationella bestämmelser i andra delar än de som ska utredas särskilt, ska sådana föreslås.
I dagsläget tillämpas personuppgiftslagen (1998:204) i myndig- heters verksamhet som inte omfattas av en särskild registerförfatt- ning. Då det finns ett intresse av vägledning finns det enligt utred-
465
Övriga myndigheter med anknytning till utbildningsområdet |
SOU 2017:49 |
ningen anledning att övergripande analysera myndigheternas möjlig- heter att behandla personuppgifter sett i ljuset av dataskyddsförord- ningen och den av Dataskyddsutredningen föreslagna lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Eftersom utredningen inte har i uppdrag att analysera behovet av reglering av vissa specifika myndigheters person- uppgiftsbehandling väljer utredningen att göra en generell bedöm- ning.
12.2Utredningens bedömning
Bedömning: Statliga och kommunala myndigheters verksamhet inom utbildningsområdet är i allt väsentligt en uppgift av allmänt intresse. Denna verksamhet framgår normalt av uppdrag och ålig- ganden i författningar, regeringsbeslut och kommunala reglemen- ten, antagna i enlighet med grundlagens bestämmelser. Uppgiften av allmänt intresse är fastställd genom dessa författningar, beslut och kommunala reglementen. Myndigheterna kan därigenom grunda nödvändig behandling av personuppgifter på första ledet i artikel 6.1 e i dataskyddsförordningen.
Det ankommer dock på myndigheterna att själva gå igenom all personuppgiftsbehandling som sker inom myndigheten och säkerställa att den har stöd i och är förenlig med dataskyddsför- ordningens och dataskyddslagens bestämmelser.
Från och med den 25 maj 2018 ska dataskyddsförordningen börja tillämpas. Dataskyddsutredningen föreslår att samma dag ska data- skyddslagen träda i kraft och personuppgiftslagen upphävas. För den personuppgiftsbehandling som en myndighet i dagsläget gör med stöd av personuppgiftslagen kommer således stöd behöva finnas i dataskyddsförordningen, och för vissa slags behandlingar även i dataskyddslagen. En grundläggande förutsättning för att behandling av personuppgifter ska få ske är att behandlingen har stöd i en rätts- lig grund (ett villkor) i artikel 6.1 i dataskyddsförordningen.
Beträffande rättslig grund för behandling av personuppgifter i statliga och kommunala myndigheters verksamhet gör Dataskydds- utredningen följande bedömning (SOU 2017:39, avsnitt 8.3.4).
466
SOU 2017:49 |
Övriga myndigheter med anknytning till utbildningsområdet |
Statliga och kommunala myndigheters verksamhet är i allt väsentligt av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. Viss behandling av personuppgifter är dock även nödvändig med anledning av avtal, t.ex. när det gäller rekryteringsärenden eller inköp, och kan därmed också ske med stöd av den rättsliga grunden avseende just avtal (artikel 6.1 b). Denna rättsliga grund kan i vissa fall även tillämpas av de myndigheter som uttryckligen har getts befogenhet att bedriva uppdragsverksamhet. En myndighet kan också behöva behandla personuppgifter för att upp- fylla en rättslig förpliktelse, t.ex. att föra ett visst register eller gentemot Skatteverket i egenskap av arbetsgivare eller till följd av offentlighets- principen (artikel 6.1 c). Undantagsvis kan det även förekomma behov av behandling av personuppgifter för att skydda intressen av grund- läggande betydelse för fysisk person (artikel 6.1 d). Myndigheter kan däremot inte åberopa den rättsliga grund som utgår från en intresse- avvägning (artikel 6.1 f) när de fullgör sina uppgifter.
Myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser om normgivningskompetens och kommu- nalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare regle- ring av myndigheternas obligatoriska uppgifter krävs därmed inte på generell nivå för att myndigheter ska kunna vidta nödvändiga behand- lingsåtgärder för att fullgöra sina uppgifter.
I artikel 6.3 andra stycket anges att syftet med behandlingen måste vara nödvändigt för att utföra uppgiften. Den specifika behandlingen måste alltså vara nödvändig för ett ändamål som i sin tur är nödvändigt för att myndigheten ska kunna utföra sitt uppdrag. Om myndigheten inte fungerar kan den inte utföra sina fastställda uppgifter. Även admi- nistrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion är därmed rättsligt grundade i dataskyddsförordningens mening.
Det kan inte nog betonas att rättslig grund inte är en tillräcklig förut- sättning för att behandling av personuppgifter ska vara tillåten. Behand- lingen är laglig endast i den mån den faktiskt är nödvändig för att utföra uppgiften. Dessutom måste behandlingen följa de övriga krav som ställs i dataskyddsförordningen, till exempel de principer för behandlingen som anges i artikel 5.
Utredningen instämmer i Dataskyddsutredningens bedömning att en myndighets verksamhet är en uppgift av allmänt intresse. För stat- liga, kommunala eller landstings myndigheter gäller legalitetsprinci- pen, dvs. myndigheternas maktutövning i vidsträckt mening måste ha stöd i föreskrifter och normer som beslutats i enlighet med reger-
467
Övriga myndigheter med anknytning till utbildningsområdet |
SOU 2017:49 |
ingsformens eller kommunallagens bestämmelser. Kravet på författ- ningsstöd bildar utgångspunkten för myndigheternas verksamhet, såväl när det gäller att handlägga ärenden och att besluta i dessa som i fråga om annan verksamhet som en myndighet bedriver. Enligt utred- ningens bedömning är myndigheternas verksamhet fastställd i svensk rätt. Om myndighetens verksamhet inte framgår av uppdrag och ålig- ganden i författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser om normgivnings- kompetens och kommunalt självstyre, har myndigheten överträtt legalitetsprincipen.
Dataskyddsutredningen föreslår även en bestämmelse i 2 kap. 4 § dataskyddslagen som tydliggör att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig (1) för att den personuppgiftsansvarige ska kunna ut- föra en uppgift av allmänt intresse som följer av lag eller annan för- fattning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller (2) som ett led i den personupp- giftsansvariges myndighetsutövning enligt lag eller annan författning.
Det bör betonas att omständigheten att det finns en rättslig grund enligt artikel 6.1 i dataskyddsförordningen inte ensam är till- räcklig för att behandling av personuppgifter ska vara tillåten. Dess- utom måste behandlingen följa de övriga krav som ställs i data- skyddsförordningen, t.ex. i artikel 5.
Det finns även skäl att poängtera att huvudregeln i dataskydds- förordningen är att behandling av känsliga personuppgifter är förbju- den (artikel 9.1). Det finns emellertid undantag från huvudregeln (artikel 9.2). Dataskyddsutredningen föreslår i 3 kap. 3 § dataskydds- lagen att myndigheter ska kunna behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen i vissa fall, näm- ligen i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag eller i enstaka fall, om det är absolut nödvändigt för ändamålet med behand- lingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Vidare föreslås i 4 § att en myndig- het inte får använda sökbegrepp som avslöjar känsliga personuppgif- ter (SOU 2017:39, avsnitt 10.6.2).
Dataskyddslagen möjliggör således för myndigheter att i vissa fall behandla känsliga personuppgifter. Det bör noteras att dataskydds-
468
SOU 2017:49 |
Övriga myndigheter med anknytning till utbildningsområdet |
lagen innehåller fler bestämmelser som möjliggör behandling av käns- liga personuppgifter, t.ex. för arkivändamål av allmänt intresse och statistiska ändamål. Vidare föreslår utredningen bestämmelser som möjliggör för en kommun i egenskap av hemkommun enligt skol- lagen eller huvudman för t.ex. en skola samt för en myndighet i egenskap av huvudman för en skola att behandla känsliga personupp- gifter i vissa situationer, se avsnitt 4.7.5. Utredningen föreslår även bestämmelser om behandling av känsliga personuppgifter som ska gälla för de statliga universitet och högskolor, andra statliga myndig- heter, kommuner och landsting som anordnar utbildning inom yrkes- högskolan, se avsnitt 6.4.5.
Dataskyddsutredningens utgångspunkt har varit att sådan person- uppgiftsbehandling som är tillåten i dagsläget i möjligaste mån ska kunna fortsätta. Dataskyddsutredningens arbete har inte syftat till att vare sig utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en så- dan förändring (SOU 2017:39, avsnitt 2.2).
Utredningen bedömer att dataskyddsförordningen tillsammans med dataskyddslagen innehåller bestämmelser som möjliggör för myndigheterna att utföra nödvändiga behandlingar av personupp- gifter, även känsliga sådana.
Det ankommer dock på myndigheterna att själva gå igenom alla personuppgiftsbehandlingar som sker inom verksamheten och säker- ställa att ändamålsenliga behandlingar har stöd i och är i enlighet med dataskyddsförordningens och dataskyddslagens bestämmelser. Det innebär bl.a. att myndigheten behöver konstatera var den rättsliga grunden för ändamålsenlig personuppgiftsbehandling är fastställd i svensk rätt. För det fall att känsliga personuppgifter behandlas behö- ver myndigheten också försäkra sig om att det finns rättsligt stöd för sådan behandling.
469
13 Konsekvenser
13.1Utredningens uppdrag
Kommittéförordningen
Enligt kommittéförordningen (1998:1474) ska en utredning redovisa vilka konsekvenser lämnade förslag kan få i vissa avseenden. I 14−15 a §§ föreskrivs bl.a. att för det fall förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, lands- ting, företag eller andra enskilda, ska en beräkning av dessa konse- kvenser redovisas i betänkandet. Om förslagen innebär samhällseko- nomiska konsekvenser i övrigt så ska dessa redovisas.
Vidare ska eventuella konsekvenser för den kommunala självsty- relsen, för brottsligheten och det brottsförebyggande arbetet, samt för bl.a. sysselsättning och offentlig service i olika delar av landet redovisas. Detsamma gäller små företags arbetsförutsättningar, kon- kurrensförmåga eller villkor i övrigt i förhållande till större företags. Om förslagen har konsekvenser för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen ska dessa redovisas.
Om ett betänkande innehåller förslag till nya eller ändrade regler, ska förslagens kostnadsmässiga och andra konsekvenser anges i be- tänkandet. Konsekvenserna ska anges på ett sätt som motsvarar de krav på innehållet i konsekvensutredningar som finns i 6 och 7 §§ för- ordningen (2007:1244) om konsekvensutredning vid regelgivning.
471
Konsekvenser |
SOU 2017:49 |
Utredningens direktiv
Regeringen ska enligt 16 § kommittéförordningen ange närmare i utredningsuppdraget vilka konsekvensbeskrivningar som ska finnas i ett betänkande. Enligt utredningens direktiv ska utredningen redo- göra för ekonomiska och andra konsekvenser av utredningens för- slag. Utöver vad som följer enligt
13.2Problembeskrivning
Den 25 maj 2018 ska dataskyddsförordningen börja tillämpas och personuppgiftslagen (1998:204) kommer att upphävas. Inom utbild- ningsområdet behandlas personuppgifter i stor utsträckning med stöd av bestämmelserna i personuppgiftslagen.
Dataskyddsutredningen har fått i uppdrag att bl.a. föreslå de an- passningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till.
Enligt utredningens direktiv är uppdraget att analysera om bl.a. en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, för att säkerställa att nödvändig behandling av person- uppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.
Utredningen föreslår att bestämmelser införs som möjliggör nöd- vändig behandling av känsliga personuppgifter och uppgifter om lagöverträdelser i de fall sådan behandling inte kan ske med stöd av bestämmelserna som Dataskyddsutredningen föreslår i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskydds- förordning (dataskyddslagen). Ett alternativ skulle kunna vara att föreslå mer detaljerade registerförfattningar för bl.a. skollagsreglerad utbildningsverksamhet samt för högskolor, universitet och yrkes- högskolor. Utredningen anser dock att det är lämpligare att endast föreslå bestämmelser som möjliggör nödvändig behandling av käns- liga personuppgifter och uppgifter om lagöverträdelser m.m., se av- snitt 4.7.5, 4.8.4, 4.9, 5.4.5, 5.5, 6.4.5 och 6.5 för utredningens överväganden.
472
SOU 2017:49 |
Konsekvenser |
Om inga bestämmelser införs som möjliggör nödvändig behand- ling av känsliga personuppgifter och i viss mån uppgifter om lagöver- trädelser m.m. för de enskilda huvudmännen för fristående förskolor och fristående skolor liksom för de privata utbildningsanordnarna som driver högskola eller yrkesutbildning kommer endast sådan verk- samhet som har att tillämpa offentlighetsprincipen kunna behandla känsliga personuppgifter enligt 3 kap. 3 § 2 dataskyddslagen. Det skulle innebära att t.ex. fristående skolor i aktuella fall inte fullt ut skulle kunna fullgöra sina åligganden enligt skollagen.
Beträffande de registerförfattningar som ingår i utredningens uppdrag att se över föreslår utredningen ändringar i form av anpass- ningar till dataskyddsförordningen och den av Dataskyddsutred- ningen föreslagna dataskyddslagen. Om inga ändringar sker i dessa författningar kommer de att innehålla bestämmelser som hänvisar till personuppgiftslagen som kommer att upphävas den 25 maj 2018. Dataskyddsförordningen har visserligen, såsom
13.3Utredningens förslag till nya eller ändrade regler
Utredningen ska analysera om bl.a. en eller flera regleringar på natio- nell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, för att säkerställa att nödvändig behandling av personuppgifter inom utbildningsom- rådet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.
En utgångspunkt i utredningens uppdrag har varit att sträva efter lösningar som medför att de personuppgiftsansvariga inom utbild- ningsområdet kan behandla personuppgifter, när dataskyddsförord- ningen ska börja tillämpas, på ett liknande sätt som de gör i dagsläget och med stöd av den rättsliga grund som de tillämpar i dagsläget för sin personuppgiftsbehandling. En annan utgångspunkt har varit att dataskyddsförordningens artiklar innehåller ett fullgott skydd för enskildas fri- och rättigheter som inte är lägre än det integritetsskydd som personuppgiftslagens bestämmelser ger. Vidare har en uttalad ambition från utredningens sida varit att när det gäller utbildnings-
473
Konsekvenser |
SOU 2017:49 |
anordnare som har samma verksamhetsreglering ska även samma reglering av behandling av personuppgifter gälla oavsett om verksam- heten bedrivs i privat eller allmän regi.
Utredningen har bedömt att det finns ett visst behov av nya bestämmelser, utöver de bestämmelser som Dataskyddsutredningen har föreslagit, för att utbildningsanordnarna ska kunna behandla känsliga personuppgifter. Utredningen har därför föreslagit att några nya paragrafer ska införas. För att enskilt bedriven utbildningsverk- samhet, t.ex. fristående skolor och enskilda lärosäten, ska kunna be- handla känsliga personuppgifter har utredningen föreslagit särskilda bestämmelser, se avsnitten 4.7.5, 5.4.5 och 6.4.5. För skollagsreglerad verksamhet har utredningen dock föreslagit enhetliga bestämmelser i skollagen angående behandling av känsliga personuppgifter. Dessa regler kommer att gälla för de utbildningsformer som drivs av staten, en kommun eller ett landsting i stället för motsvarande bestäm- melser i dataskyddslagen som Dataskyddsutredningen föreslår. Det- samma föreslås för kommunerna i samband med vissa åligganden enligt skollagen. På motsvarande sätt föreslår utredningen enhetliga bestämmelser i lagen om yrkeshögskolan som ska tillämpas av såväl offentliga som enskilda utbildningsanordnare inom yrkeshögskolan.
I utredningens uppdrag ingår även att se över om det för ett antal särskilt uppräknade register och Centrala studiestödsnämndens (CSN) studiestödsverksamhet finns behov av att införa särskilda författningar respektive behov av ändringar av bestämmelser i nu- varande författningar med anledning av dataskyddsförordningen och den reglering som Dataskyddsutredningen kommer att föreslå. Utredningen har funnit att det finns ett behov av att kodifiera Uni- versitets- och högskolerådets (UHR) uppgift att föra betygsdata- basen BEDA genom att föreslå en bestämmelse i UHR:s instruk- tion. Utredningen har även funnit ett behov av att föreslå ändringar i befintliga författningar som reglerar CSN:s studiestödsverksamhet och de aktuella registren med anledning av dataskyddsförordningen. I denna del har utredningen dock inte lämnat förslag till några andra ändringar än rena anpassningar till dataskyddsförordningen.
474
SOU 2017:49 |
Konsekvenser |
13.4Ekonomiska konsekvenser
De konsekvensbedömningar som utredningen gör nedan utgår enbart från uppdraget och tar alltså inte hänsyn till de konsekvenser som följer av att direkt tillämpliga bestämmelser i dataskyddsförord- ningen ska börja tillämpas den 25 maj 2018 eller att dataskyddslagen förväntas träda i kraft vid den tidpunkten. Dessa regelverk kan dock förväntas få relativt stor påverkan i såväl privat som offentligt bedri- ven utbildningsverksamhet. De kommer att föranleda ett tämligen omfattande utbildningsbehov, behov av förändringar av verksam- hetsinterna rutiner och processer, behov av förändringar i person- uppgiftsbiträdesavtal m.m. Vidare anser utredningen att den samlade dataskyddsreformen kan antas få positiva effekter för skyddet av enskildas integritet. Dessa konsekvenser ingår dock inte i utred- ningens uppdrag att närmare utreda.
13.4.1Konsekvenser för staten, kommuner och landsting
Bedömning: Förslagen kommer inte att innebära någon kostnads- ökning för stat, kommuner och landsting.
Utredningens avsikt med lämnade förslag är att dessa ska möjliggöra den personuppgiftsbehandling som redan sker i dagsläget med stöd av personuppgiftslagen när dataskyddsförordningen ska börja tilläm- pas. Förslagen som möjliggör för statliga, kommunala och landstings- kommunala huvudmän som anordnar grundsärskola, specialskola, sameskola, gymnasiesärskola och särskild utbildning för vuxna att behandla känsliga personuppgifter utan att behöva inhämta samtycke bedöms kunna innebära att huvudmännens administrativa börda minskar, och därmed att kostnaderna för administration minskar då dessa skolformer med utredningens förslag inte längre behöver admi- nistrera samtycken. Detsamma bedöms gälla för huvudmän för Rh- anpassad utbildning och utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning.
När ny lagstiftning införs krävs det normalt utbildningsinsatser. Det är inte unikt för de förslag som utredningen presenterar utan uppkommer regelmässigt i olika lagstiftningsärenden. Att det krävs utbildning i detta fall beror inte heller enbart på den lagstiftning
475
Konsekvenser |
SOU 2017:49 |
som utredningen föreslår utan främst på den samlade dataskydds- reformen. Kostnader för utbildning täcks normalt av myndigheter- nas anslag. Kostnaderna för utbildning bör därför rymmas inom befintliga ramar.
Ny lagstiftning kräver normalt också nya interna föreskrifter och styrande dokument. Det får anses ingå i de normala uppgifterna för myndigheterna att ta fram sådana föreskrifter och dokument.
Utredningen har föreslagit att regeringen ska ge lämplig myn- dighet i uppdrag att vidta åtgärder för att initiera och stödja utarbe- tandet av en uppförandekod för skolväsendet. Ett sådant uppdrag bedömer utredningen kan förväntas ta cirka 1,5 till 2 årsarbetskrafter i anspråk under cirka ett års tid. Utredningen bedömer att ett sådant uppdrag bör kunna finansieras inom befintliga ramar.
Utredningens bedömning är att förslagen i övrigt är kostnads- neutrala.
13.4.2Konsekvenser för enskilda huvudmän som anordnar utbildningsverksamhet
Bedömning: Förslagen kommer inte att innebära någon kostnads- ökning för enskilda huvudmän som anordnar utbildningsverk- samhet.
Antalet enskilda som anordnar utbildningsverksamhet förändras från år till år. Till utbildningsområdet hör huvudmän för fristående för- skolor och fristående skolor liksom enskilda lärosäten, anordnare av yrkeshögskola, anordnare av utbildningar som avses i förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar samt folkhögskolor som inte drivs av kommuner eller landsting samt studieförbund. Dessa är av olika storlek.
Enligt Statens skolverks (Skolverkets) statistik fanns det hösten 2016 2 708 enskilda förskoleenheter som drevs av 2 058 enskilda huvudmän.1 Hösten 2016 fanns det 582 skolenheter i förskoleklass som drevs i fristående/enskild verksamhet, 820 skolenheter i grund- skolan som var fristående, 38 skolenheter i grundsärskolan som var
1
476
SOU 2017:49 |
Konsekvenser |
fristående, 32 skolenheter i gymnasiesärskolan som var fristående och 428 skolenheter i gymnasieskolan som var fristående.2
Läsåret 2016/17 fanns det 677 fristående fritidshem, som inte anordnas vid en skolenhet med förskoleklass, grundskola eller grund- särskola, som drevs av 551 enskilda huvudmän.3
Enligt Statistiska centralbyråns officiella statistik fanns det år 2014 cirka 1 200 privata aktörer inom kategorin grundläggande vuxen- utbildning, gymnasial vuxen- och påbyggnadsutbildning, särskild utbildning för vuxna och övrig utbildning (ej gymnasieskola och gym- nasiesärskola).4
Tillgänglig statistik saknas avseende privata aktörer som anordnar utbildning för barn och elever som vårdas på sjukhus eller en insti- tution som är knuten till ett sjukhus, utbildning i hemmet eller på annan lämplig plats.5
Enligt Skolverkets statistik fanns det inom pedagogisk omsorg som regleras enligt 25 kap. skollagen 721 verksamheter i enskild regi hösten 2016. Samma år drevs 49 öppna förskolor i privat regi. Av de öppna fritidsverksamheterna för
År 2017 drivs 112 folkhögskolor av folkrörelser eller andra orga- nisationer.7 Folkbildningsrådet fördelar statsbidrag till tio studie- förbund.8 Dessutom finns Studieförbundet SISU Idrottsutbildarna.
Det finns i Sverige i dagsläget 17 enskilda utbildningsanordnare med examenstillstånd inom högskolesektorn.9
När det gäller yrkeshögskolan fanns det år 2016 sammanlagt 128 enskilda utbildningsanordnare.10
2
3
4Ökad insyn i välfärden, SOU 2016:62, s. 124.
5Ökad insyn i välfärden, SOU 2016:62, s. 124.
6
7
8www.folkbildningsradet.se/Studieforbund/
9
10Myndigheten för yrkeshögskolans statistiska årsrapport 2017 s. 12.
477
Konsekvenser |
SOU 2017:49 |
Samma år fanns det 42 enskilda anordnare av utbildningar enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.11
Utredningens avsikt med lämnade förslag är att möjliggöra att den personuppgiftsbehandling som redan sker i dagsläget med stöd av personuppgiftslagen ska kunna fortsätta när dataskyddsförord- ningen börjar tillämpas. Förslagen som möjliggör för enskilda huvud- män som driver grundsärskolor och gymnasiesärskolor att behandla känsliga personuppgifter utan att behöva inhämta samtycke bedöms kunna innebära att den administrativa bördan och därmed kostnader för administration minskar.
När ny lagstiftning införs krävs det normalt utbildningsinsatser. Det är inte unikt för de förslag som utredningen presenterar utan uppkommer regelmässigt i olika lagstiftningsärenden. Att det krävs utbildning i detta fall beror inte heller enbart på den lagstiftning som utredningen föreslår utan främst på den samlade dataskyddsreformen.
Ny lagstiftning kräver normalt också nya interna föreskrifter och styrande dokument. Även detta behov är dock så gott som uteslu- tande ett resultat av dataskyddsförordningens ikraftträdande och alltså inte av utredningens förslag. Sådan anpassning som krävs med anledning av utredningens förslag får anses ingå i de normala upp- gifterna för organisationerna.
Eftersom de föreslagna bestämmelserna rör integritetsskydd för de registrerade har inte hänsyn tagits till vilken organisationsform eller företagsstorlek som den personuppgiftsansvarige har vid ut- formningen av bestämmelserna.
Utredningen har föreslagit att regeringen ska ge lämplig myndig- het i uppdrag att vidta åtgärder för att initiera och stödja utarbe- tandet av en uppförhandekod för skolväsendet. Det är utredningens uppfattning att ett framgångsrikt arbete med att ta fram en sådan uppförandekod har goda förutsättningar för att väsentligt minska administrationen och osäkerheten som kan gälla hos utbildnings- anordnare i fråga om regelverket för personuppgiftsbehandling. Det- ta bör i förlängningen, utöver att förstärka integritetsskyddet, bidra till minskade kostnader hos skolhuvudmännen. Utredningens för- slag har dock inte den konkretionen, och det ingår inte heller i upp- draget, att närmare bedöma sådana eventuella konsekvenser.
11 Myndigheten för yrkeshögskolans statistiska årsrapport 2017 s. 36.
478
SOU 2017:49 |
Konsekvenser |
13.5Konsekvenser för den personliga integriteten
Bedömning: Förslagen är neutrala rörande integritetsskyddet.
Dataskyddsförordningen anses stärka integritetsskyddet för enskilda och ge dem bättre möjligheter att kunna kontrollera hur deras per- sonuppgifter behandlas. De bestämmelser som utredningen föreslår kommer att ingå som en del i det dataskyddsregelverk som styrs av dataskyddsförordningen.
Utredningen föreslår endast bestämmelser som möjliggör behand- ling av personuppgifter motsvarande vad som är möjlig med gällande dataskyddsbestämmelser. Utredningens bedömning är därför att för- slagen är neutrala beträffande det integritetsintrång som de innebär jämfört med det integritetsintrång som finns i dagsläget med gällande bestämmelser, se avsnitt 4.7.5, 4.8.4, 4.9, 5.4.5, 5.5, 6.4.5 och 6.5.
13.6Konsekvenser i övrigt
Bedömning: Förslagen förväntas inte få några andra konsekvenser.
Förslagen får inte några konsekvenser för kommuner och landsting generellt eller för den kommunala självstyrelsen. Förslagen får inte heller några konsekvenser för jämställdheten, integrationen eller andra sådana konsekvenser som avses i 15 § kommittéförordningen eller 7 § förordningen om konsekvensutredning vid regelgivning.
479
14Ikraftträdande och övergångsbestämmelser
14.1Ikraftträdande
Förslag: Den nya förordningen – förordningen om sökbegräns- ningar vid personuppgiftsbehandling i vissa utbildningsformer och i hemkommunen – och ändringsförfattningarna ska träda i kraft den 25 maj 2018.
Enligt artikel 99.1 i dataskyddsförordningen träder förordningen i kraft den tjugonde dagen efter det att den har offentliggjorts i Euro- peiska unionens officiella tidning, vilket skedde den 4 maj 2016.
Av artikel 99.2 följer att förordningen ska tillämpas från och med den 25 maj 2018. I artikel 94 anges vidare att dataskyddsdirektivet ska upphöra att gälla med verkan från och med samma dag och att hänvisningar till det upphävda direktivet ska anses som hänvisningar till förordningen.
I skäl 171 till dataskyddsförordningen anges att behandling som redan pågår den dag då förordningen börjar tillämpas bör bringas i överensstämmelse med förordningen inom en period av två år från det att förordningen träder i kraft. Om behandlingen grundar sig på samtycke enligt dataskyddsdirektivet är det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgifts- ansvarige ska kunna fortsätta med behandlingen i fråga efter det att förordningen börjar tillämpas, om det sätt på vilket samtycket gavs överensstämmer med villkoren i förordningen. Beslut av kommissio- nen som antagits och tillstånd från tillsynsmyndigheterna som utfärdats på grundval av dataskyddsdirektivet ska fortsatt vara giltiga tills de ändras, ersätts eller upphävs.
481
Ikraftträdande och övergångsbestämmelser |
SOU 2017:49 |
Dataskyddsutredningen föreslår att lagen (2018:xx) med komplet- terande bestämmelser till EU:s dataskyddsförordning (dataskydds- lagen) ska träda i kraft den 25 maj 2018 och att personuppgiftslagen (1998:204, PUL) samtidigt ska upphöra att gälla. Med hänsyn till att dataskyddsförordningen ska börja tillämpas från och med den 25 maj 2018 bör även den nya förordningen och ändringsförfattningarna som utredningen föreslår träda i kraft samma dag. Utredningen föreslår därför att förordningen om sökbegränsningar vid personupp- giftsbehandling i vissa utbildningsformer och i hemkommunen samt ändringsförfattningarna ska träda i kraft den 25 maj 2018.
14.2Övergångsbestämmelser
Förslag: Äldre föreskrifter ska fortfarande gälla för ärenden hos Datainspektionen eller aktuell myndighet som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.
Äldre föreskrifter ska också gälla för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.
Äldre föreskrifter om skadestånd ska vidare gälla för skada som har orsakats före ikraftträdandet.
Dataskyddsutredningen föreslår vissa övergångsbestämmelser till dataskyddslagen (SOU 2017:39, avsnitt 20.3). Bl.a. föreslås att äldre föreskrifter, dvs. personuppgiftslagen, personuppgiftsförordningen (1998:1191) och föreskrifter som har meddelats med stöd av dessa, fortfarande ska gälla för ärenden som har inletts hos Datainspek- tionen men inte avgjorts före ikraftträdandet. Äldre föreskrifter ska också gälla för överklagande av beslut som har meddelats med stöd av dessa föreskrifter.
Skälen till varför dessa övergångsbestämmelser föreslås är att det sannolikt kommer att finnas ärenden som har inletts hos Datainspek- tionen – genom att de anhängiggjorts av myndigheter eller enskilda, eller på inspektionens eget initiativ − före ikraftträdandet men ännu inte har avgjorts den 25 maj 2018. Dessa ärenden ska handläggas enligt personuppgiftslagen och föreskrifter som meddelats med stöd av den lagen. Detsamma ska gälla för överklagande av beslut som har meddelats med stöd av äldre föreskrifter.
482
SOU 2017:49 |
Ikraftträdande och övergångsbestämmelser |
Dataskyddsutredningen anser vidare att bestämmelserna i 48 § PUL – om skadeståndsskyldighet för personuppgiftsansvariga och möjlighet att jämka sådan ersättningsskyldighet i vissa fall – bör fortsätta att gälla för skada som har orsakats före upphävandet av per- sonuppgiftslagen. Dataskyddsutredningen föreslår därför en över- gångsbestämmelse i linje med den uppfattningen.
Utredningens bedömning är att det i ändringsförfattningarna till studiestödsdatalagen (2009:287), förordningen (2011:268) om lärar- och förskollärarregister, förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar samt förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor, av samma skäl som redo- visats ovan, finns behov av att införa motsvarande övergångsbestäm- melser. Utredningen föreslår därför att det införs övergångsbestäm- melser som anger att
–äldre föreskrifter fortfarande gäller för ärenden hos Datainspek- tionen eller aktuell myndighet som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet,
–äldre föreskrifter fortfarande gäller för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet, och
–äldre föreskrifter om skadestånd fortfarande gäller för skada som har orsakats före ikraftträdandet.
Att äldre bestämmelser om skadestånd gäller för skadefall som inträf- fat före ikraftträdandet följer i och för sig av allmänna rättsgrund- satser (prop. 1972:5 s. 593). Utredningen anser dock att detta tydligt ska framgå.
483
15 Författningskommentar
15.1Förslaget till lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina
10 § Bestämmelserna i
Lagen (2018:xx) med kompletterande bestämmelser till EU:s data- skyddsförordning gäller vid enskilda utbildningsanordnares behandling av personuppgifter, om inte annat följer av
Paragrafen, som är ny, reglerar förhållandet mellan lagens bestäm- melser om personuppgiftsbehandling och andra dataskyddsbestäm- melser. Övervägandena finns i avsnitt 5.4.5.
Första stycket innehåller en upplysning om att bestämmelserna i
I andra stycket upplyses om att dataskyddslagen är subsidiär i förhållande till annan lagstiftning. En enskild utbildningsanordnare ska således tillämpa den särreglering om känsliga personuppgifter och uppgifter som rör fällande domar i brottmål som finns i
485
Författningskommentar |
SOU 2017:49 |
11 § Känsliga personuppgifter får med stöd av artikel 9.2 g i data- skyddsförordningen behandlas av en enskild utbildningsanordnare
1.i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,
2.om uppgifterna har lämnats till den enskilde utbildningsanord- naren och behandlingen krävs enligt lag, eller
3.i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Paragrafen är ny och anger, tillsammans med 13 §, när enskilda utbildningsanordnare får behandla känsliga personuppgifter. Para- grafen har motsvarande utformning som 3 kap. 3 § dataskyddslagen. Övervägandena finns i avsnitt 5.4.5.
Punkt 1, som delvis motsvarar 8 § personuppgiftsförordningen (1998:1191), möjliggör behandling av känsliga personuppgifter i en enskild utbildningsanordnares ärenden om t.ex. anpassning vid hög- skoleprovet, avsteg vid antagning, särskilt pedagogiskt stöd, stats- bidrag för särskilt utbildningsstöd, trakasserier, sexuella trakasserier, disciplinär åtgärd eller avskiljande, förutsatt att behandlingen sker i löpande text och inte som strukturerad information i register eller liknande. Begränsningen till löpande text utesluter inte att hand- lingar med ostrukturerade känsliga personuppgifter lagras elektro- niskt i ärendehanteringssystem eller liknande.
Vidare måste uppgifterna ha lämnats in av någon utomstående eller vara nödvändiga för handläggningen av ärendet. Ordet nödvän- digt bör här ha motsvarande betydelse som i
Punkt 2 möjliggör sådan behandling av känsliga personuppgifter som är oundviklig för de enskilda utbildningsanordnare som omfat- tas av tryckfrihetsförordningens och offentlighets- och sekretess- lagens (2009:400) bestämmelser om allmänna handlingar. Bestäm- melsen tar över motsvarande reglering i 1 kap. 5 § och 3 kap. 3 § 2 dataskyddslagen.
Punkt 3 möjliggör behandling av känsliga personuppgifter hos en enskild utbildningsanordnare i enstaka fall även i situationer då det
486
SOU 2017:49 |
Författningskommentar |
saknas en koppling till ett visst ärende eller behandlingen inte direkt krävs enligt annan lag. Så kan exempelvis vara fallet i den faktiska verksamheten när beslutade stödåtgärder på olika sätt ska verkställas.
Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Det innebär också ett krav på att behovet av att behandla den känsliga personuppgiften i det enskilda fallet ska prövas noga mot ändamålet med behandlingen.
Vidare ställer bestämmelsen krav på att ytterligare en avvägning ska göras för att behandling av känsliga personuppgifter ska få ske i det enskilda fallet, nämligen om en i och för sig absolut nödvändig behandling av känsliga personuppgifter ändå innebär ett otillbörligt intrång i den registrerades integritet. Vid bedömningen av om be- handlingen utgör ett otillbörligt intrång ska vikt läggas vid sådana aspekter som uppgifternas känslighet, den inställning den registrerade kan antas ha till att uppgiften behandlas, den spridning uppgiften skulle komma att få och risken för vidarebehandling för andra ända- mål än insamlingsändamålet.
12 § Personuppgifter som rör fällande domar i brottmål får behandlas av en enskild utbildningsanordnare i löpande text i ett ärende om av- skiljande av student från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra per- soner och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära.
Paragrafen, som är ny, möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål i ett ärende om avskiljande av student från utbildning. Övervägan- dena finns i avsnitt 5.4.5.
Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att bestämmelsen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Det innebär också ett krav på att behovet av att behandla personuppgifter som rör fällande domar i brottmål i det enskilda fallet ska prövas noga mot ändamålet med behandlingen.
487
Författningskommentar |
SOU 2017:49 |
Vidare ställer bestämmelsen krav på att den personuppgiftsansva- rige, innan den avsedda behandlingen, ska göra en avvägning mellan intresset av att skydda andra personer och värdefull egendom och den risk för ett otillbörligt intrång i den registrerades integritet som behandlingen kan innebära.
13 § Vid behandling enligt 11 och 12 §§ får en enskild utbildnings- anordnare inte använda sökbegrepp som avslöjar känsliga personupp- gifter eller uppgifter som rör fällande domar i brottmål.
Paragrafen är ny och har, i den del som avser känsliga personupp- gifter, motsvarande utformning som 3 kap. 4 § dataskyddslagen. Paragrafen innebär att det gäller ett förbud mot sökning på känsliga personuppgifter och uppgifter som rör fällande domar i brottmål hos en enskild utbildningsanordnare som behandlar sådana uppgif- ter. För enskilda utbildningsanordnare som omfattas av offentlig- hetsprincipen tar bestämmelsen, i den del som avser känsliga per- sonuppgifter, över motsvarande reglering i 1 kap. 5 § och 3 kap. 4 § dataskyddslagen. Övervägandena finns i avsnitt 5.4.5.
Sökförbuden införs för att tillgodose kraven på särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen i artikel 9.2 g och artikel 10 i dataskyddsförordningen. Sök- ningar som avslöjar och sammanställer känsliga personuppgifter och uppgifter som rör fällande domar i brottmål är åtgärder som i sig innebär en integritetskränkning. Förbudet omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter eller upp- gifter om fällande domar i brottmål avslöjas.
Sökförbudet innebär att offentlighetsprincipen, i den mån den är tillämplig, inskränks enligt den så kallade begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. En begäran att få tillgång till en sammanställning av uppgifter som är resultatet av en sådan förbjuden sökning ska alltså avslås på den grunden att sammanställ- ningen inte anses förvarad hos den enskilda utbildningsanordnaren. Det bör dock understrykas att begränsningsregeln inte hindrar att sökningar görs i färdiga elektroniska handlingar vid en begäran om tillgång till allmänna handlingar, dvs. sökning får på begäran ske i upptagningar där utbildningsanordnaren eller den som lämnat in
488
SOU 2017:49 |
Författningskommentar |
handlingen till utbildningsanordnaren har gett upptagningen ett be- stämt, fixerat, innehåll som går att återskapa gång på gång.
15.2Förslaget till lag om ändring i lagen om yrkeshögskolan (2009:128)
19 a § Bestämmelserna i 19
Lagen (2018:xx) med kompletterande bestämmelser till EU:s data- skyddsförordning gäller vid utbildningsanordnares behandling av per- sonuppgifter, om inte annat följer av 19
Paragrafen, som är ny, reglerar förhållandet mellan lagens bestäm- melser om personuppgiftsbehandling och andra dataskyddsbestäm- melser. Övervägandena finns i avsnitt 6.4.5.
Första stycket innehåller en upplysning om att bestämmelserna i 19
I andra stycket upplyses om att dataskyddslagen är subsidiär i förhållande till annan lagstiftning. En utbildningsanordnare ska såle- des tillämpa den särreglering som anges i 19
19 b § Känsliga personuppgifter får med stöd av artikel 9.2 g i data- skyddsförordningen behandlas av en utbildningsanordnare i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för hand- läggningen av ett ärende.
489
Författningskommentar |
SOU 2017:49 |
Paragrafen är ny och anger, tillsammans med 19 c, 19 d och 19 f §§, när utbildningsanordnare får behandla känsliga personuppgifter. Bestämmelsen har motsvarande utformning som 3 kap. 3 § 1 data- skyddslagen. För de offentliga utbildningsanordnarna tar bestäm- melsen över nämnda bestämmelse i dataskyddslagen. Bestämmelsen har sin grund i artikel 9.2 g i dataskyddsförordningen, dvs. behand- ling som är nödvändig av hänsyn till ett viktigt allmänt intresse. Övervägandena finns i avsnitt 6.4.5.
Bestämmelsen, som delvis motsvarar 8 § personuppgiftsförord- ningen, möjliggör behandling av känsliga personuppgifter i en ut- bildningsanordnares ärenden om t.ex. särskilt pedagogiskt stöd, trakasserier, sexuella trakasserier eller avskiljande, förutsatt att be- handlingen sker i löpande text och inte som strukturerad informa- tion i register eller liknande. Begränsningen till löpande text uteslu- ter inte att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande.
Vidare måste uppgifterna ha lämnats in av någon utomstående eller vara nödvändiga för handläggningen av ärendet. Ordet nöd- vändigt bör här ha motsvarande betydelse som i
19 c § Statliga universitet och högskolor samt andra statliga myn- digheter, kommuner och landsting som anordnar utbildning får med stöd av artikel 9.2 g i dataskyddsförordningen behandla känsliga per- sonuppgifter om uppgifterna har lämnats till universitetet, högskolan, myndigheten, kommunen eller landstinget och behandlingen krävs en- ligt lag.
Paragrafen, som är ny, har motsvarande utformning som 3 kap. 3 § 2 dataskyddslagen. Bestämmelsen tar över nämnda bestämmelse i dataskyddslagen. Paragrafen möjliggör sådan behandling av känsliga personuppgifter som är oundviklig för de offentliga utbildnings- anordnarna på grund av tryckfrihetsförordningens, offentlighets- och sekretesslagens och förvaltningslagens (1986:223) bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot
490
SOU 2017:49 |
Författningskommentar |
19 d § Utöver vad som följer av 19 b och 19 c §§ får känsliga person- uppgifter med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en utbildningsanordnare i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otill- börligt intrång i den registrerades personliga integritet.
Paragrafen, som är ny, har motsvarande utformning som 3 kap. 3 § 3 dataskyddslagen. För de offentliga utbildningsanordnarna tar bestämmelsen över nämnda bestämmelse i dataskyddslagen. Över- vägandena finns i avsnitt 6.4.5.
Bestämmelsen möjliggör behandling av känsliga personuppgifter hos en utbildningsanordnare i enstaka fall även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte direkt krävs enligt annan lag. Så kan exempelvis vara fallet i den faktiska verksamheten när beslutade stödåtgärder på olika sätt ska verkställas.
Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Det innebär också ett krav på att behovet av att behandla den känsliga personuppgiften i det enskilda fallet ska prövas noga mot ändamålet med behandlingen.
Vidare ställer bestämmelsen krav på att ytterligare en avvägning ska göras för att behandling av känsliga personuppgifter ska få ske i det enskilda fallet, nämligen om en i och för sig absolut nödvändig behandling av känsliga personuppgifter ändå innebär ett otillbörligt intrång i den registrerades integritet. Vid bedömningen av om be- handlingen utgör ett otillbörligt intrång ska vikt läggas vid sådana aspekter som uppgifternas känslighet, den inställning den registre- rade kan antas ha till att uppgiften behandlas, den spridning uppgif- ten skulle komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet.
19 e § Utbildningsanordnare med en enskild fysisk eller juridisk per- son som huvudman får behandla personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande av stude- rande från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värde-
491
Författningskommentar |
SOU 2017:49 |
full egendom klart väger över den risk för otillbörligt intrång i den regi- strerades personliga integritet som behandlingen kan innebära.
Paragrafen, som är ny, möjliggör för enskilda utbildningsanordnare att i vissa fall behandla personuppgifter som rör fällande domar i brottmål. Övervägandena finns i avsnitt 6.4.5.
Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att bestämmelsen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Det innebär också ett krav på att behovet av att behandla uppgifter som rör fällande domar i brottmål i det enskilda fallet ska prövas noga mot ändamålet med behandlingen.
Vidare ställer bestämmelsen krav på att den personuppgiftsansva- rige, innan den avsedda behandlingen, ska göra en avvägning mellan intresset av att skydda andra personer och värdefull egendom och den risk för ett otillbörligt intrång i den registrerades integritet som behandlingen kan innebära.
19 f § Vid behandling enligt 19
Vid behandling enligt 19 e § får en enskild utbildningsanordnare inte använda sökbegrepp som avslöjar personuppgifter som rör fällande domar i brottmål.
Paragrafen är ny. Paragrafens första stycke har motsvarande utform- ning som 3 kap. 4 § dataskyddslagen. För de offentliga utbildnings- anordnarna tar bestämmelsen över nämnda bestämmelse i data- skyddslagen. Paragrafens första stycke innebär att det gäller ett förbud mot sökning på känsliga personuppgifter hos utbildnings- anordnare. Paragrafens andra stycke innebär att det för enskilda utbildningsanordnare gäller motsvarande sökförbud för personupp- gifter som rör fällande domar i brottmål. Övervägandena finns i av- snitt 6.4.5.
Sökförbuden införs för att tillgodose kraven på särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen i artikel 9.2 g och artikel 10 i dataskyddsförordningen. Sök- ningar som avslöjar och sammanställer känsliga personuppgifter och uppgifter som rör fällande domar i brottmål är åtgärder som i sig innebär en integritetskränkning. Förbuden omfattar alla tekniska
492
SOU 2017:49 |
Författningskommentar |
åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter eller upp- gifter som rör fällande domar i brottmål avslöjas.
För offentliga utbildningsanordnare innebär sökförbudet för känsliga personuppgifter att offentlighetsprincipen inskränks enligt den så kallade begränsningsregeln i 2 kap. 3 § tredje stycket tryckfri- hetsförordningen. En begäran att få tillgång till en sammanställning av uppgifter som är resultatet av en sådan förbjuden sökning ska alltså avslås på den grunden att sammanställningen inte anses förva- rad hos den offentliga utbildningsanordnaren. Det bör dock under- strykas att begränsningsregeln inte hindrar att sökningar görs i fär- diga elektroniska handlingar vid en begäran om tillgång till allmänna handlingar, dvs. sökning får på begäran ske i upptagningar där utbild- ningsanordnaren eller den som lämnat in handlingen till utbild- ningsanordnaren har gett upptagningen ett bestämt, fixerat, innehåll som går att återskapa gång på gång.
19 g § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt denna lag eller föreskrifter som har meddelats med stöd av denna lag.
Paragrafen, som är ny, innebär ett bemyndigande för regeringen att meddela föreskrifter om ytterligare undantag från förbudet att be- handla känsliga personuppgifter för utbildningsanordnarna. Paragra- fen motsvarar delvis 3 kap. 8 § dataskyddslagen, som delvis motsvarar 20 § PUL. Övervägandena finns i avsnitt 6.4.5.
15.3Förslaget till lag om ändring
i studiestödsdatalagen (2009:287)
2 § Denna lag kompletterar Europaparlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska perso- ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kompletterande bestämmelser till EU:s data- skyddsförordning gäller vid behandling av personuppgifter enligt denna
493
Författningskommentar |
SOU 2017:49 |
lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
Vid Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik ska lagen (2001:99) om den officiella stati- stiken och anslutande författningar tillämpas i stället för denna lag.
Paragrafens första stycke har ändrats på så sätt att hänvisningen till personuppgiftslagen (1998:204) ersatts med en upplysningsbestäm- melse om dataskyddsförordningen och, i andra stycket, en reglering om förhållandet till dataskyddslagen. Nuvarande andra stycket har flyttats till ett nytt tredje stycke. Övervägandena finns i avsnitt 8.3.
6 § Särskilda begränsningar gäller för behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt för behand- ling av genetiska uppgifter, biometriska uppgifter för att entydigt identi- fiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk per- sons sexualliv eller sexuella läggning.
Särskilda begränsningar gäller även för behandling av personupp- gifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Uppgifter enligt första och andra stycket får behandlas bara för ända- mål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket.
Paragrafen har ändrats på så sätt att den omfattar samtliga kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen och som där benämns särskilda kategorier av personuppgifter. Övri- ga ändringar i lagrummet är endast redaktionella. Övervägandena finns i avsnitt 8.3.
7 § Trots 4 § första stycket får personuppgifter behandlas i Centrala studiestödsnämndens studiestödsverksamhet med den registrerades sam- tycke. Uppgifter som avses i 6 § får behandlas för andra ändamål än som anges i paragrafen bara med den registrerades uttryckliga samtycke.
494
SOU 2017:49 |
Författningskommentar |
Uppgifter som behandlas med samtycke enligt första stycket får också behandlas enligt 4 § andra stycket.
Paragrafen har ändrats på så sätt att bestämmelsen i tredje stycket om återkallande av samtycke har utgått, eftersom motsvarande regle- ring finns i artikel 7.3 i dataskyddsförordningen som är direkt till- lämplig. Övervägandena finns i avsnitt 8.3.
8 § Som sökbegrepp får inte användas
1.uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, reli- giös eller filosofisk övertygelse eller medlemskap i fackförening,
2.genetiska uppgifter, biometriska uppgifter för att entydigt identi- fiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk per- sons sexualliv eller sexuella läggning,
3.uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberö- vanden,
4.uppgifter som rör inkomst, förmögenhet eller anledning till studie- avbrott, eller
5.uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle.
Vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sökbegrepp som anges i första stycket användas. Som sökbegrepp får också användas uppgifter som rör
1.hälsa för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och
2.inkomst och förmögenhet för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.
I paragrafens första stycke har ändringar gjorts så att samtliga kate- gorier av uppgifter som anges i artikel 9.1 i dataskyddsförord- ningen finns med. Övervägandena finns i avsnitt 8.3.
16 § Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personupp-
495
Författningskommentar |
SOU 2017:49 |
gifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.
Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.
Regeringen eller den myndighet som regeringen bestämmer får med- dela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för redovisningsändamål, även om föreskrif- terna kommer att avvika från första stycket. Centrala studiestödsnämn- den får också, trots första stycket, i enstaka fall besluta att personupp- gifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.
I paragrafens tredje stycke har formuleringen ”historiska, statistiska eller vetenskapliga ändamål” bytts ut mot den formulering som används i dataskyddsförordningen, dvs. ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller sta- tistiska ändamål”. Övervägandena finns i avsnitt 8.3.
15.4Förslaget till lag om ändring i skollagen (2010:800)
28 a kap. Behandling av personuppgifter
1 § Detta kapitel tillämpas vid behandling av personuppgifter i verk- samhet som utförs med stöd av denna lag eller föreskrifter som med- delats med stöd av lagen och de bestämmelser för utbildningen som kan finnas i andra författningar samt beslut som meddelats med stöd av dessa av
1.en huvudman inom skolväsendet enligt 2 kap.,
2.en hemkommun enligt denna lag, eller
3.en aktör enligt 24 och 25 kap.
496
SOU 2017:49 |
Författningskommentar |
Paragrafen, som är ny, är en upplysningsbestämmelse om när kapit- let är tillämpligt och de organ enligt skollagen som kan tillämpa det.
2 § Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskydds- förordningen.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s data- skyddsförordning gäller vid behandling av personuppgifter, om inte annat följer av bestämmelserna i detta kapitel eller föreskrifter som har meddelats med stöd av 9 § tredje stycket eller 10 § eller lagen med kom- pletterande bestämmelser till EU:s dataskyddsförordning.
Detta kapitel ska inte tillämpas på vårdgivares behandling av per- sonuppgifter inom hälso- och sjukvården eller Kriminalvårdens verk- samhet enligt 24 kap. 10 §.
Paragrafen, som är ny, reglerar förhållandet mellan lagens bestäm- melser om personuppgiftsbehandling och andra dataskyddsbestäm- melser. Övervägandena finns i avsnitt 4.7.5.
Första stycket innehåller en upplysning om att bestämmelserna i detta kapitel kompletterar dataskyddsförordningens bestämmelser. För den personuppgiftsbehandling som ett organ som avses enligt 1 § utför gäller således i huvudsak bestämmelserna i dataskydds- förordningen.
I andra stycket upplyses om att dataskyddslagen är subsidiär i för- hållande till annan lagstiftning. Ett organ som avses i 1 § ska således tillämpa den särreglering som anges i detta kapitel i stället för mot- svarande bestämmelser i dataskyddslagen. I stället för bestämmel- serna om behandling av känsliga personuppgifter med stöd av arti- kel 9.2 g i dataskyddsförordningen enligt 3 kap. 3 och 4 §§ data- skyddslagen gäller således bestämmelserna i detta kapitel.
Genom bestämmelsen i tredje stycket undantas den personupp- giftsbehandling som sker inom elevhälsan med stöd av bl.a. patient- datalagens (2008:355) bestämmelser från kapitlets bestämmelser. Det innebär att hälso- och sjukvårdspersonal inom elevhälsan som i dagsläget är skyldig att föra patientjournal och behandla person- uppgifter enligt patientdatalagens bestämmelser även fortsättningsvis
497
Författningskommentar |
SOU 2017:49 |
ska tillämpa patientdatalagen med tillhörande föreskrifter och inte bestämmelserna i detta kapitel för den personuppgiftsbehandling som omfattas av patientdatalagens tillämpningsområde.
I tredje stycket undantas även den personuppgiftsbehandling som sker hos Kriminalvården med anledning av utbildningen för intagna i kriminalvårdsanstalt enligt 24 kap. 10 §. Kriminalvården ska i stället tillämpa den av Utredningen om 2016 års dataskyddsdirektiv före- slagna brottsdatalagen (2018:xx) vid sin personuppgiftsbehandling (se SOU 2017:29).
3 § Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskydds- förordningen behandlas av ett sådant organ som avses i 1 §
1.i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, eller
2.om uppgifterna har lämnats till organet och behandlingen krävs enligt lag.
Paragrafen är ny. Paragrafen anger, tillsammans med
För de offentliga huvudmännen och hemkommunerna tar bestämmelsen över motsvarande bestämmelse i dataskyddslagen. Även de enskilda huvudmän som – om förslagen i SOU 2015:82 och SOU 2016:62 genomförs – omfattas av bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) ska tillämpa 3 § 2 i stället för 3 kap. 3 § 2 dataskyddslagen. Övervägandena finns i avsnitt 4.7.5.
Punkten 1 möjliggör behandling av känsliga personuppgifter i ett organs ärenden, förutsatt att behandlingen sker i löpande text och inte som strukturerad information i register eller liknande. Bestäm- melsen är avsedd att reglera sådan behandling som sker i ärenden i dessas kärnverksamhet, dvs. huvudmännens utbildningsverksamhet enligt skollagen med tillhörande föreskrifter eller i ärenden enligt skollagen hos hemkommunerna. Uppgifterna måste vidare ha läm- nats in av någon utomstående eller vara nödvändiga för handlägg-
498
SOU 2017:49 |
Författningskommentar |
ningen av ärendet. Begränsningen till löpande text utesluter inte att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande.
Ordet nödvändigt bör här ha motsvarande betydelse som i EU- rätten, dvs. det innebär inte ett krav på att det ska vara helt omöjligt att fullgöra förpliktelsen eller utföra uppgiften utan att behand- lingsåtgärden vidtas
Punkten 2 möjliggör sådan behandling av känsliga personupp- gifter som är oundviklig i ett organs verksamhet som en direkt följd av tryckfrihetsförordningens, offentlighets- och sekretess- lagens och förvaltningslagens (1986:223) bestämmelser om allmän- na handlingar, diarieföring och skyldighet att ta emot
4 § I grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna får med stöd av artikel 9.2 g i dataskyddsförord- ningen uppgifter om hälsa behandlas om det är nödvändigt för ända- målet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vad som föreskrivs i första stycket gäller även
1.i gymnasieskolan med
2.i utbildning i gymnasieskolan för elever som är döva, hörselska- dade eller dövblinda eller har en språkstörning,
3.i fristående förskoleklass som begränsats till att avse elever som är i behov av särskilt stöd för sin utveckling enligt 9 kap. 17 §,
4.i fristående grundskola som begränsats till att avse elever som är
ibehov av särskilt stöd enligt 10 kap. 35 § 2, och
5.i fristående gymnasieskola som begränsats till att avse elever som är i behov av särskilt stöd enligt 15 kap. 33 § 1.
Paragrafen är ny. Paragrafen, som har sin grund i artikel 9.2 g i data- skyddsförordningen omfattar grundsärskolan, specialskolan, gymna- siesärskolan, särskild utbildning för vuxna, fristående skolor som begränsats till elever som är i behov av särskilt stöd och vissa gym- nasieutbildningar som vänder sig särskilt till elever med funktions- nedsättningar. Paragrafen möjliggör att nödvändig personuppgifts- behandling kan ske hos dessa aktörer utan samtycke från eleven eller dess vårdnadshavare under förutsättning att behandlingen inte inne-
499
Författningskommentar |
SOU 2017:49 |
bär ett otillbörligt intrång i den registrerades integritet. Övervägan- dena finns i avsnitt 4.7.5.
Inom dessa utbildningsformer är alla personuppgifter känsliga personuppgifter eftersom eleverna som går i dessa har en funktions- nedsättning. En uppgift om att en elev går på en sådan skola eller sådan utbildning blir därför en uppgift om hälsa. Syftet med bestäm- melsen är att personuppgifter som t.ex. namn, personnummer, adress, vårdnadshavare och kontaktuppgifter till dessa ska kunna behandlas i t.ex. elevregister, klasslistor och närvarolistor, men även i löpande text i den faktiska verksamheten, dvs. undervisningen, utan att samtycke behöver inhämtas, på samma sätt som motsvarande uppgifter i t.ex. en grundskola. Det måste dock beaktas att det rör sig om känsliga personuppgifter vilket har betydelse vid bestäm- mande av dataskydd och åtkomstbegränsningar.
Då bestämmelserna innebär en mer tillåtande behandling av vissa känsliga personuppgifter för dessa skolformer och utbildningar än andra uppställs ett krav att behandlingen inte innebär ett otillbörligt intrång i den registrerades integritet. Vid bedömningen av om en personuppgiftsbehandling utgör ett otillbörligt intrång ska vikt läg- gas vid t.ex. uppgifternas känslighet, den inställning den registrerade kan antas ha till att uppgiften behandlas och den spridning uppgiften skulle komma att få.
Beträffande behandling av andra känsliga personuppgifter än upp- gift om hälsa gäller de övriga bestämmelserna i detta kapitel även för dessa skolformer och utbildningar.
5 § I sameskolan får med stöd av artikel 9.2 g i dataskyddsförord- ningen uppgifter om etniskt ursprung behandlas om det är nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Paragrafen är ny. Paragrafen, som har sin grund i artikel 9.2 g i data- skyddsförordningen, möjliggör att nödvändig personuppgiftsbehand- ling inom sameskolan kan ske utan samtycke. I sameskolan är en uppgift om att en elev går på skolan en uppgift om etniskt ursprung och därigenom en känslig personuppgift. Övervägandena finns i av- snitt 4.7.5.
Syftet med bestämmelsen är att personuppgifter som t.ex. namn, personnummer, adress, vårdnadshavare och kontaktuppgifter till
500
SOU 2017:49 |
Författningskommentar |
dessa ska kunna behandlas i t.ex. elevregister, klasslistor och när- varolistor, men även i löpande text i den faktiska verksamheten, dvs. undervisningen, utan att samtycke måste inhämtas på samma sätt som motsvarande uppgifter i t.ex. en grundskola. Det måste dock beaktas att det rör sig om känsliga personuppgifter vilket har bety- delse vid bestämmande av dataskydd och åtkomstbegränsningar.
Då bestämmelserna innebär en mer tillåtande behandling av upp- giften om etniskt ursprung för sameskolan än andra skolformer upp- ställs ett krav att behandlingen inte innebär ett otillbörligt intrång i den registrerades integritet. Vid bedömningen av om en person- uppgiftsbehandling utgör ett otillbörligt intrång ska vikt läggas vid t.ex. uppgifternas känslighet, den inställning den registrerade kan antas ha till att uppgiften behandlas och den spridning uppgiften skulle komma att få.
Beträffande behandling av andra känsliga personuppgifter än uppgift om etniskt ursprung gäller de övriga bestämmelserna i detta kapitel även för sameskolan.
6 § En hemkommun får med stöd av artikel 9.2 g i dataskyddsför- ordningen behandla uppgifter om hälsa om det är nödvändigt för hand- läggningen av
1.ett ärende om mottagande i grundsärskolan enligt 7 kap. 5 § andra stycket,
2.ett ärende om en sökande tillhör målgruppen för gymnasiesär- skolan enligt 18 kap. 5 §, eller
3.ett ärende om tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd.
För att behandlingen enligt första stycket ska vara tillåten krävs dess- utom att den inte innebär ett otillbörligt intrång i den registrerades per- sonliga integritet.
Paragrafen är ny. Paragrafen, som har sin grund i artikel 9.2 g i data- skyddsförordningen, möjliggör för hemkommunen att kunna behandla nödvändiga uppgifter i ärenden om dels mottagande i grundsärskolan och om sökanden tillhör målgruppen för gymnasie- särskolan, dels tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd. Paragrafen möjliggör för hemkommunen att behandla nödvändiga uppgifter i dels löpande text, dels i ärende- hanteringssystem. Övervägandena finns i avsnitt 4.7.5.
501
Författningskommentar |
SOU 2017:49 |
För att minska risken för integritetsintrång uppställs i andra stycket ett krav på att behandlingen inte får innebära ett otillbörligt intrång i den registrerades personliga integritet för att den ska vara tillåten. Vid bedömningen av om en personuppgiftsbehandling utgör ett otillbörligt intrång ska vikt läggas vid t.ex. uppgifternas käns- lighet, den inställning den registrerade kan antas ha till att uppgiften behandlas och den spridning uppgiften skulle komma att få.
7 § En hemkommun får med stöd av artikel 9.2 g i dataskyddsför- ordningen behandla uppgifter om etniskt ursprung och hälsa i form av elevens namn, personnummer, samordningsnummer, adress och vård- nadshavare om det är nödvändigt för att fullgöra skyldigheter enligt 7 kap. 21 §.
Paragrafen är ny. Paragrafen, som har sin grund i artikel 9.2 g i data- skyddsförordningen, möjliggör för hemkommunen att behandla vissa särskilt angivna uppgifter om elever om hemkommunen bedö- mer att det är nödvändigt för att uppfylla sitt ansvar enligt 7 kap. 21 § skollagen att se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning. För att kunna uppfylla denna skyldighet är kommunerna i behov av att kunna föra ett register över var de skolpliktiga barnen fullgör sin skolplikt. En uppgift om att en elev går i t.ex. en fri- stående grundsärskola är en uppgift om hälsa och en uppgift om att en elev går i en sameskola är en uppgift om etniskt ursprung.
En kommun kan med stöd av bestämmelsen behandla uppgifter om att en elev fullgör sin skolplikt i t.ex. en fristående grundsär- skola eller i en sameskola.
För att säkerställa den registrerades grundläggande rättigheter och intressen begränsas de känsliga personuppgifter som får behand- las till elevens namn, personnummer, samordningsnummer, adress och vårdnadshavare om det är nödvändigt för att fullgöra skyldig- heter enligt 7 kap. 21 § skollagen. Övervägandena finns i av- snitt 4.7.5.
8 § Utöver vad som följer av
502
SOU 2017:49 |
Författningskommentar |
ändamålet med behandlingen och behandlingen inte innebär ett otill- börligt intrång i den registrerades personliga integritet.
Paragrafen är ny. Paragrafen har motsvarande utformning som 3 kap. 3 § 3 dataskyddslagen. För de offentliga huvudmännen och hemkommunerna tar bestämmelsen över nämnda bestämmelse i dataskyddslagen. Övervägandena finns i avsnitt 4.7.5.
Paragrafen möjliggör behandling av känsliga personuppgifter hos ett organ i enstaka fall även i situationer då det saknas en kopp- ling till ett visst ärende eller behandlingen inte direkt krävs enligt annan lag. Så kan exempelvis vara fallet i faktisk verksamhet i skol- väsendet såsom i kommunikation mellan skola och föräldrar.
Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller stor- skalig behandling. Det innebär också ett krav på att behovet av att behandla den känsliga personuppgiften i det enskilda fallet ska prövas noga mot ändamålet med behandlingen.
Vidare ställer bestämmelsen krav på att ytterligare en avvägning ska göras för att behandling av känsliga personuppgifter ska få ske i det enskilda fallet, nämligen om en i och för sig absolut nödvändig behandling av känsliga personuppgifter ändå innebär ett otillbörligt intrång i den registrerades integritet. Vid bedömningen av om behandling utgör ett otillbörligt intrång ska vikt läggas vid sådana aspekter som uppgifternas känslighet, den inställning den registre- rade kan antas ha till att uppgiften behandlas, den spridning uppgif- ten skulle komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet.
9 § Vid behandling enligt
Förbudet i första stycket gäller inte användning av sökbegrepp som avslöjar
1.hälsa i de utbildningsformer som anges i 4 §,
2.etniskt ursprung i sameskolan som anges i 5 §,
3.hälsa i hemkommunen i ärenden som anges i 6 §, och
4.hälsa eller etniskt ursprung i form av namn, personnummer, sam- ordningsnummer och adress i hemkommunen som anges i 7 §.
503
Författningskommentar |
SOU 2017:49 |
Regeringen får meddela föreskrifter om begränsningar av möjligheten att använda de sökbegrepp som anges i andra stycket.
Paragrafen är ny. Paragrafens första stycke har motsvarande ut- formning som 3 kap. 4 § dataskyddslagen. För de offentliga huvud- männen och hemkommunerna tar bestämmelsen över motsvarande bestämmelse i dataskyddslagen. Även för enskilda huvudmän som – om förslagen i SOU 2015:82 och SOU 2016:62 genomförs – kom- mer att omfattas av offentlighetsprincipen tar bestämmelsen, i den del som avser känsliga personuppgifter, över motsvarande reglering i 1 kap. 5 § och 3 kap. 4 § dataskyddslagen.
Paragrafens första stycke innebär att det gäller ett förbud mot sökning på känsliga personuppgifter hos ett organ som behandlar sådana uppgifter. Paragrafens andra stycke innehåller undantag för vissa utbildningsformer och för hemkommunen för vissa särskilt angivna ärenden och uppgifter. Övervägandena finns i avsnitt 4.7.5.
Sökförbudet i första stycket införs för att tillgodose kraven på särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen i artikel 9.2 g i dataskyddsförordningen. Förbudet omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter avslöjas.
Sökförbudet innebär att offentlighetsprincipen, i den mån den är tillämplig, inskränks enligt den så kallade begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. En begäran att få tillgång till en sammanställning av uppgifter som är resultatet av en sådan förbjuden sökning ska alltså avslås på den grunden att sammanställ- ningen inte anses förvarad hos organet som avses i 1 §. Det bör dock understrykas att begränsningsregeln inte hindrar att sökningar görs i färdiga elektroniska handlingar vid en begäran om tillgång till all- männa handlingar, dvs. sökning får på begäran ske i upptagningar där organet eller den som lämnat in handlingen till organet har gett upp- tagningen ett bestämt, fixerat, innehåll som går att återskapa gång på gång.
Paragrafens andra stycke innehåller bestämmelser om undantag från sökförbudet. Alla personuppgifter om en elev i t.ex. grundsär- skolan är en uppgift om hälsa eftersom endast elever som har en funktionsnedsättning går i denna skolform. Alla uppgifter om en elev i sameskolan är en uppgift om etniskt ursprung eftersom det är
504
SOU 2017:49 |
Författningskommentar |
främst barn till samer som får fullgöra sin skolplikt i sameskolan. Paragrafens första stycke medför att personalen i dessa skolformer är förhindrade att söka på elevernas personuppgifter. Paragrafens andra stycke möjliggör dock för personalen i grundsärskolan, specialsko- lan, gymnasiesärskolan, särskild utbildning för vuxna, fristående skola som begränsats till att avse elever som är i behov av särskilt stöd, gymnasieskolan med
Vidare möjliggör andra stycket sökning i hemkommunens ärendehanteringssystem med hjälp av sökbegrepp som rör uppgift om hälsa i ärenden om mottagande i grundsärskolan, i ärenden om en sökande tillhör målgruppen för gymnasiesärskolan och i ärenden om tilläggsbelopp för en elev i behov av särskilt stöd. Bestämmelsen möjliggör även sökning på de uppgifter som hemkommunen får behandla med stöd av 6 §.
I tredje stycket finns en bestämmelse om att regeringen kan med- dela föreskrifter om begränsningar av möjligheten att använda de sökbegrepp som anges i andra stycket.
10 § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hän- syn till det viktiga allmänna intresset att anordna utbildning enligt den- na lag eller föreskrifter som har meddelats med stöd av denna lag.
Paragrafen är ny. Paragrafen innebär ett bemyndigande för reger- ingen att meddela föreskrifter om ytterligare undantag från för- budet att behandla känsliga personuppgifter för organen som avses i 1 §. Paragrafen motsvarar delvis 3 kap. 8 § dataskyddslagen, som delvis motsvarar 20 § PUL. Övervägandena finns i avsnitt 4.7.5.
11 § Fristående skolor får behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffpro- cessuella tvångsmedel
505
Författningskommentar |
SOU 2017:49 |
1.i elevhälsan i löpande text om det är absolut nödvändigt för ändamålet med behandlingen, och
2.i skriftlig dokumentation som ska föras enligt 5 kap. 24 § om det är absolut nödvändigt för ändamålet med behandlingen.
Paragrafen är ny. Paragrafen möjliggör för viss verksamhet i fristå- ende skolor att behandla uppgifter om fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångs- medel. Övervägandena finns i avsnitt 4.8.4.
Möjligheten att behandla dessa uppgifter är begränsade till elev- hälsan samt lärare, rektorer och huvudmän som har en skyldighet att dokumentera vissa uppgifter skriftligt enligt 5 kap. 24 § skollagen. Förutom att uppgifterna endast får behandlas i löpande text krävs att det är absolut nödvändigt för ändamålet med behandlingen för att en uppgift om t.ex. fällande domar i brottmål ska få behandlas.
Kravet på att behandlingen ska vara absolut nödvändig för ända- målet med behandlingen innebär att bestämmelsen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Det innebär också ett krav på att behovet av att behandla personuppgifter som rör t.ex. fällande domar i brott- mål i det enskilda fallet ska prövas noga mot ändamålet med behand- lingen.
I vilka skolformer som det förekommer fristående skolor framgår av definitionen i 1 kap. 3 § skollagen.
506
Särskilt yttrande
av experten Ulrika Harnesk
Enligt kommittédirektivet (dir. 2016:63) är syftet med utredningen att den kompletterande lagstiftningen ska möjliggöra en ändamåls- enlig behandling av personuppgifter inom utbildningsområdet sam- tidigt som den skyddar den enskildes fri- och rättigheter. Med anled- ning av vad som presenteras i betänkandet anser jag att det finns skäl att befara att den rättsliga reglering av personuppgiftsbehandlingen som kommer att tillämpas på området i vissa fall riskerar att inte uppnå dessa syften. Jag bedömer för det första att det finns en risk för att behandling av personuppgifter inom delar av skolan, behand- ling som det kan finnas ett väsentligt behov av och som det ur ett dataskyddsperspektiv inte finns anledning att förhindra, inte kom- mer att ha det rättsliga stöd som krävs enligt dataskyddsförordningen och därigenom bli olaglig. För det andra anser jag att den behandling av personuppgifter som i dag utförs inom skolans område i många fall måste anses utgöra ett sådant betydande intrång i en enskilds person- liga integritet som avses i 2 kap. 6 § 2 st. regeringsformen. Begräns- ningar får då göras endast i lag och efter att ha vägt behovet av be- handlingen av personuppgifter mot det intrång den innebär för den enskilde eleven. Utredningen föreslår dock inte någon reglering i lag som uppfyller regeringsformens krav.
507
Särskilt yttrande |
SOU 2017:49 |
Rättslig grund
För att vara laglig måste en behandling av uppgifter uppfylla åtmin- stone ett av villkoren i dataskyddsförordningens artikel 6.1. Finner den personuppgiftsansvarige inget stöd i någon av dessa punkter kan behandlingen inte utföras. I betänkandet anges att den som vill be- handla personuppgifter inom utbildningsområdet i allmänhet kom- mer att kunna använda sig av ena villkoret i artikel 6.1 e – behand- lingen är nödvändig för att utföra en uppgift av allmänt intresse. Att anordnande och bedrivande av utbildning är att anse som en uppgift av allmänt intresse finns ingen anledning att ifrågasätta. Redan i nu- varande praxis anses personuppgiftsbehandling inom området kunna utföras med stöd av personuppgiftslagens 10 § d) – behandlingen är nödvändig för att en arbetsuppgift av allmänt intresse ska kunna ut- föras. Den rättsliga grund som i huvudsak kommer att bli aktuell vid behandling av personuppgifter inom utbildningsområdet är således likalydande såväl i nuvarande som i kommande dataskyddsreglering.
En avgörande nyhet i dataskyddsförordningen är emellertid att det till skillnad från i dataskyddsdirektivet ställs krav på de rättsliga grun- derna (artikel 6.3). För att en behandling av personuppgifter ska vara laglig krävs inte enbart att den är nödvändig för att utföra en uppgift av allmänt intresse, denna uppgift måste dessutom vara fastställd i nationell rätt. Den nationella rätten ska vidare uppfylla ett mål av all- mänt intresse och vara proportionerlig mot det legitima mål som eftersträvas. I skäl 41 anges även att en rättslig grund bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den. Genom denna förändring ställs således nya och betydande krav på hur den rättsliga grunden ska vara utformad för att den ska kunna läggas till grund för behandling av personuppgifter.
Utredningen gör bedömningen att för den skollagsreglerade ut- bildningsverksamheten finns det inget behov av en särskild reglering för att verksamheternas huvudmän ska kunna tillämpa den rättsliga grunden i artikel 6.1 e. Verksamhetens uppdrag och åligganden fram- går av skollagen och tillhörande föreskrifter. De åtgärder som huvud- männen vidtar i syfte att utföra dessa uppdrag och åligganden har i sig en legal grund som offentliggjorts genom tydliga, precisa och förut- sägbara regler. Uppgiften av allmänt intresse, det vill säga utbildning och annan pedagogisk verksamhet, är således enligt utredningens
508
SOU 2017:49 |
Särskilt yttrande |
mening fastställd i nationell rätt genom skollagen med anslutande föreskrifter.
Uppgiften av allmänt intresse, som framgår av skollagen och an- slutande föreskrifter, måste för att uppfylla kraven i dataskyddsför- ordningen således vara tydlig, precis och dess tillämpning förutsäg- bar för den enskilde. Denna bedömning kan enligt min mening inte göras generellt för uppgiften utbildning och pedagogisk verksamhet, utan måste analyseras utifrån den konkreta verksamhet som skolorna bedriver. Varje personuppgiftsansvarig måste vid varje enskild be- handling av personuppgifter finna en rättslig grund, i detta fall att behandlingen ska vara nödvändig för att utföra en uppgift av allmänt intresse. Denna uppgift måste dessutom vara fastställd i den natio- nella lagstiftningen på ett tillräckligt tydligt, precist och förutsägbart sätt. I betänkandet saknas en tillräckligt ingående analys av detta slag, vilket innebär att det är oklart i vilken mån den reglering som finns i dag är sådan att den kan utgöra grund för behandling av person- uppgifter i skolan när dataskyddsförordningen träder ikraft.
Det finns därför en risk att behandling av personuppgifter inom delar av den skollagsreglerade utbildningsverksamheten, behandling som det kan finnas ett väsentligt behov av och som det ur ett data- skyddsperspektiv inte finns anledning att förhindra, kan komma att bli olaglig endast av den anledningen att det inte finns någon i natio- nell rätt tillräckligt tydlig, precis och förutsägbar fastställd uppgift av allmänt intresse. Bedömningen utredningen gör, att den lagstiftning som ligger till grund för verksamheten, skollagen och anslutande föreskrifter, i sig är tillräckligt tydlig, precis och förutsägbar för att kunna ligga till grund för behandling av personuppgifter är enligt min mening något förenklad. Utredningen anger vidare att behandling av personuppgifter som på detta sätt inte kan få stöd i den lagstiftning som reglerar verksamheten, och som inte heller kan finna stöd i någon annan rättslig grund, inte ska anses laglig enligt dataskydds- förordningen. Denna slutsats kan inte anses uppfylla utredningens uppdrag att möjliggöra en ändamålsenlig behandling av personupp- gifter inom denna del av utbildningsområdet.
509
Särskilt yttrande |
SOU 2017:49 |
Behov av särskild lagstiftning inom den skollagsreglerade verksamheten
Enligt 2 kap. 6 § 2 st. regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integri- teten, om det sker utan samtycke och innebär övervakning eller kart- läggning av den enskildes personliga förhållanden. Denna rättighet är dock inte absolut utan kan enligt 2 kap.
Under de senaste åren har det skett en betydande ökning av den digitala behandlingen av personuppgifter på skolans område. Skolan har fått ökade krav på sig att dokumentera uppgifter om elever, t.ex. omdömen i individuella utvecklingsplaner, och använder dessutom alltmer digitala system i sin verksamhet, både administrativa
Personuppgiftsbehandlingen inom den skollagsreglerade verksam- heten sker till allra största del utan den enskildes samtycke. De ökade kraven på skolor att dokumentera integritetskänsliga uppgifter om elever och skolornas omfattande användning av digitala verktyg för att uppfylla dessa krav innebär en risk för allvarliga intrång i den per- sonliga integriteten. Är då detta intrång så pass allvarligt att det faller in under grundlagsskyddet i 2 kap. 6 § 2 st. regeringsformen? Enligt förarbetena ska denna bestämmelse förstås så att den omfattar före- teelser som kan bedömas utifrån såväl kvantitativa som kvalitativa kriterier (prop. 2009/10:80 s. 183).Barn anses allmänt som särskilt viktiga att skydda mot otillbörliga intrång i den personliga integri- teten. De har dels sämre möjligheter att själva freda sig mot integri- tetsintrång, dels riskerar det som registreras om elever i unga år att
510
SOU 2017:49 |
Särskilt yttrande |
följa dem under hela livet. De uppgifter som behandlas inom skolan är numera till en betydande del inte uppgifter av administrativ karak- tär, som t.ex. uppgifter om namn, adress etc., utan uppgifter om kun- skapsmässig och social utveckling. Sådana uppgifter är till sin karaktär särskilt integritetskänsliga. Att uppgifterna rör barn och i många fall kommer att följa barnet under en stor del av dess uppväxt gör upp- gifterna extra känsliga ur ett integritetsperspektiv.
Enligt min mening medför den nu rådande digitaliseringen inom skollagsreglerad verksamhet att skolans behandling av personuppgif- ter i många fall måste anses som ett sådant betydande intrång i en en- skilds personliga integritet som avses i 2 kap. 6 § 2 st. regeringsfor- men. Begränsningar får då göras endast i lag och efter att ha vägt behovet av behandlingen av personuppgifter mot det intrång den innebär för den enskilde eleven. Utredningen gör bedömningen att lagstiftaren, genom regleringen av verksamheten i skollag och anslu- tande författningar, gjort en sådan avvägning. En sådan bedömning kan dock inte anses uppfylla kraven i regeringsformen eftersom dessa författningar inte reglerar behandlingen av personuppgifter. På detta område kan utredningen således inte anses uppfylla sitt uppdrag att skydda den enskildes fri- och rättigheter.
511
Kommittédirektiv 2016:63
Personuppgiftsbehandling inom utbildningsområdet
Beslut vid regeringssammanträde den 30 juni 2016.
Sammanfattning
Under våren 2016 beslutades inom EU en förordning som är en ny generell reglering för personuppgiftsbehandling inom unionen. Data- skyddsutredningen (Ju 2016:04) har i uppdrag att föreslå anpassning- ar och kompletterande författningsbestämmelser på generell svensk nivå. En särskild utredare får nu i uppdrag att föreslå kompletterande regleringar för behandling av personuppgifter inom utbildningsom- rådet, med undantag för forskningsverksamhet. Syftet är att regler- ingen ska möjliggöra en ändamålsenlig behandling av personuppgif- ter inom utbildningsområdet samtidigt som den skyddar den enskil- des fri- och rättigheter.
Utredaren ska bl.a.
undersöka vilken reglering av personuppgiftsbehandling inom ut- bildningsområdet som är möjlig och kan behövas utöver data- skyddsförordningen och den generella reglering som Dataskydds- utredningen kommer att föreslå,
analysera om det utöver dessa regleringar finns ett behov av kom- pletterande regleringar för behandling av känsliga personuppgif- ter inom utbildningsområdet,
analysera behovet av reglering för vissa register inom utbildnings- området, och
lämna de författningsförslag som behövs. Uppdraget ska redovisas senast den 1 juni 2017.
513
Bilaga |
SOU 2017:49 |
Nuvarande regleringar av betydelse för behandling av personuppgifter inom utbildningsområdet
EU:s dataskyddsdirektiv och personuppgiftslagen
Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgifts- lagen (1998:204), förkortad PUL. Bestämmelserna i PUL har till syf- te att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.
PUL följer i princip dataskyddsdirektivets struktur och innehåller liksom direktivet bestämmelser om bl.a. personuppgiftsansvar, grund- läggande krav för behandling av personuppgifter, i vilka fall behand- ling av personuppgifter är tillåten, behandling av känsliga personupp- gifter, information till den registrerade, skyldighet för den person- uppgiftsansvarige att rätta, blockera eller utplåna personuppgifter samt om skadestånd och straff.
PUL är tillämplig även utanför
Regeringsformen och kravet på lagreglering för viss personuppgiftsbehandling
Enligt regeringsformen (RF) är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av
514
SOU 2017:49 |
Bilaga |
den enskildes personliga förhållanden (2 kap. 6 §). Begränsningar av denna fri- och rättighet får enligt 2 kap. 20 § första stycket under vissa förutsättningar göras genom lag.
EU:s dataskyddsförordning
Europaparlamentet och rådet har under våren 2016 antagit en ny för- ordning, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning). Förordningen, nedan kallad dataskyddsförord- ningen, ska tillämpas från och med den 25 maj 2018. Det huvudsak- liga syftet med förordningen är att ytterligare harmonisera och effek- tivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina person- uppgifter. Dataskyddsförordningen är direkt tillämplig i medlems- staterna. Den både förutsätter och möjliggör kompletterande natio- nella bestämmelser av olika slag. Det finns ett förhållandevis stort utrymme att behålla eller införa särregleringar för sådan personupp- giftsbehandling som är nödvändig för att den personuppgiftsansva- rige ska kunna uppfylla en rättslig skyldighet, utföra en arbetsuppgift av allmänt intresse eller behandla uppgifter i samband med myndig- hetsutövning.
Dataskyddsförordningen kommer att utgöra grunden för generell personuppgiftsbehandling inom EU. Genom förordningen upphävs det nu gällande dataskyddsdirektivet. Direktivet ska upphöra att gälla med verkan från den 25 maj 2018. Detta innebär bl.a. att personupp- giftslagen måste upphävas.
En särskild utredare fick den 25 februari 2016 regeringens uppdrag att bl.a. föreslå de anpassningar och kompletterande författnings- bestämmelser på generell nivå som dataskyddsförordningen ger anled- ning till. I uppdraget ingår att lämna förslag till upphävande av den nuvarande generella personuppgiftsregleringen (dir. 2016:15). Utred- ningen har tagit sig namnet Dataskyddsutredningen (Ju 2016:04). I utredningens uppdrag ingår bl.a. att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myn- digheters och andra organs behandling av personuppgifter och över-
515
Bilaga |
SOU 2017:49 |
väga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter som bör finnas i den generella regleringen. Det ingår också i utredningens uppdrag att bl.a. analysera vilka kompletterande bestämmelser om myndigheters bevarande av allmänna handlingar, användning av uppgifter i dessa och överläm- nande av arkivmaterial till en arkivmyndighet som behövs i den gene- rella regleringen samt analysera vilka övriga kompletterande bestäm- melser om behandling av personuppgifter för arkivering i all- mänhetens intresse samt för vetenskapliga eller historiska forsknings- ändamål eller för statistiska ändamål som bör finnas i den generella regleringen. I uppdraget ingår inte att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som bl.a. finns i de särskilda registerförfattningarna.
När det gäller utbildningsområdet kommer regeringen att besluta att uppdra åt en särskild utredare att föreslå en kompletterande reg- lering av behandling av personuppgifter för forskningsändamål. Syf- tet är att regleringen ska möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri- och rättigheter.
Uppdraget att undersöka vilken nationell kompletterande reglering av behandlingen av personuppgifter som kan behövas på utbildningsområdet
Vad är utbildningsområdet?
Utbildningsområdet omfattar bl.a. skolväsendet, den verksamhet som bedrivs av universitet och högskolor, yrkeshögskolan och folk- bildningen.
Skolväsendet omfattar skolformerna förskola, förskoleklass, grundskola, grundsärskola, specialskola, sameskola, gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning och särskild utbild- ning för vuxna. I skolväsendet ingår också fritidshem som komplet- terar utbildningen i förskoleklassen, grundskolan, grundsärskolan, specialskolan, sameskolan och vissa särskilda utbildningsformer (1 kap. 1 § skollagen [2010:800]). Kommuner är huvudmän för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning, särskild utbildning för vuxna och fritidshem. Staten är huvudman för specialskola och
516
SOU 2017:49 |
Bilaga |
sameskola och för förskoleklass och fritidshem vid en skolenhet inom dessa skolformer. I viss utsträckning får ett landsting vara huvudman för gymnasieskola, gymnasiesärskola, kommunal vuxen- utbildning och särskild utbildning för vuxna. Efter ansökan som prövas av Statens skolinspektion, eller i vissa fall av kommunen där utbildningen ska bedrivas, får en enskild godkännas som huvudman för förskola, förskoleklass, grundskola, grundsärskola, gymnasie- skola, gymnasiesärskola och fritidshem. Det finns också vissa möj- ligheter för huvudmän inom skolväsendet att bl.a. lägga ut vissa upp- gifter på entreprenad till enskilda fysiska och juridiska personer (23 kap. skollagen).
Vid universitet och högskolor ges eftergymnasial utbildning på grundnivå, avancerad nivå och forskarnivå. Examina utfärdas på grundnivå, avancerad nivå och forskarnivå. I vissa fall krävs tillstånd för att utfärda examina. De flesta universitet och högskolor har sta- ten som huvudman. Tillstånd att utfärda examina kan också ges till enskilda utbildningsanordnare. Universitetskanslersämbetet prövar frågor om examenstillstånd.
Inom yrkeshögskolan ges eftergymnasiala yrkesutbildningar. Utbildning inom yrkeshögskolan får anordnas av statliga universitet och högskolor, kommuner, landsting och enskilda fysiska eller juri- diska personer. En anordnare av utbildning får ansöka om att utbild- ningen ska ingå i yrkeshögskolan och beslut fattas av Myndigheten för yrkeshögskolan. En utbildning inom yrkeshögskolan ska svara mot behov av kvalificerad arbetskraft i arbetslivet som inte tillgodo- ses genom en utbildning enligt högskolelagen (1992:1434) eller en utbildning som kan leda fram till en examen enligt lagen (1993:792) om tillstånd att utfärda vissa examina. En anordnare av utbildning inom yrkeshögskolan får efter anmälan bedriva sådan utbildning även som uppdragsutbildning.
Till folkbildningen räknas bl.a. folkhögskolor och studieförbund. De flesta folkhögskolor drivs av folkrörelser eller andra organisatio- ner. Övriga folkhögskolor ägs och drivs av regioner, landsting eller kommuner. Studieförbunden är ideella organisationer som driver bl.a. studiecirkelverksamhet och kulturverksamhet.
Till utbildningsområdet hör även studiestödet. Studiestödet består framför allt av ekonomiskt stöd till enskilda i form av bl.a. studiehjälp och studiemedel.
517
Bilaga |
SOU 2017:49 |
Finns det behov av kompletterande regleringar på utbildningsområdet?
När myndigheter och enskilda behandlar personuppgifter inom ut- bildningsområdet sker det huvudsakligen med stöd av PUL. När dataskyddsförordningen träder i kraft kommer möjliga grunder för behandling av personuppgifter huvudsakligen att vara antingen att den registrerade har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål (arti- kel 6.1 a i dataskyddsförordningen) eller att behandlingen är nöd- vändig för att fullföra en rättslig skyldighet (artikel 6.1 c) eller för att utföra en arbetsuppgift av allmänt intresse eller i samband med myn- dighetsutövning (artikel 6.1 e).
För att säkerställa att ett samtycke lämnas frivilligt bör enligt beaktandesats 43 i dataskyddsförordningen samtycke inte utgöra en giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansva- rige är en offentlig myndighet och det därför är osannolikt att sam- tycket lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
Medlemsländerna har enligt artikel 6.2 i dataskyddsförordningen rätt att i nationell rätt behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen för att efterleva artikel 6.1 (c) och (e) genom att närmare fastställa speci- fika krav för uppgiftsbehandlingen och andra åtgärder för att säker- ställa en laglig och rättvis behandling.
Enligt artikel 6.3 ska grunden för den behandling av personupp- gifter som avses i artikel 6.1 c och 6.1 e fastställas i enlighet med unionsrätten eller den nationella rätten som den personuppgifts- ansvarige omfattas av. Denna rättsliga grund kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i data- skyddsförordningen, bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling av uppgifter, vilken typ av uppgifter som ska behandlas, berörda registrerade, till vilka uppgif- terna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
518
SOU 2017:49 |
Bilaga |
Den nationella lagstiftningen måste uppfylla ett mål av allmänt in- tresse och vara proportionell mot det legitima mål som eftersträvas.
Det behöver analyseras vad dataskyddsförordningens krav i den- na del innebär i fråga om nationell författningsreglering. Data- skyddsutredningen ska analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling och lämna behövliga och lämpliga författnings- förslag. Som nämnts tidigare har regeringen beslutat att uppdra åt en särskild utredare att föreslå en kompletterande reglering av behand- ling av personuppgifter för forskningsändamål. När det gäller be- handling av personuppgifter som utförs av myndigheter, kommuner, landsting och enskilda inom utbildningsområdet i övrigt behöver det analyseras om en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutred- ningen kommer att föreslå, för att säkerställa att nödvändig behand- ling av personuppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyd- das.
Utredaren ska därför
undersöka vilken reglering på nationell nivå av personuppgifts- behandling inom utbildningsområdet, med undantag från forsk- ningsverksamhet, som är möjlig och kan behövas utöver data- skyddsförordningen och den generella reglering som Dataskydds- utredningen kommer att föreslå, och
lämna de författningsförslag som behövs.
Finns det behov av särskild reglering av behandling av känsliga personuppgifter inom utbildningsområdet?
Liksom i det nu gällande dataskyddsdirektivet och 13 § PUL finns det i artikel 9.1 i dataskyddsförordningen ett principiellt förbud mot att behandla särskilda kategorier av personuppgifter. I PUL används uttrycket känsliga personuppgifter för sådana uppgifter. Med särskilda kategorier av personuppgifter avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening liksom be- handling av genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en person eller uppgifter som rör hälsa, sexual-
519
Bilaga |
SOU 2017:49 |
liv eller sexuell läggning. Förbudet är förenat med en rad viktiga un- dantag som fastställs i artikel
I direktiven till Dataskyddsutredningen konstateras att möjlig- heten att göra undantag från förbudet mot att behandla känsliga personuppgifter i svensk rätt i stor utsträckning kommer att utnyttjas genom sektorsspecifik lagstiftning men att utgångspunkten bör vara att det även i fortsättningen kommer att behövas vissa bestämmelser om undantag från förbudet av det slag som i dag finns i personupp- giftslagen och personuppgiftsförordningen (1998:1191). Dataskydds- utredningen ska därför överväga vilka kompletterande bestämmel- ser om undantag från förbudet att behandla känsliga personuppgif- ter som bör finnas i den generella regleringen som utredaren ska lämna förslag till.
Inom utbildningsområdet är det i vissa fall nödvändigt att be- handla s.k. känsliga personuppgifter. Inom skolväsendet kan det exempelvis handla om sådana uppgifter i samband med modersmåls- undervisning eller om elever i sameskolan som anses avslöja etniskt ursprung eller uppgifter som rör hälsa, t.ex. inom elevhälsan eller i de utredningar som ska göras inför antagning till specialskolan och grundsärskolan och i vissa fall till gymnasiesärskolan. Det behöver därför analyseras om det finns behov av kompletterande bestämmel-
520
SOU 2017:49 |
Bilaga |
ser som reglerar behandling av känsliga personuppgifter inom utbild- ningsområdet utöver den generella reglering som Dataskyddsutred- ningen kommer att föreslå. Eftersom behandling av känsliga person- uppgifter förekommer hos flera olika myndigheter och enskilda be- höver det i detta sammanhang också övervägas om en sådan reglering i så fall behöver finnas i en eller flera olika registerförfattningar.
Utredaren ska därför
analysera om det utöver dataskyddförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå finns ett behov av kompletterande regleringar för behandling av känsliga personuppgifter inom utbildningsområdet, och
lämna de författningsförslag som behövs.
Uppdraget att analysera behovet av reglering för vissa register
När myndigheter och enskilda behandlar personuppgifter inom ut- bildningsområdet sker det huvudsakligen med stöd av PUL. Inom området finns det också några registerförfattningar. Studiestödsdata- lagen (2009:287) tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens (CSN) studiestödsverksamhet. Lagen kompletteras av studiestödsdataförordningen (2009:321). Förord- ningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor reglerar bl.a. register som förs av universitet och hög- skolor. Förordningen (2011:268) om lärar- och förskollärarregister reglerar det register Statens skolverk ska föra över legitimerade och tidigare legitimerade lärare och förskollärare. Förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar reglerar det register kommunerna ska föra över de ungdomar som omfattas av aktivitetsansvaret.
Behandling av personuppgifter sker vidare i några register som inte regleras av någon särskild registerförfattning. I dessa fall sker således behandlingen av personuppgifter med stöd av PUL. Univer- sitets- och högskolerådet administrerar betygsdatabasen BEDA där uppgifter om examensbevis från gymnasieskolan registreras. Myn- digheten för yrkeshögskolan för register över uppgifter om de stu- derande i utbildningarna inom yrkeshögskolan och i de utbildningar som bedrivs som uppdragsutbildningar samt de studerandes studie- resultat, betyg, examina och utbildningsbevis. Dessutom finns det ett
521
Bilaga |
SOU 2017:49 |
centralt register över deltagare i studiecirklar och annan folkbild- ningsverksamhet hos studieförbunden.
Behandling av personuppgifter på studiestödsområdet
Studiestödsdatalagen tillämpas vid behandling av personuppgifter i CSN:s studiestödsverksamhet. Den innehåller bl.a. bestämmelser om förhållandet till PUL, ändamålet med behandlingen av person- uppgifter enligt lagen, begränsningar i rätten att behandla person- uppgifter, sökbegrepp som får användas, direktåtkomst och gallring av uppgifter. I den mån PUL innehåller bestämmelser om behand- ling av personuppgifter som saknar motsvarighet i studiestödsdata- lagen ska PUL tillämpas vid behandling av personuppgifter i CSN:s studiestödsverksamhet. I studiestödsdataförordningen finns bestäm- melser som kompletterar lagens bestämmelser.
När dataskyddsförordningen träder i kraft kommer PUL att upp- hävas.
Utredaren ska därför
se över vilka anpassningar av studiestödsdatalagen och studie- stödsdataförordningen som behövs med anledning av dataskydds- förordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredaren kan komma att lämna, och
lämna de författningsförslag som behövs.
Register som rör universitet och högskolor
Förordningen om redovisning av studier m.m. vid universitet och högskolor innehåller bestämmelser om registrering av uppgifter om studier inom utbildning på grundnivå, avancerad nivå och forskar- nivå vid statliga universitet och högskolor, rapportering av uppgifter till Statistiska centralbyrån (SCB) om studenter för officiell statistik, framställning vid SCB av personalstatistik över högskolornas per- sonal och registrering av uppgifter i antagningsregistret vid Uni- versitets- och högskolerådet.
Förordningen gäller utöver PUL. Bestämmelserna i PUL om rät- telse och skadestånd gäller vid behandling av personuppgifter enligt
522
SOU 2017:49 |
Bilaga |
förordningen. När dataskyddsförordningen träder i kraft kommer PUL att upphävas.
Utredaren ska därför
se över vilka ändringar i förordningen om redovisning av studier m.m. vid universitets- och högskolor som behöver göras med anledning av dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredaren kan komma att lämna, och
lämna de författningsförslag som behövs.
Betygsdatabasen BEDA
Dåvarande Verket för högskoleservice fick 1996 i uppdrag att skapa och förvalta ett system för inhämtning, kontroll och lagring av pre- sumtiva studenters slutbetyg från gymnasieskolan. Detta blev den nationella betygsdatabasen (BEDA). Härigenom skapades ett enkelt sätt att föra över slutbetyg från gymnasieskolor till SCB och högskolornas antagningssystem. Databasen administreras av Univer- sitets- och högskolerådet (UHR).
För att fylla det statliga behovet av uppföljning och statistik när det gäller skolväsendet finns det bestämmelser om uppgiftsskyldighet för skolhuvudmännen. Nästan alla skolhuvudmän har kommit att, när det gäller vissa uppgifter, fullgöra sin uppgiftsskyldighet enligt bestämmelserna genom att skicka in uppgifter till BEDA. Dessutom har kommuner använt sig av uppgifter ur BEDA för att på ett enkelt sätt få uppgift om ungdomar som har gymnasieexamen och därmed inte omfattas av kommunernas aktivitetsansvar för ungdomar.
Det är frivilligt för en gymnasieskola att ansluta sig till BEDA men 95 procent av gymnasieskolorna har anslutit sig och
523
Bilaga |
SOU 2017:49 |
Förutom en bestämmelse i förordningen om register och doku- mentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar, om utlämnande av uppgifter från BEDA till kommuner, finns det ingen särskild författning som reglerar behandlingen av personuppgifter i BEDA. Behandlingen av personuppgifter i regist- ret regleras således av PUL. När dataskyddsförordningen träder i kraft kommer PUL att upphävas.
Utredaren ska därför
analysera om det behövs något författningsstöd, utöver data- skyddsförordningen, den generella reglering som Dataskydds- utredningen kommer att föreslå och de övriga förslag utredaren kan komma att lämna, för att personuppgifter ska kunna behand- las i betygsdatabasen BEDA även fortsättningsvis, och
lämna de författningsförslag som behövs.
Statens skolverks register över legitimerade lärare och förskollärare
Enligt förordningen om lärar- och förskollärarregister ska Statens skolverk föra ett register över legitimerade och tidigare legitimerade lärare och förskollärare. PUL gäller vid behandling av personupp- gifter i registret om inte annat följer av förordningen. I förordningen regleras vilka ändamål uppgifterna i registret får behandlas för, vilka uppgifter registret får innehålla, utlämnande av uppgifter från regist- ret och information till den registrerade om registret.
När dataskyddsförordningen träder i kraft kommer PUL att upp- hävas.
Utredaren ska därför
analysera vilka ändringar i förordningen om lärar- och förskol- lärarregister som behöver göras med anledning av dataskyddsför- ordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredaren kan komma att lämna, och
lämna de författningsförslag som behövs.
524
SOU 2017:49 |
Bilaga |
Behandlingen av personuppgifter hos Myndigheten för yrkeshögskolan
Enligt förordningen (2011:1162) med instruktion för Myndigheten för yrkeshögskolan ska myndigheten svara för ett register över upp- gifter om de studerande i utbildningarna inom yrkeshögskolan och i de utbildningar som bedrivs som uppdragsutbildningar samt de stu- derandes studieresultat, betyg, examina och utbildningsbevis (2 § 5). Myndigheten ska också pröva frågor om stöd enligt förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar samt svara för ett register över uppgifter om de stu- derande i utbildningarna och de studerandes studieresultat, betyg, intyg och utbildningsbevis (2 § 6). Myndigheten är personuppgifts- ansvarig för behandlingen av personuppgifter i sin verksamhet (9 § 4). Någon särskild författning som reglerar behandlingen av person- uppgifter i de register som myndigheten ska svara för finns inte. Behandlingen av personuppgifter regleras således av PUL. När data- skyddsförordningen träder i kraft kommer PUL att upphävas.
Utredaren ska därför
analysera om det behövs något författningsstöd utöver data- skyddsförordningen, den generella reglering som Dataskydds- utredningen kommer att föreslå och de övriga förslag utredaren kan komma att lämna för att personuppgifter ska kunna behandlas även fortsättningsvis i de register som Myndigheten för yrkes- högskolan svarar för, och
lämna de författningsförslag som behövs.
Kommunernas register över de ungdomar i kommunen som omfattas av aktivitetsansvaret för ungdomar
En hemkommun ska enligt skollagen löpande under året hålla sig informerad om hur de ungdomar i kommunen är sysselsatta som har fullgjort sin skolplikt men inte har fyllt 20 år och inte genomför eller har fullföljt utbildning på nationella program i gymnasieskola eller gymnasiesärskola eller motsvarande utbildning. Ansvaret benämns kommunernas aktivitetsansvar för ungdomar. Hemkommunen har inom ramen för ansvaret uppgiften att erbjuda de ungdomar som berörs lämpliga individuella åtgärder. Åtgärderna ska i första hand syfta till att motivera den enskilde att påbörja eller återuppta en ut-
525
Bilaga |
SOU 2017:49 |
bildning. Kommunen ska dokumentera sina insatser på lämpligt sätt. Kommunen ska också föra ett register över de ungdomar som om- fattas av ansvaret. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om den dokumentation och den behandling av personuppgifter som är nödvändig för att kommunen ska kunna fullgöra sina skyldigheter (29 kap. 9 §). Regeringen har meddelat sådana föreskrifter i förordningen om register och doku- mentation vid fullgörandet av kommunernas aktivitetsansvar för ung- domar. Förordningen innehåller bl.a. bestämmelser om förhållandet till personuppgiftslagen, ändamålet med behandlingen av personupp- gifter, vilka uppgifter som får behandlas och om uppgiftsskyldighet. När dataskyddsförordningen träder i kraft ska PUL upphävas.
Utredaren ska därför
analysera vilka ändringar i förordningen om register och doku- mentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar som behöver göras med anledning av dataskyddsför- ordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredaren kan komma att lämna, och
lämna de författningsförslag som behövs.
Registret över deltagare i studieförbundens verksamhet
Genom 7 b § lagen (1976:1046) om överlämnande av förvaltnings- uppgifter inom Utbildningsdepartementets verksamhetsområde har Folkbildningsrådet (FBR) anförtrotts förvaltningsuppgiften att pröva frågor om fördelning av statsbidrag mellan folkhögskolor, studie- förbund och studerandeorganisationer inom folkhögskolan. Fördel- ningen av statsbidrag till folkbildningen regleras i förordningen (2015:218) om statsbidrag till folkbildningen. Enligt förordningen ska FBR kontinuerligt följa upp och utvärdera verksamheten i för- hållande till de syften med folkbildningen som anges i förordningen och de villkor som föreskrivs för att statsbidrag ska lämnas. FBR ska också i enlighet med de riktlinjer som regeringen meddelar lämna regeringen sådana sakuppgifter om verksamheten och sådan verksam- hetsredovisning som behövs för uppföljning och utvärdering. Folk- bildningsrådet ska redovisa hur statsbidraget har använts för studie- förbundens verksamhet.
526
SOU 2017:49 |
Bilaga |
Detta har lett till att ett centralt register över deltagare i studie- cirklar och annan folkbildningsverksamhet hos studieförbunden har skapats. FBR är personuppgiftsansvarigt för registret och SCB är personuppgiftsbiträde och förvaltar registret. Ändamålet med detta centrala register är dels att kunna presentera den statistik och göra den återrapportering som FBR är skyldigt att göra, dels att skapa underlag för fördelningen av statsbidrag och att med detta som underlag göra det möjligt att tillföra folkbildningsverksamheten i öv- rig offentlig utbildnings- och kulturstatistik.
Studieförbunden rapporterar årligen in personuppgifter för del- tagarna till SCB, som förvaltar registret. SCB sammanställer aggre- gerade avidentifierade data som med sekretessförbehåll används av FBR. FBR har inte tillgång till personuppgifter utan personuppgifter och kod för att knyta uppgift till en enskild individ finns hos SCB. Till registret rapporteras ca 2,4 miljoner deltagare per år. År 2013 var det fråga om 914 763 unika individer. I registret kompletteras upp- gifter om bl.a. namn och personnummer med uppgift om utländsk eller svensk bakgrund, världsdelskod samt ålder och utbildningsnivå. Dessa uppgifter tillförs av SCB genom att uppgifterna hämtas ur register över rikets totalbefolkning (RTG) och utbildningsregistret. Någon särskild registerförfattning som reglerar behandlingen av per- sonuppgifter i registret finns inte. Datainspektionen har en i skri- velse till regeringen konstaterat att det är fråga om ett mycket omfat- tande register och har påtalat att myndigheten anser att ett centralt register av denna omfattning och detta slag behöver regleras i en sär- skild registerförfattning. Bedömningen av om registret behöver reg- leras i en särskild registerförfattning behöver göras mot bakgrund av att PUL kommer att upphävas när dataskyddsförordningen träder i kraft. Bestämmelserna i en eventuell registerförfattning behöver också vara anpassade till bestämmelserna i dataskyddsförordningen och till den generella reglering som Dataskyddsutredningen kommer att föreslå och de regleringar på utbildningsområdet som utredaren kan komma att föreslå.
Utredaren ska därför
analysera om det behövs något författningsstöd utöver data- skyddsförordningen, den generella reglering som Dataskydds- utredningen kommer att föreslå och de övriga förslag utredaren kan komma att lämna för att personuppgifter ska kunna behandlas
527
Bilaga |
SOU 2017:49 |
i registret över deltagare i studiecirklar och annan folkbildnings- verksamhet hos studieförbunden, och
lämna de författningsförslag som behövs.
Övriga frågor
Utredaren är oförhindrad att inom de ramar som angetts för upp- draget ta upp och belysa även andra frågeställningar som är relevanta för uppdraget. Om utredaren kommer fram till att det krävs eller är lämpligt med kompletterande eller ändrade nationella bestämmelser i andra delar än de som ska utredas särskilt, ska sådana föreslås.
Konsekvensbeskrivningar
Utredaren ska redogöra för ekonomiska och andra konsekvenser av sina förslag. Utöver vad som följer enligt
Samråd och redovisning av uppdraget
Vid anpassningen av svensk rätt till den nya
Under genomförandet av uppdraget ska utredaren, i den ut- sträckning som bedöms lämpligt, inhämta upplysningar från CSN, Statens skolverk, Statens skolinspektion, Specialpedagogiska skol- myndigheten, Sameskolstyrelsen, Myndigheten för yrkeshögsko- lan, Universitets- och högskolerådet, Universitetskanslersämbetet, Datainspektionen, SCB, Sveriges kommuner och landsting, Folk- bildningsrådet, Sveriges Universitets- och högskoleförbund, Ladok-
528
SOU 2017:49 |
Bilaga |
konsortiet och andra myndigheter och organsationer som är rele- vanta för uppdraget.
Uppdraget ska redovisas senast den 1 juni 2017.
(Utbildningsdepartementet)
529
Statens offentliga utredningar 2017
Kronologisk förteckning
1.För Sveriges landsbygder
–en sammanhållen politik för arbete, hållbar tillväxt och välfärd. N.
2.Kraftsamling för framtidens energi. M.
3.Karens för statsråd och statssekreterare. Fi.
4.För en god och jämlik hälsa. En utveckling av det folkhälsopolitiska ramverket. S.
5.Svensk social trygghet i en globaliserad värld. Del 1 och 2. S.
6.Se barnet! Ju.
7.Straffprocessens ramar och domstolens beslutsunderlag
i brottmål – en bättre hantering av stora mål. Ju.
8.Kunskapsläget på kärnavfallsområdet 2017. Kärnavfallet – en fråga i ständig förändring. M.
9.Det handlar om oss.
–unga som varken arbetar eller studerar. U.
10.Ny ordning för att främja god sed och hantera oredlighet i forskning. U.
11.Vägskatt. Volym 1 och 2. Fi.
12.Att ta emot människor på flykt. Sverige hösten 2015. Ju.
13.Finansiering av infrastruktur med privat kapital? Fi.
14.Migrationsärenden
vid utlandsmyndigheterna. Ju.
15.Kvalitet och säkerhet
på apoteksmarknaden. S.
16.Sverige i Afghanistan
17.Om oskuldspresumtionen och rätten att närvara vid rättegången. Genomförande av EU:s oskuldspresumtionsdirektiv. Ju.
18.En nationell strategi för validering. U.
19.Uppdrag: Samverkan. Steg på vägen mot fördjupad lokal samverkan
för unga arbetslösa. A.
20.Tillträde för nybörjare – ett öppnare och enklare system för tillträde till högskoleutbildning. U.
21.Läs mig! Nationell kvalitetsplan för vård och omsorg om äldre personer. Del 1 och 2. S.
22.Från värdekedja till värdecykel – så får Sverige en mer cirkulär ekonomi. M.
23.digitalforvaltning.nu. Fi.
24.Ett arbetsliv i förändring – hur påverkas ansvaret för arbetsmiljön? A.
25.Samlad kunskap – stärkt handläggning. S.
26.Delningsekonomi. På användarnas villkor. Fi.
27.Vissa frågor inom fastighets- och stämpelskatteområdet. Fi.
28.Ett nationellt centrum för kunskap om och utvärdering av arbetsmiljö. A.
29.Brottsdatalag. Ju
30.En omreglerad spelmarknad. Del 1 och 2. Fi.
31.Stärkt konsumentskydd
på bostadsrättsmarknaden. Ju.
32.Substitution i Centrum
–stärkt konkurrenskraft med kemikaliesmarta lösningar. M.
33.Stärkt ställning för hyresgäster. Ju.
34.Ekologisk kompensation – Åtgärder för att motverka nettoförluster av biologisk mångfald och ekosystem- tjänster, samtidigt som behovet av markexploatering tillgodoses. M.
35.Samling för skolan. Nationell strategi för kunskap och likvärdighet. U.
36.Informationssäkerhet för samhälls viktiga och digitala tjänster. Ju.
37.Kvalificerad välfärdsbrottslighet
–förebygga, förhindra, upptäcka och beivra. Ju.
38.Kvalitet i välfärden – bättre upphandling och uppföljning. Fi.
39.Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskydds förordning. Ju.
40.För dig och för alla. S.
41.Meddelarskyddslagen – fler verksam- heter med stärkt meddelarskydd. Ju.
42.Vem har ansvaret? M.
43.På lika villkor! Delaktighet, jämlikhet och effektivitet i hjälpmedelsförsörj- ningen. S.
44.Entreprenad, fjärrundervisning och distansundervisning. U.
45.Ny lag om företagshemligheter. Ju.
46.Stärkt ordning och säkerhet i domstol. Ju.
47.Nästa steg på vägen mot en mer jämlik hälsa. Förslag för ett långsiktigt arbete för en god och jämlik hälsa. S.
48.Kunskapsbaserad och jämlik vård. Förutsättningar för en lärande hälso- och sjukvård. S.
49.EU:s dataskyddsförordning och utbildningsområdet. U.
Statens offentliga utredningar 2017
Systematisk förteckning
Arbetsmarknadsdepartementet
Uppdrag: Samverkan. Steg på vägen mot fördjupad lokal samverkan för unga arbetslösa. [19]
Ett arbetsliv i förändring – hur påverkas ansvaret för arbetsmiljön? [24]
Ett nationellt centrum för kunskap om och utvärdering av arbetsmiljö. [28]
Finansdepartementet
Karens för statsråd och statssekreterare. [3] Vägskatt. Volym 1 och 2. [11]
Finansiering av infrastruktur med privat kapital? [13]
digitalforvaltning.nu. [23]
Delningsekonomi. På användarnas villkor. [26]
Vissa frågor inom fastighets- och stämpel- skatteområdet. [27]
En omreglerad spelmarknad. Del 1 och 2. [30]
Kvalitet i välfärden – bättre upphandling och uppföljning. [38]
Justitiedepartementet
Se barnet! [6]
Straffprocessens ramar och domstolens beslutsunderlag i brottmål
– en bättre hantering av stora mål. [7]
Att ta emot människor på flykt. Sverige hösten 2015. [12]
Migrationsärenden
vid utlandsmyndigheterna.[14]
Om oskuldspresumtionen och rätten att närvara vid rättegången. Genomförande av EU:s oskuldspresumtionsdirektiv. [17]
Brottsdatalag. [29]
Stärkt konsumentskydd
på bostadsrättsmarknaden. [31] Stärkt ställning för hyresgäster. [33]
Informationssäkerhet för samhällsviktiga och digitala tjänster. [36]
Kvalificerad välfärdsbrottslighet
– förebygga, förhindra, upptäcka och beivra. [37]
Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskydds förordning. [39]
Meddelarskyddslagen – fler verksam- heter med stärkt meddelarskydd. [41]
Ny lag om företagshemligheter. [45] Stärkt ordning och säkerhet i domstol. [46]
Miljö- och energidepartementet
Kraftsamling för framtidens energi. [2]
Kunskapsläget på kärnavfallsområdet 2017. Kärnavfallet – en fråga i ständig förändring. [8]
Från värdekedja till värdecykel – så får Sverige en mer cirkulär ekonomi. [22]
Substitution i Centrum
– stärkt konkurrenskraft med kemikaliesmarta lösningar. [32]
Ekologisk kompensation – Åtgärder för att motverka nettoförluster av biologisk mångfald och ekosystemtjänster, sam- tidigt som behovet av markexploatering tillgodoses. [34]
Vem har ansvaret? [42]
Näringsdepartementet
För Sveriges landsbygder
– en sammanhållen politik för
arbete, hållbar tillväxt och välfärd. [1]
Socialdepartementet
För en god och jämlik hälsa. En utveckling av det
folkhälsopolitiska ramverket. [4]
Svensk social trygghet i en globaliserad värld. Del 1 och 2.[5]
Kvalitet och säkerhet
på apoteksmarknaden. [15]
Läs mig! Nationell kvalitetsplan
för vård och omsorg om äldre personer. Del 1 och 2. [21]
Samlad kunskap – stärkt handläggning. [25] För dig och för alla. [40]
På lika villkor! Delaktighet, jämlikhet och effektivitet i hjälpmedelsförsörjningen. [43]
Nästa steg på vägen mot en mer jämlik hälsa. Förslag för ett långsiktigt arbete för en god och jämlik hälsa. [47]
Kunskapsbaserad och jämlik vård. Förutsättningar för en lärande hälso- och sjukvård. [48]
Utbildningsdepartementet
Det handlar om oss.
– unga som varken arbetar eller studerar. [9]
Ny ordning för att främja god sed
och hantera oredlighet i forskning. [10] En nationell strategi för validering [18]
Tillträde för nybörjare – ett öppnare och enklare system för tillträde till hög skoleutbildning. [20]
Samling för skolan.
Nationell strategi för kunskap och likvärdighet. [35]
Entreprenad, fjärrundervisning och distansundervisning. [44]
EU:s dataskyddsförordning och utbildningsområdet. [49]
Utrikesdepartementet
Sverige i Afghanistan