Yttrande Diarienr 1(6) 2016-02-05 Dnr 1977-2015 Ert diarienr Dnr U2015/04800/GV Utbildningsdepartementet 103 33 Stockholm Ökad insyn i fristående skolor (SOU 2015:82) Datainspektionen har granskat betänkandet huvudsakligen utifrån sin uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Yttrandet tar upp de mest väsentliga synpunkterna utifrån nämnda uppdrag. Sammanfattning Datainspektionen konstaterar att förslaget i sin helhet saknar en uttalad analys av konsekvenserna för integritetsskyddet i enlighet med vad som krävs i lagstiftningsarbetet när regleringen rör hantering av integritetskänsliga personuppgifter. Datainspektionen efterlyser därför en analys av dess konsekvenser för den enskildes integritet i det fortsatta lagstiftningsarbetet. Datainspektionen har i synnerhet synpunkter vad gäller förslagets konsekvenser för behandlingen av utdrag ur belastningsregister som i enlighet med 2 kap. 31 skollagen (2010:800) lämnas av den som erbjuds en anställning. Datainspektionens synpunkter ska ses i ljuset av att inspektionen ifrågasätter om det finns lagligt stöd för fristående skolor att behandla uppgifter om lagöverträdelser. Datainspektionen anser att det finns risk för att den behandling avseende belastningsregisterutdrag som förutsätts av utredningen sker i strid med personuppgiftslagen och att den personliga integriteten kränks. Riskerna med behandlingen förstärks av att ingen ändring föreslås i offentlighets- och sekretesslagen (2009:400), OSL, och att arkivlagens (1990:772) bestämmelser enligt förslaget ska tillämpas av skolhuvudmännen. Datainspektionen avstyrker därför förslaget i denna del. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00
Datainspektionen 2016-02-05 Diarienr Dnr 1977-2015 2 (6) 7.2 Handlingsoffentlighet i fristående skolor 7.5 Vad ska omfattas av handlingsoffentligheten? Förslaget 7. 2 Utredningen föreslår att vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar ska gälla också handlingar hos huvudmännen för fristående skolor. 7.5 Utredningen föreslår att bestämmelserna om handlingsoffentlighet ska omfatta all verksamhet som bedrivs av huvudmän i fristående skolor. Datainspektionens synpunkter Brist på analys av förslagets konsekvenser för integritetsskyddet Integritetsskyddskommittén har i sitt betänkande SOU 2007:22, s. 449f, uttalat att integritetsbegränsande lagstiftningsåtgärder ska föregås av en fullständig tillämpning av proportionalitetsprincipen. Detta innebär att inskränkningar i integritetsskyddet endast får göras om det motstående intresse som ska tillgodoses är så starkt och integritetsskyddsintresset så förhållandevis svagt att inskränkningen framstår som proportionerlig. Utredningen framhöll att det är en särskilt stor brist om det vid utarbetandet av lagstiftning som begränsar den personliga integriteten inte alls observeras att lagstiftningen kommer att få sådana konsekvenser. Detta eftersom det då inte är möjligt att göra en relevant proportionalitetsbedömning. I föreliggande förslag har utredningen endast uttalat att den nuvarande sekretessregleringen är tillräcklig för skydd av känsliga uppgifter (se s. 102). Utredningen tar inte upp vad förslaget kan innebära ur dataskyddshänseende. Datainspektionen anser att det är viktigt att utredningen analyserar vilka konsekvenser införandet av handlingsoffentlighet för fristående skolor får för den personliga integriteten. Datainspektionen konstaterar att utredningen inte ens vad gäller sekretesskydd har berört de konsekvenser som förslaget får för integritetsskyddet för personer som anställs i fristående skolor. I avsaknad av analys kan Datainspektionen inte bedöma integritetsriskerna av förslagets alla aspekter.
Datainspektionen 2016-02-05 Diarienr Dnr 1977-2015 3 (6) Det rättsliga stödet för behandling av personuppgifter i belastningsregisterutdrag Det följer av skollagen 2 kap. 31 och 33 att den som erbjuds en anställning inom där angiven skolverksamhet ska lämna ett utdrag ur det register som förs enligt lagen (1998:620) om belastningsregister. Originalet ska återlämnas om den som lämnat in det begär det. Utdrag ur belastningsregister utgör personuppgifter. Personuppgifter som behandlas helt eller delvis automatiserat omfattas av personuppgiftslagens bestämmelser om det inte finns en reglering som gäller särskilt för den aktuella behandlingen. I vissa fall kan även behandling av personuppgifter som inte sker (helt eller delvis) automatiserat träffas av personuppgiftslagens bestämmelser. Skollagen innehåller inga regler som anger att belastningsregistren får behandlas och på vilket sätt. Personuppgifter som innefattar brott har getts en särställning såsom särskilt skyddsvärda. 1 Det är därför enligt 21 personuppgiftslagen förbjudet för andra än myndigheter att behandla uppgifter om lagöverträdelser som innefattar brott. Enligt Datainspektionens bedömning omfattas behandlingen inte av något av de föreskrivna undantagen och utredningen har inte heller föreslagit något undantag. Såsom skolorna kan komma att behandla belastningsregisterutdragen finns uppenbara risker för att behandlingen sker i strid med gällande dataskyddsbestämmelser. Den informationshantering som sker idag är normalt sett alltid automatiserad. Det är därför sannolikt att den behandling som kommer ske i de fristående skolorna kommer att omfattas av personuppgiftslagen. Med hänsyn till de krav som finns i OSL på hanteringen av allmänna handlingar är det också troligt att det blir frågan om en helt eller delvis systematiserad behandling. Det förhållandet medför att det måste finnas ett stöd för skolan att behandla uppgifter om brott. Det kan i detta sammanhang påpekas att 21 personuppgiftslagen inte gäller om det är frågan om ostrukturerat material enligt 5 a personuppgiftslagen, men i det förslag till en ny 1 Se artikel 6 i Europarådets konvention från 1981 om skydd för enskilda vid automatisk behandling av personuppgifter (Dataskyddskonventionen), artikel 8 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (Dataskyddsdirektivet) samt 21 personuppgiftslagen (1998:204).
Datainspektionen 2016-02-05 Diarienr Dnr 1977-2015 4 (6) dataskyddsförordning som förväntas beslutas av EU finns inte några undantag för ostrukturerad behandling. Datainspektionen har i tidigare remissyttranden avseende förslag om ändring av 2 kap. 31 skollagen (dnr 1965-2014) och avseende förslag till lag om registerkontroll av personer som ska arbeta med barn (dnr 1749-2012) ifrågasatt regleringen bland annat på grund av riskerna för att behandlingen av registerutdragen kan komma att ske i strid med 21 personuppgiftslagen. Inspektionen vidhåller denna ståndpunkt. Datainspektionen anser, att det är tillräckligt att den som erbjuds anställning, eller på annat sätt ska arbeta inom skolan, visar upp ett utdrag ur det register som förs enligt lagen om belastningsregister (jfr 1 lagen om registerkontroll för personer som ska arbeta med barn) och att skolhuvudmannen endast gör en notering om att utdraget har visats upp. Belastningsregistret i sig finns ju kvar om oegentligheter misstänks. En sådan reglering minskar risken väsentligt för att enskildas personliga integritet kränks eftersom ingen ytterligare behandling sker av uppgifterna. En särskild risk som ska påpekas är att enskilda individer, till följd av att dessa själva ska lämna in utdrag ur belastningsregistret, kan lämna in belastningsregisterutdrag som inte är anpassade efter ändamålet. Detta kan leda till att skolhuvudmännen behandlar ytterligare uppgifter om lagöverträdelser utan stöd i lag. 2 Förslaget om handlingsoffentlighet för belastningsregisterutdrag Utredningen föreslår att bestämmelserna om handlingsoffentlighet ska omfatta all verksamhet som bedrivs av huvudmän i fristående skolor, vilket inkluderar utdrag ur belastningsregistret som lämnas in i enlighet med 2 kap. 31 skollagen. Förslaget medför krav på att de belastningsregisterutdragen ska bevaras och hållas ordnade i enlighet med bestämmelserna i OSL. Utredningen har endast redovisat behovet, i allmänna termer, av att det finns en insyn i de fristående skolornas verksamhet. Detta utan att gå in på det specifika behovet av att belastningsregisterutdrag behandlas och att dessa 2 Se artikel 5 Dataskyddskonventionen, artikel 6 Dataskyddsdirektivet samt 9 personuppgiftslagen
Datainspektionen 2016-02-05 Diarienr Dnr 1977-2015 5 (6) görs offentliga. Datainspektionen anser att det är viktigt att utredningen analyserar vilka konsekvenser förslaget att friskolor ska bevara belastningsregisterutdrag får för integriteten. I betänkandet anges att känsliga uppgifter i allmänna handlingar skyddas av sekretess (se s. 102) och tar därmed inte hänsyn till att belastningsregisterutdrag som lämnats in i enlighet med skollagens bestämmelser inte åtnjuter sekretesskydd. Datainspektionen avstyrker förslaget i sin nuvarande form, eftersom fristående skolor enligt 21 personuppgiftslagen inte får behandla personuppgifter om lagöverträdelser som innefattar brott. 7.8 Behöver materiella bestämmelser i offentlighetsoch sekretesslagen ändras? Förslaget Utredningen anser att några ändringar i de materiella bestämmelserna i OSL inte behövs. Datainspektionens synpunkter Om utredningens förslag skulle bli verklighet anser Datainspektionen att det är väsentligt att sekretesskyddet för utdrag ur belastningsregistret ses över. Bristen på sekretesskydd ökar risken för integritetsintrång. 7.10.1 Arkivlagen Förslaget Huvudmännen för fristående skolor ska tillämpa arkivlagen. Datainspektionens synpunkter Förslaget att fristående skolor ska tillämpa arkivlagen innebär en utökad risk för att utdrag ur belastningsregister behandlas i strid med 21 personuppgiftslagen, eftersom arkivering kräver att handlingarna hålls ordnade. Dessutom kan behandlingen komma att ske under en längre tid än vad som följer av lagen (1998:620) om belastningsregister, vilket är ytterligare integritetskränkande. I linje med vad som har sagts ovan avstyrker Datainspektionen förslaget.
Datainspektionen 2016-02-05 Diarienr Dnr 1977-2015 6 (6) Detta yttrande har beslutats av enhetschefen Katarina Tullstedt efter föredragning av juristen Elin Hallström. Vid den slutliga handläggningen har även datarådet Agneta Runmarker deltagit. Katarina Tullstedt Elin Hallström