Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Relevanta dokument
Snabbare lagföring (Ds 2018:9)

Datainspektionen lämnar följande synpunkter.

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Hemlig dataavläsning ett viktigt verktyg i kampen mot allvarlig brottslighet (SOU 2017:89)

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Hur står det till med den personliga integriteten? (SOU 2016:41)

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Remiss av SOU 2015:66 En förvaltning som håller ihop

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Så stärker vi den personliga integriteten SOU 2017:52

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Behandling av personuppgifter vid Försvarsmakten och Försvarets radioanstalt (SOU 2018:63)

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

SOU 2015:84 Organdonation En livsviktig verksamhet

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Ansökan om undantag från förbudet i 21 personuppgiftslagen

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Svensk författningssamling

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

Yttrande i Förvaltningsrätten i Stockholms mål

Datainspektionens författningssamling

Så behandlar vi dina personuppgifter

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Datainspektionen informerar. Vägledningen ska tjäna som verktyg för att bedöma integritetsriskerna med ny eller ändrad lagstiftning.

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

Personuppgiftsansvarig och personuppgiftsbiträde

HÖGSTA DOMSTOLENS BESLUT

Datalagring och integritet (SOU 2015:31)

Utkast till lagrådsremissen Vägtrafikdatalag

Personuppgiftsbehandling i forskningsbibliotekens verksamhet

Yttrande över promemorian Införande av vissa internationella standarder i penningtvättslagen

Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Betänkandet Allmänna handlingar i elektronisk form offentlighet och integritet (SOU 2010:4)

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Personuppgiftslagen baseras på det s.k. dataskyddsdirektivet (95/46/EG). Inom EU har det beslutats att detta direktiv ska ersättas av

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Varför granskar Datainspektionen er verksamhet?

Åklagarväsendets brottsbekämpning

Personuppgiftsförordning (1998:1191)

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Ds 2016:44 Nationell läkemedelslista

Integritetsskydd i arbetslivet (SOU 2009:44)

Användandet av E-faktura inom den Summariska processen

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

Remiss: Integritetskommitténs slutbetänkande Så stärker vi den personliga integriteten (SOU 2017:52)

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Yttrande över Departementspromemorian Domstolsdatalag (DS 2013:10)

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Regionala etikprövningsnämnden i Uppsala

Departementspromemorian Domstolsdatalag (Ds 2013:10)

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter vid antidopningsarbete inom idrotten. Dir. 2018:31

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Kammarrätten instämmer i förslaget om införande av särskilda lättnadsregler i 43 kap. 8 a första stycket OSL.

sökningar på referenspersoner i Migrationsverkets centrala utlänningsdatabas samt slagningar i misstanke- och belastningsregistret

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Socialstyrelsens yttrande över betänkandet Myndighetsdatalag (SOU 2015:39)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

Justitiedepartementet Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

SOU 2017:39 Ny dataskyddslag

Utdrag ur protokoll vid sammanträde

Behandling av personuppgifter vid Göteborgs universitet

Allmänna handlingar i elektronisk form

Personuppgiftsförordning (1998:1191)

Tillsyn avseende undersökningen Hälsa Stockholm

Svensk författningssamling

Transkript:

Yttrande Diarienr 1(6) 2016-02-05 Dnr 1977-2015 Ert diarienr Dnr U2015/04800/GV Utbildningsdepartementet 103 33 Stockholm Ökad insyn i fristående skolor (SOU 2015:82) Datainspektionen har granskat betänkandet huvudsakligen utifrån sin uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Yttrandet tar upp de mest väsentliga synpunkterna utifrån nämnda uppdrag. Sammanfattning Datainspektionen konstaterar att förslaget i sin helhet saknar en uttalad analys av konsekvenserna för integritetsskyddet i enlighet med vad som krävs i lagstiftningsarbetet när regleringen rör hantering av integritetskänsliga personuppgifter. Datainspektionen efterlyser därför en analys av dess konsekvenser för den enskildes integritet i det fortsatta lagstiftningsarbetet. Datainspektionen har i synnerhet synpunkter vad gäller förslagets konsekvenser för behandlingen av utdrag ur belastningsregister som i enlighet med 2 kap. 31 skollagen (2010:800) lämnas av den som erbjuds en anställning. Datainspektionens synpunkter ska ses i ljuset av att inspektionen ifrågasätter om det finns lagligt stöd för fristående skolor att behandla uppgifter om lagöverträdelser. Datainspektionen anser att det finns risk för att den behandling avseende belastningsregisterutdrag som förutsätts av utredningen sker i strid med personuppgiftslagen och att den personliga integriteten kränks. Riskerna med behandlingen förstärks av att ingen ändring föreslås i offentlighets- och sekretesslagen (2009:400), OSL, och att arkivlagens (1990:772) bestämmelser enligt förslaget ska tillämpas av skolhuvudmännen. Datainspektionen avstyrker därför förslaget i denna del. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2016-02-05 Diarienr Dnr 1977-2015 2 (6) 7.2 Handlingsoffentlighet i fristående skolor 7.5 Vad ska omfattas av handlingsoffentligheten? Förslaget 7. 2 Utredningen föreslår att vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar ska gälla också handlingar hos huvudmännen för fristående skolor. 7.5 Utredningen föreslår att bestämmelserna om handlingsoffentlighet ska omfatta all verksamhet som bedrivs av huvudmän i fristående skolor. Datainspektionens synpunkter Brist på analys av förslagets konsekvenser för integritetsskyddet Integritetsskyddskommittén har i sitt betänkande SOU 2007:22, s. 449f, uttalat att integritetsbegränsande lagstiftningsåtgärder ska föregås av en fullständig tillämpning av proportionalitetsprincipen. Detta innebär att inskränkningar i integritetsskyddet endast får göras om det motstående intresse som ska tillgodoses är så starkt och integritetsskyddsintresset så förhållandevis svagt att inskränkningen framstår som proportionerlig. Utredningen framhöll att det är en särskilt stor brist om det vid utarbetandet av lagstiftning som begränsar den personliga integriteten inte alls observeras att lagstiftningen kommer att få sådana konsekvenser. Detta eftersom det då inte är möjligt att göra en relevant proportionalitetsbedömning. I föreliggande förslag har utredningen endast uttalat att den nuvarande sekretessregleringen är tillräcklig för skydd av känsliga uppgifter (se s. 102). Utredningen tar inte upp vad förslaget kan innebära ur dataskyddshänseende. Datainspektionen anser att det är viktigt att utredningen analyserar vilka konsekvenser införandet av handlingsoffentlighet för fristående skolor får för den personliga integriteten. Datainspektionen konstaterar att utredningen inte ens vad gäller sekretesskydd har berört de konsekvenser som förslaget får för integritetsskyddet för personer som anställs i fristående skolor. I avsaknad av analys kan Datainspektionen inte bedöma integritetsriskerna av förslagets alla aspekter.

Datainspektionen 2016-02-05 Diarienr Dnr 1977-2015 3 (6) Det rättsliga stödet för behandling av personuppgifter i belastningsregisterutdrag Det följer av skollagen 2 kap. 31 och 33 att den som erbjuds en anställning inom där angiven skolverksamhet ska lämna ett utdrag ur det register som förs enligt lagen (1998:620) om belastningsregister. Originalet ska återlämnas om den som lämnat in det begär det. Utdrag ur belastningsregister utgör personuppgifter. Personuppgifter som behandlas helt eller delvis automatiserat omfattas av personuppgiftslagens bestämmelser om det inte finns en reglering som gäller särskilt för den aktuella behandlingen. I vissa fall kan även behandling av personuppgifter som inte sker (helt eller delvis) automatiserat träffas av personuppgiftslagens bestämmelser. Skollagen innehåller inga regler som anger att belastningsregistren får behandlas och på vilket sätt. Personuppgifter som innefattar brott har getts en särställning såsom särskilt skyddsvärda. 1 Det är därför enligt 21 personuppgiftslagen förbjudet för andra än myndigheter att behandla uppgifter om lagöverträdelser som innefattar brott. Enligt Datainspektionens bedömning omfattas behandlingen inte av något av de föreskrivna undantagen och utredningen har inte heller föreslagit något undantag. Såsom skolorna kan komma att behandla belastningsregisterutdragen finns uppenbara risker för att behandlingen sker i strid med gällande dataskyddsbestämmelser. Den informationshantering som sker idag är normalt sett alltid automatiserad. Det är därför sannolikt att den behandling som kommer ske i de fristående skolorna kommer att omfattas av personuppgiftslagen. Med hänsyn till de krav som finns i OSL på hanteringen av allmänna handlingar är det också troligt att det blir frågan om en helt eller delvis systematiserad behandling. Det förhållandet medför att det måste finnas ett stöd för skolan att behandla uppgifter om brott. Det kan i detta sammanhang påpekas att 21 personuppgiftslagen inte gäller om det är frågan om ostrukturerat material enligt 5 a personuppgiftslagen, men i det förslag till en ny 1 Se artikel 6 i Europarådets konvention från 1981 om skydd för enskilda vid automatisk behandling av personuppgifter (Dataskyddskonventionen), artikel 8 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (Dataskyddsdirektivet) samt 21 personuppgiftslagen (1998:204).

Datainspektionen 2016-02-05 Diarienr Dnr 1977-2015 4 (6) dataskyddsförordning som förväntas beslutas av EU finns inte några undantag för ostrukturerad behandling. Datainspektionen har i tidigare remissyttranden avseende förslag om ändring av 2 kap. 31 skollagen (dnr 1965-2014) och avseende förslag till lag om registerkontroll av personer som ska arbeta med barn (dnr 1749-2012) ifrågasatt regleringen bland annat på grund av riskerna för att behandlingen av registerutdragen kan komma att ske i strid med 21 personuppgiftslagen. Inspektionen vidhåller denna ståndpunkt. Datainspektionen anser, att det är tillräckligt att den som erbjuds anställning, eller på annat sätt ska arbeta inom skolan, visar upp ett utdrag ur det register som förs enligt lagen om belastningsregister (jfr 1 lagen om registerkontroll för personer som ska arbeta med barn) och att skolhuvudmannen endast gör en notering om att utdraget har visats upp. Belastningsregistret i sig finns ju kvar om oegentligheter misstänks. En sådan reglering minskar risken väsentligt för att enskildas personliga integritet kränks eftersom ingen ytterligare behandling sker av uppgifterna. En särskild risk som ska påpekas är att enskilda individer, till följd av att dessa själva ska lämna in utdrag ur belastningsregistret, kan lämna in belastningsregisterutdrag som inte är anpassade efter ändamålet. Detta kan leda till att skolhuvudmännen behandlar ytterligare uppgifter om lagöverträdelser utan stöd i lag. 2 Förslaget om handlingsoffentlighet för belastningsregisterutdrag Utredningen föreslår att bestämmelserna om handlingsoffentlighet ska omfatta all verksamhet som bedrivs av huvudmän i fristående skolor, vilket inkluderar utdrag ur belastningsregistret som lämnas in i enlighet med 2 kap. 31 skollagen. Förslaget medför krav på att de belastningsregisterutdragen ska bevaras och hållas ordnade i enlighet med bestämmelserna i OSL. Utredningen har endast redovisat behovet, i allmänna termer, av att det finns en insyn i de fristående skolornas verksamhet. Detta utan att gå in på det specifika behovet av att belastningsregisterutdrag behandlas och att dessa 2 Se artikel 5 Dataskyddskonventionen, artikel 6 Dataskyddsdirektivet samt 9 personuppgiftslagen

Datainspektionen 2016-02-05 Diarienr Dnr 1977-2015 5 (6) görs offentliga. Datainspektionen anser att det är viktigt att utredningen analyserar vilka konsekvenser förslaget att friskolor ska bevara belastningsregisterutdrag får för integriteten. I betänkandet anges att känsliga uppgifter i allmänna handlingar skyddas av sekretess (se s. 102) och tar därmed inte hänsyn till att belastningsregisterutdrag som lämnats in i enlighet med skollagens bestämmelser inte åtnjuter sekretesskydd. Datainspektionen avstyrker förslaget i sin nuvarande form, eftersom fristående skolor enligt 21 personuppgiftslagen inte får behandla personuppgifter om lagöverträdelser som innefattar brott. 7.8 Behöver materiella bestämmelser i offentlighetsoch sekretesslagen ändras? Förslaget Utredningen anser att några ändringar i de materiella bestämmelserna i OSL inte behövs. Datainspektionens synpunkter Om utredningens förslag skulle bli verklighet anser Datainspektionen att det är väsentligt att sekretesskyddet för utdrag ur belastningsregistret ses över. Bristen på sekretesskydd ökar risken för integritetsintrång. 7.10.1 Arkivlagen Förslaget Huvudmännen för fristående skolor ska tillämpa arkivlagen. Datainspektionens synpunkter Förslaget att fristående skolor ska tillämpa arkivlagen innebär en utökad risk för att utdrag ur belastningsregister behandlas i strid med 21 personuppgiftslagen, eftersom arkivering kräver att handlingarna hålls ordnade. Dessutom kan behandlingen komma att ske under en längre tid än vad som följer av lagen (1998:620) om belastningsregister, vilket är ytterligare integritetskränkande. I linje med vad som har sagts ovan avstyrker Datainspektionen förslaget.

Datainspektionen 2016-02-05 Diarienr Dnr 1977-2015 6 (6) Detta yttrande har beslutats av enhetschefen Katarina Tullstedt efter föredragning av juristen Elin Hallström. Vid den slutliga handläggningen har även datarådet Agneta Runmarker deltagit. Katarina Tullstedt Elin Hallström