Utfärdad den 20 juni 2018
Enligt riksdagens beslut1) föreskrivs i fråga om skollagen (2010:800)
- 1)
Prop. 2017/18:218, bet. 2017/18:UbU28, rskr. 2017/18:431.
dels att 1 kap. 12 § ska ha följande lydelse,
dels att det ska införas ett nytt kapitel, 26 a kap., av följande lydelse.
1 kap. 12 §
2)- 2)
Senaste lydelse 2015:482.
Lagen är uppdelad i 30 kapitel.
Dessa är
inledande bestämmelser (1 kap.),
huvudmän och ansvarsfördelning (2 kap.),
barns och elevers utveckling mot målen (3 kap.),
kvalitet och inflytande (4 kap.),
trygghet och studiero (5 kap.),
åtgärder mot kränkande behandling (6 kap.),
skolplikt och rätt till utbildning (7 kap.),
förskolan (8 kap.),
förskoleklassen (9 kap.),
grundskolan (10 kap.),
grundsärskolan (11 kap.),
specialskolan (12 kap.),
sameskolan (13 kap.),
fritidshemmet (14 kap.),
gymnasieskolan (15–17 a kap.),
gymnasiesärskolan (18 och 19 kap.),
kommunal vuxenutbildning (20 kap.),
särskild utbildning för vuxna (21 kap.),
entreprenad och samverkan (23 kap.),
särskilda utbildningsformer (24 kap.),
annan pedagogisk verksamhet (25 kap.),
tillsyn, statlig kvalitetsgranskning och nationell uppföljning och utvärdering (26 kap.),
behandling av personuppgifter (26 a kap.),
Skolväsendets överklagandenämnd och Lärarnas ansvarsnämnd (27 kap.),
överklagande (28 kap.), och
övriga bestämmelser (29 kap.).
26 a kap. Behandling av personuppgifter
1 §
Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som bedrivs med stöd av denna lag, föreskrifter som meddelats med stöd av lagen, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.
Detta kapitel ska inte tillämpas på behandling av personuppgifter i elevhälsan som utförs inom hälso- och sjukvården.
Förhållande till annan dataskyddsreglering
2 §
Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i detta kapitel har samma betydelse som i EU:s dataskyddsförordning.
3 §
Bestämmelser om behandling av personuppgifter finns även i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.
Känsliga personuppgifter
4 §
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas hos en enskild huvudman enligt 2 kap. eller hos en enskild aktör enligt 24 eller 25 kap.
om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller
i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
För myndigheter och vissa andra organ finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.
5 §
Regeringen får meddela föreskrifter om undantag från de sökbegränsningar som avses i 4 § andra stycket denna lag och i 3 kap. 3 § andra stycket dataskyddslagen i fråga om personuppgifter om hälsa i verksamhet hos en huvudman för
grundsärskola,
specialskolan,
gymnasiesärskola,
särskild utbildning för vuxna,
gymnasieskola med Rh-anpassad utbildning,
utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning, och
förskola, förskoleklass eller skola som har begränsats till att avse elever som är i behov av särskilt stöd.
Regeringen får också meddela föreskrifter om undantag från sökbegränsningen i 3 kap. 3 § andra stycket dataskyddslagen i fråga om personuppgifter om
etniskt ursprung i verksamhet hos en huvudman för sameskolan, och
hälsa och etniskt ursprung i verksamhet hos en kommun.
Personuppgifter som rör lagöverträdelser
6 §
Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas i verksamhet hos en huvudman för en fristående skola om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet
i löpande text inom elevhälsan, och
i skriftlig dokumentation som ska föras enligt 5 kap. 24 §.
För myndigheter finns det bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen. Där finns det även bestämmelser för andra än myndigheter som är skyldiga att följa föreskrifter om arkiv.