Personuppgifter m.m. i skolan

Transkript

1 Personuppgifter m.m. i skolan Regler om hur personuppgifter får behandlas Idag PuL, from 1/ ny Dataskyddsförordning från EU (samt kompletterande nationella regler i form av en ny dataskyddslag samt även sannolikt ett nytt 28 a kap. i skollagen). Regler om hur olika handlingar ska hanteras Offentlighetsprincipen och regler om sekretess/tystnadsplikt

2 Vad är en personuppgift? Varje uppgift som kan härledas till en specifik individ

3 Personuppgiftslagen PuL Innehåller regler om hur olika personuppgifter får samlas in och hanteras i syfte att skydda enskilda mot att deras personliga integritet kränks genom behandling av personuppgifter. En subsidiär lag, dvs. finns särreglering i annan lagstiftning gäller den, se t.ex. kameraövervakningslagen Ska finnas personuppgiftsansvarig och personuppgiftsombud som ansvarar för att hanteringen sker i enlighet med PuL. Lagen bygger på att behandling bara får ske om det finns stöd i PuL för att behandla dem. Särskilt restriktivt vad gäller känsliga personuppgifter (ras och etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa och sexualliv).

4 När får personuppgifter behandlas? PuL 10 : Personuppgifter får bara behandlas om den enskilde lämnat sitt samtycke till behandlingen eller: a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet, c) vitala intressen för den registrerade skall kunna skyddas, d) en arbetsuppgift av allmänt intresse skall kunna utföras,

5 Fortsättning... e) den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

6 Känsliga personuppgifter Känsliga personuppgifter får behandlas: Om den enskilde gett sitt samtycke eller offentliggjort uppgifterna på ett tydligt och medvetet sätt om behandlingen är nödvändig för att: a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, b) den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke, eller c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras

7 Känsliga personuppgifter Exempel på nödvändig behandling som inte kräver samtycke: Uppgifter om etnicitet som behövs för att tillgodose rätten till modersmålsundervisning Viss behandling inom elevhälsan

8 Känsliga personuppgifter Känsliga personuppgifter som kräver samtycke för att behandlas: Att ange sjuk i samband med närvarorapportering.

9 Känsliga personuppgifter Enligt nya dataskyddslagen får känsliga personuppgifter hanteras om det finns en lagstadgad skyldighet att hantera uppgifterna. Utgör grund för att offentlighetsprincipen ska kunna fungera som förut.

10 Förslag från regeringen om nytt kap i skollagen Känsliga personuppgifter får hanteras hos en enskild huvudman: 1. om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller 2. i annat fall, om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Nödvändigt lagstöd för att fristående skolor ska kunna hantera känsliga personuppgifter.

11 Förslag från regeringen om nytt kap i skollagen Personuppgifter om lagöverträdelser får behandlas i verksamhet hos en huvudman för en fristående skola om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet 1. i löpande text inom elevhälsan, och 2. i skriftlig dokumentation som ska föras enligt 5 kap. 24.

12 Elevhälsa 4 kap. 1 patientdatalagen Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.

13 Personnummer 22 PuL: Uppgifter om personnummer eller samordningsnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till a) ändamålet med behandlingen, b) vikten av en säker identifiering, eller c) något annat beaktansvärt skäl.

14 Personnummer Datainspektionen har beträffande klasslistor uttalat följande: Förekommer personnummer på klasslistor måste det stödja sig på 22 PuL Datainspektionen anser det tveksamt om det är motiverat, i förhållande till ändamålen, att från de elevadministrativa registren göra en datautskrift på elevers födelsedatum huvudsakligen i syfte att underlätta för elever att gratulera varandra på födelsedagen.

15 Skyddade personuppgifter Helhetsbedömningen i det enskilda fallet, olika uppgifter kan behöva skyddas i olika situationer. Markera tydligt att uppgifter är skyddade så att alla som kommer i kontakt med uppgifterna blir medvetna om det. Begränsa så långt som möjligt de uppgifter som behandlas Begränsa åtkomsten Informera och utbilda all berörd personal

16 Krav enligt PuL Det bör i förväg preciseras och tydliggöras vilka uppgifter man tänker samla in och varför Den som är personuppgiftsansvarig ska vidta lämpliga åtgärder för att skydda de personuppgifter som hanteras. Personuppgifter ska inte vara tillgängliga för andra än de som behöver det i sin yrkesutövning (särskilt stränga regler inom skolhälsovård) Den som är personuppgiftsansvarig ska se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen Elever/vårdnadshavare ska informeras om vilka uppgifter som behandlas och på vilket sätt.

17 Molntjänster Enligt Datainspektionen innebär molntjänster att exempelvis processorkraft, lagring och funktioner tillhandahålls av leverantörer som tjänster över internet. T.ex. GAFE (Google Apps for Education) är en tjänst, en svit av kostnadsfria produktivitetsverktyg för samarbete i klassrummet, som Google tillhandahåller via internet för att underlätta kommunikation och samarbete mellan lärare och elever under utbildningen. Verktygen består bland annat i webbpublicering, kalender och lagring av dokument som är speciellt anpassade för användning inom pedagogisk verksamhet. Verktygen kan nås från fasta och mobila anslutningar, t.ex. mobiltelefoner eller läsplattor, efter registrering av en domän med tilldelande av användarkonton till eleverna och lärarna. Varje användare får därigenom tillgång till tjänsten och ett eget konto med visst lagringsutrymme.

18 Molntjänster När systemet är tillgängligt via internet och integritetskänsliga uppgifter förekommer krävs särskilda säkerhetsåtgärder för att tillse att rätt personer får åtkomst till uppgifterna och att de överförs på ett säkert sätt, varför det krävs stark autentisering (exempelvis engångslösenord eller e-legitimation) och krypteringsskydd vid överföringen. Det måste finnas ett avtal med tjänsteleverantören där det anges att leverantören bara får behandla personuppgifterna i enlighet med instruktioner från den personuppgiftsansvarige och att leverantören ska ha god IT-säkerhet. Uppgifterna måste gallras när de inte längre behövs och den personuppgiftsansvarige ansvarar även för att leverantören gör detta. Även i övrigt se till så att generella regler om hantering av personuppgifter följs.

19 Den nya Dataskyddsförordningen Främsta syftet med de nya reglerna är att stärka enskildas rätt (främst barns rättigheter) vid behandling av personuppgifter samt att skapa en mer enhetlig reglering inom EU

20 Dataskyddsförordningen Enligt förordningen får personuppgifter behandlas: 1. Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. 2. Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. 3. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. 4. Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

21 Fortsättning... 5.Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. 6. Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

22 Dataskyddsförordningen Beträffande skolwebbplatser bör gälla att spridning av personinformation via webbplatser kräver ett striktare iakttagande av grundläggande principer för uppgiftsskydd. I syfte att skydda sådan information rekommenderas skolorna att använda mekanismer för begräsning av tillträdet till webbplatserna, t.ex. genom inloggning med hjälp av användar-id och personlig säkerhetskod. Publicering av fotografier av eleverna på internet bör göras grundat på en bedömning av vilken typ av foto det rör sig om, av om det är lämpligt att lägga ut fotot på nätet och av syftet med utläggningen. Eleverna och vårdnadshavarna bör på förhand underrättas om publiceringen, men samtycke behöver inte nödvändigtvis inhämtas av vårdnadshavarna om det gäller gruppfoto och det inte är enkelt att identifiera eleverna. Om en skola har för avsikt att lägga ut individuella foton av eleverna med uppgift om deras identitet, måste den först inhämta vårdnadshavarnas och beroende på elevernas mognadsgrad elevernas tillstånd för detta.

23 Vad är nytt Viktigt kunna visa att uttryckligt samtycke getts. Stärkt skydd för barns personuppgifter Rapporteringsskydlighet vid personuppgiftsincidenter Är personuppgiftsbehandlingen förenad med särskilda integritetsrisker ska särskild skyddsanalys göras Datainspektionen kan utfärda en sanktionsavgift vid brott mot förordningen Samtycke ska i vissa fall tas från barn om barnet fyllt 13 år

24 Samtycke Fram till att den unge fyller 18 år är vårdnadshavaren rättslig ställföreträdare för den unge. Den unge blir dock alltmer självständig gentemot vårdnadshavaren i takt med stigande ålder och mognad. 29 kap. 12 skollagen den som fyllt 16 år har talerätt i ärenden enligt lagen (gäller även för yngre elever vid ansökan till utbildning) Av praxis följer att det nog i många fall kan vara lämpligt att ta samtycke både från elev och vårdnadshavare från ca 13 års ålder

25 Vad är nytt? Stärkta rättigheter för den enskilde De registrerades rättigheter har utökats, förstärkts och specificerats i dataskyddsförordningen jämfört med personuppgiftslagen. Dessa rättigheter innebär i korthet att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har de bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta sina uppgifter samt att göra invändningar

26 Förändrade roller Den personuppgiftsansvarige ( Pua): Den för verksamheten ansvariga nämnden, som bestämmer ändamål och medel för personuppgiftsbehandling. Personuppgiftsbiträde: Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Normalt ett företag, men kan vara en fysisk person. Dataskyddsombud- idag personuppgiftsombud. Blir obligatoriskt för alla myndigheter. En fysisk person, kan vara anställd hos myndigheten eller upphandlad konsult.

27 Personuppgiftsbiträdet Personuppgiftsbiträdet får ett självständigt skadeståndsansvar gentemot de registrerade. Skyldigheterna för biträdet preciseras i lagtexten. Biträdet blir skyldig att hålla ett register över kategorier av behandlingar, art 30. Ytterligare villkor vad gäller innehållet i avtalet med personuppgiftsbiträdet. Biträdet får anlita egna underbiträden bara om den personuppgiftsansvarige lämnat skriftligt förhandstillstånd Ett sådant underbiträde skall åläggas samma skyldigheter avseende dataskydd som det ursprungliga biträdet

28 Dataskyddsombudet Dataskyddsombudet alla myndigheter måste ha ett ombud. Rollen förstärks, ökade krav - självständighet, resurser och kompetens understryks särskilt En person kan vara ombud för flera myndigheter. I uppgifterna ingår att - informera och ge råd till personuppgiftsansvarig och biträdet. - övervaka regelefterlevnaden. - ta emot klagomål från registrerade - fungera som kontaktpunkt för tillsynsmyndigheten.

29 Vad är nytt? Register Både personuppgiftsansvariga och personuppgiftsbiträden är enligt dataskyddsförordningen skyldiga att föra ett register över sina behandlingar av personuppgifter. Vad som ska finnas med i förteckningen framgår uttryckligen i förordningen, till exempel ändamålen med behandlingen, beskrivning av kategorierna av registrerade och kategorierna av personuppgifter, eventuella externa mottagare av personuppgifterna och om uppgifter förs över till tredjeland. Vårdnadshavare har rätt begära registerutdrag

30 Hur ska man göra? Dataskyddsförordningen kommer antagligen inte innebära några större förändringar avseende skolors möjlighet att behandla personuppgifter. Det går dock inte att i nuläget exakt säga vilka ändringar i svenska lagar och förordningar som den kommer leda till. Det blir dock viktigare att göra rätt. Ha tydliga och genomarbetade rutiner för hur personuppgifter ska hanteras. Underhåll systemet! Regeringen ska ge lämplig myndighet i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet. Förslag från utredning i (SOU 2017:49) Datainspektionen föreslog i remissyttrande på ovan utredning att det istället för uppförandekod borde införas en särskild skoldatalag.

31 Hur ska man göra? Inbyggt dataskydd ( privacy by design) innebär att man tar hänsyn till integritetsskyddsreglerna redan när man utformar it-system och rutiner. Det är ett sätt att se till att kraven i dataskyddsförordningen uppfylls och att den registrerades rättigheter skyddas. Kravet på dataskydd som standard (privacy by default) innebär i korthet att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan. Det kan till exempel handla om att de förvalda inställningarna i en tjänst för sociala media är satta så att inte mer information än nödvändigt samlas in, delas ut eller visas.