Skolan och Dataskyddsförordningen

Transkript

1 Skolan och Dataskyddsförordningen Webinarium 21 feb 2017 kl Sarah Arlebrink, stadsjurist Göteborgs stad Staffan Wikell, jurist SKL Johanna Karlén, projektledare avdelningen för digitalisering, SKL

2 Inloggning schema. Inloggning omdömen, utvecklingsplaner. Åtkomst till appar. Inloggning till enhet, nätverk. Inloggning digitala läromedel Inloggning samarbetsytor, uppgifter, läxor Inloggning digitala prov Information/data lagras, sprids, flödar

3 Program Dataskyddsförordningen - grunderna och viktiga skillnader för skolan jämfört med dagens lagstiftning Lagstöd för personuppgiftsbehandling Utökade skyldigheter Avtalen Informationsägarnas ansvar

4 Dataskyddsförordningen - grunderna och viktiga skillnader jämfört med personuppgiftslagen Länk till GDPR på svenska: bit.ly/gdpr-sv

5 Dataskyddsförordningen, grunder En EU-lagstiftning beslutad 2016, den börjar gälla 25 maj PuL upphör då. Inga övergångsregler finns. De grundläggande principerna desamma som i PuL/dataskyddsdirektivet från De grundläggande materiella bestämmelserna och begreppen till stor del samma som idag. Förordningen gäller direkt, den skall inte implementeras genom en personuppgiftslag. I vissa delar får och ska förordningen dock kompletteras av nationell lagstiftning. Ett stort antal utredningar kommer att, under 2017, föreslå kompletterande svenska bestämmelser. bit.ly/gdpr-sv

6 Grunder Syftet med lagstiftningen är att skydda fysiska personer vid behandling av personuppgifter, men samtidigt skapa fritt flöde av p-uppgifter mellan medlemsländerna. Att öka enskildas kontroll över sina personuppgifter. Den personuppgiftsansvarige (Pua): Den för verksamheten ansvariga nämnden, som bestämmer ändamål och medel för personuppgiftsbehandling. Personuppgiftsbiträde: Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Normalt ett företag, men kan vara en fysisk person. Dataskyddsombud- idag personuppgiftsombud. Blir obligatoriskt för alla myndigheter. En fysisk person, kan vara anställd hos myndigheten eller upphandlad konsult. bit.ly/gdpr-sv

7 Förändrade rollerpersonuppgiftsbiträdet Personuppgiftsbiträdet får ett självständigt skadeståndsansvar gentemot de registrerade. Skyldigheterna för biträdet preciseras i lagtexten. Biträdet blir skyldig att hålla ett register över kategorier av behandlingar, art 30. Ytterligare villkor vad gäller innehållet i avtalet med personuppgiftsbiträdet. Biträdet får anlita egna underbiträden bara om den personuppgiftsansvarige lämnat skriftligt förhandstillstånd Ett sådant underbiträde skall åläggas samma skyldigheter avseende dataskydd som det ursprungliga biträdet bit.ly/gdpr-sv

8 Förändrade rollerdataskyddsombudet Dataskyddsombudet alla myndigheter måste ha ett ombud. Rollen förstärks, ökade krav - självständighet, resurser och kompetens understryks särskilt En person kan vara ombud för flera myndigheter I uppgifterna ingår att - informera och ge råd till personuppgiftsansvarig och biträdet. - övervaka regel-efterlevnaden. - ta emot klagomål från registrerade - fungera som kontaktpunkt för tillsynsmyndigheten. bit.ly/gdpr-sv

9 Förändrade rollertillsynsmyndigheten Datainspektionen kommer fortsatt att vara tillsynsmyndighet. Vissa nya uppgifter tillkommer: a. DI kan påföra sanktionsavgifter vid olika överträdelser mot förordningen. b. DI ska ta emot anmälningar om personuppgiftsincidenter. c. DI skall samarbeta med andra dataskyddsmyndigheter inom EU. d. DI:s gällande vägledningar och Allmänna råd kommer att tas bort eller uppdateras. Den nya europeiska dataskyddsmyndigheten ska utfärda riktlinjer, best practices m.m för att främja enhetlig tillämpning

10 Några skillnader Förordningen gäller direkt Ökade krav på rapportering och dokumentation incidentrapportering m.m. Sanktioner Förändrade roller och nya roller - Personuppgiftsansvarig utökade skyldigheter - Personuppgiftsbiträde utökade skyldigheter - Dataskyddsombud blir obligatoriskt för alla myndigheter Lagstöd för personuppgiftsbehandling intresseavvägning försvinner bit.ly/gdpr-sv

11 Lagstöd för personuppgiftsbehandling

12 Laglig grund för behandling av personuppgifter Grunden finns i art. 6 i förordningen Kompletterande nationell lagstiftning Dir 2016:15 Dataskyddsutredningen (Ju 2016:04). - Klar senast 12/ Dir 2016:63 Personuppgiftsbehandling inom utbildningsområdet. (U 2016:03) - Klar senast 1/ bit.ly/gdpr-sv

13 Lagstöd för behandling av personuppgifter i skolans verksamhet Lagliga grunder för behandling av personuppgifter, artikel 6 i förordningen. För skolans del är det framför allt artikel 6 1 c och e dvs att behandlingen är nödvändig : - för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, - eller för att utföra en uppgift av allmänt intresse eller som led i den personuppgiftsansvariges myndighetsutövning Samtycke kan ibland utgöra laglig grund men i mer begränsad omfattning än idag. Intresseavvägning kan inte längre utgöra laglig grund för behandling i myndigheters verksamhet. bit.ly/gdpr-sv

14 Lagstöd för behandling av känsliga uppgifter i skolans verksamheter Ett grundläggande förbud mot behandling av känsliga personuppgifter, som idag. Obs! Dock genetiska och biometriska uppgifter samt sexuell läggning. Undantagen från förbudet ungefär som idag. Men med bemyndiganden för medlemsländerna att i lag ytterligare bestämma gränserna för när behandling av känsliga uppgifter får ske. Art 9, 2 b,g, h, i och j. - t ex om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse. bit.ly/gdpr-sv

15 Summering Lagstöd för personuppgifter: - fullgöra en rättslig förpliktelse - eller för att utföra en uppgift av allmänt intresse eller som led i myndighetsutövning Medlemsländerna i lag bestämma gränserna för när behandling av känsliga uppgifter får ske Intresseavvägning försvinner Samtycke begränsas Skoldatalag eller uppförandekod?

16 Skoldatalag eller uppförandekoder? Vi kan inte räkna med att det blir en särskild heltäckande lag för skolans behandling av personuppgifter. Dataskyddsförordningen öppnar för användningen av uppförandekoder. En uppförandekod får tas fram av en branschorganisation eller en sammanslutning som företräder en grupp av personuppgiftsansvariga, i syfte att specificera tillämpningen av förordningen. Den ska godkännas av tillsynsmyndigheten. Skulle kunna vara SKL själv eller tillsammans med annan.

17 Utökade skyldigheter för personuppgiftsansvarig

18 Register Skyldigheten att föra register över ändamålen med behandlingar m.m. (Art 30), övergår från ombudet till den Personuppgiftsansvariga (Pua). - De uppgifter som ska finnas i registret är i stort sett samma som idag i 36 och 39 PuL. - Missbruksregeln upphör, ostrukturerad behandling ska också förtecknas.

19 Personuppgiftsincidenter Personuppgiftsincidenter. Rutiner ska finnas för att utreda, dokumentera och till Datainspektionen rapportera sådana. Undantag finns om det är osannolikt att incidenten medför risk för enskilda.

20 Konsekvensbedömning Konsekvensbedömning för dataskydd, art Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art och omfattning m.m. sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska Pua före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter.

21 Dataskydd Inbyggt dataskydd, art 25.1 Dataskydd som standard, art 25.2 genomföra lämpliga tekniska och organisatoriska åtgärder Inga vägledningar finns än så länge om hur detta arbete ska bedrivas.

22 Dataportabilitet Dataportabilitet, en rättighet för den registrerade, men bara när grunden för behandling är avtal eller samtycke. - Rätt att få sina data, som man själv har tillhandahållit, överförda till en annan Pua - Rätt att själv få tillgång till sina egna data i ett strukturerat och allmänt använt maskinläsbart format.

23 De registrerades rättigheter Rätt att gratis få kopia med sina uppgifter, registerutdrag. Begäran får ges in elektroniskt och svaret ska kunna lämnas på samma sätt. Rätt till radering (omfattande undantag finns) Rätt till rättelse av felaktiga uppgifter. Rätt till dataportabilitet, utdrag med de uppgifter som den registrerade själv tillhandahållit, i ett strukturerat allmänt använt format. Vägledning finns från artikel 29 gruppen.

24 Vad innebär det här praktiskt? Att kraven på ordning och reda ökar Att kraven på dokumentation ökar

25 Var ska man börja? Inventera - Finns register för behandling? - I vilka sammanhang hanteras personuppgifter? - Vilka it-tjänster hanterar personuppgifter? Vilken sorts personuppgifter? - Är informationssäkerhetsklassning, PuL-bedömning, risk- och sårbarhetsanalys gjorda? - Se över avtalen med personuppgiftbiträden Dokumentera där dokumentation saknas Förbered verksamheten - Informera, diskutera - Utbildningsinsatser kring personuppgiftsbehandling, informationssäkerhet, digitala ekosystemet av it-tjänster

26 Vad ska ett register över behandling innehålla? den personuppgiftsansvariges namn och adress, ändamålen med behandlingen, en beskrivning av den eller de kategorier av registrerade som berörs, och kategorier av personuppgifter som hänför sig till dem, mottagarna eller de kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut, om personuppgifter ska föras över till tredje land, en allmän beskrivning som gör det möjligt att preliminärt bedöma lämpligheten av de informationssäkerhetsåtgärder som vidtagits för att trygga säkerheten i behandlingen.

27 Dokumentation bit.ly/molntjänster-i-skolan

28 Avtalen

29 Krav på biträdesavtalen Kravet på innehållen i biträdesavtalen, och kraven på biträdena, är högre i förordningen än i nu gällande lagstiftning. Avtalet måste innehålla - a) att biträdet ska säkerställa att de personer som ges behörighet att hantera personuppgifter har åtagit sig konfidentialitet eller har tystnadsplikt enligt lag. - b) Underbiträden får anlitas endast om det finns förhandstillstånd från den pua. - c) Dokumenterade instruktioner till biträdet ska finnas. - d) Underbiträdet ska åläggas samma skyldigheter som biträdet har.

30 Avtal idag - exempel Enterpriseavtal (huvudavtal) - här bör personuppgiftsbiträdesavtal finnas - Model Contract Clauses (klausuler anpassade för EU:s dataskyddsdirektiv för gränsöverskridande personuppgiftsöverföring). Alternativt att leverantörer följer Privacy Shield Data processing Amendment (tillägg som reglerar hur data används) bit.ly/molntjänster-i-skolan

31 Informationsägarnas ansvar

32 Förberedelser som skolhuvudmannen kan göra redan nu Inventera - Finns register? - I vilka sammanhang hanteras personuppgifter? - Vilka it-tjänster hanterar personuppgifter? Vilken sorts personuppgifter? - Är informationssäkerhetsklassning, PuL-bedömning, risk- och sårbarhetsanalys gjorda? - Se över avtalen med personuppgiftbiträden Dokumentera där dokumentation saknas Förbered verksamheten - Informera, diskutera - Utbildningsinsatser kring personuppgiftsbehandling, informationssäkerhet, digitala ekosystemet av it-tjänster

33 Ett pussel av it-tjänster

34 Riktlinjer för användning Förankring i verksamheten Information till vårdnadshavare PuLbedömning Avtal Informations -säkerhetsklassning Risk- och sårbarhetsanalys 3-partsprodukter Rutiner för att testa nya tjänster Kontohantering Kontinuitets -planer

35 Riktlinjer vilka tjänster används till vad? bit.ly/molntjänster-i-skolan

36 (Integritets)känslig information Formativ respons Summerande omdöme Utvecklingsplaner Stödinsatser/åtgärdsprogram Foton och filmer på barn/elever Elevers uppsatser och arbeten bit.ly/molntjänster-i-skolan

37 Riktlinjer för användning Förankring i verksamheten Information till vårdnadshavare PuLbedömning Avtal Informations -säkerhetsklassning Risk- och sårbarhetsanalys 3-partsprodukter Rutiner för att testa nya tjänster Kontohantering Kontinuitets -planer

38

39 Vägledningar och mer information bit.ly/gdpr-sv - Dataskyddsförordningen på svenska bit.ly/skl-gdpr - bl.a. ett tidigare webinarium om Dataskyddsförordningen bit.ly/molntjänster-i-skolan - vägledningar, dokumentationsmallar och Mittköpings arbete skl.se/skolansdigitalisering - allmänt om SKL:s arbete med skola och lärande i en digital värld