Personuppgifter m.m. i skolan

Relevanta dokument
Personuppgifter m.m. i skolan

Dataskyddsförordningen

PUL OCH DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Riktlinjer för behandling av personuppgifter i Årjängs kommun

GDPR- Seminarium 2017

Personuppgiftsinformation för Svedala kommun

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

PERSONUPPGIFTSLAGEN (PUL)

Personuppgiftsbiträdesavtal

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Skolan och Dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Dataskyddsförordningen

Personuppgiftsbehandling Dataskydd

Dataskyddsförordningen (GDPR)

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Lathund Personuppgiftslagen (PuL)

VERSION

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Personuppgiftslagen (PuL) - En kort introduktion

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Koncernkontoret Enheten för juridik

GDPR. General Data Protection Regulation. dataskyddsförordningen

Dataskyddsförordningen

GDPR. Dataskyddsförordningen

Kerstin Wardman, 25 april 2018

Integritet och behandling av personuppgifter

Dataskyddsförordningen och kvalitetsregister

GDPR. Ulrika Harnesk 17 oktober 2018

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Behandling av personuppgifter vid Göteborgs universitet

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Så behandlar vi dina personuppgifter

Vården och reglerna om dataskydd

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Försvarets radioanstalts (FRA) behandling av personuppgifter

Den nya Dataskyddsförordningen

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Dataskyddsförordningen GDPR

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

INFORMATIONSSÄKERHET OCH DATASKYDD

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Lathund Dataskydd för krögare

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Välkomna till kurs i den nya dataskyddsförordningen

Riktlinjer för behandling av personuppgifter inom skolans område

Policy för behandling av personuppgifter

INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Hantering av personuppgifter i Ekobrottsmyndighetens verksamhet

Fastställelsedatum: Ansvarig: Dataskyddsombud. Revideras: Följas upp: Vart fjärde år

EU:s dataskyddsförordning

Mertzig Asset Management AB

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Riktlinjer för att tillvarata enskildas rättigheter

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Dataskyddsförordningen för prefekter och administrativa chefer

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Regler för behandling av personuppgifter enligt personuppgiftslagen

Skolorna visar brister i att hantera personuppgifter

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Svensk författningssamling

Integritet och behandling av personuppgifter. Näringslivets Regelnämnd samt Näringslivets Regelnämnd NNR AB

Policy för behandling av personuppgifter

INTEGRITETSPOLICY FÖR BOSTADSRÄTTSFÖRENINGEN BOKLOK Eriksbergsbergsterrassen

Lindesbergs kommuns arbete med dataskyddsförordningen

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Information om behandling av personuppgifter

INTEGRITETSPOLICY för Webcap i Sverige AB

För att tillvarata medlemmarnas enskildas rättigheter

Så här behandlar V-Dala överförmyndarsamverkan dina personuppgifter

Personuppgiftsbehandling för forskningsändamål

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

GDPR definition och hur utbildningen berör(t)s av förordningen

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Teckna personbiträdesavtal för användande av Googles molntjänst Apps for Education (GAFE)

Integritet och behandling av personuppgifter

GDPR och hantering av personuppgifter

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Personuppgiftspolicy Signera Rekrytering AB

Riktlinjer för personuppgiftshantering

Transkript:

Personuppgifter m.m. i skolan Regler om hur personuppgifter får behandlas Idag PuL, from 1/5 2018 ny Dataskyddsförordning från EU (samt kompletterande nationella regler i form av en ny dataskyddslag samt även sannolikt ett nytt 28 a kap. i skollagen). Regler om hur olika handlingar ska hanteras Offentlighetsprincipen och regler om sekretess/tystnadsplikt

Vad är en personuppgift? Varje uppgift som kan härledas till en specifik individ

Personuppgiftslagen PuL Innehåller regler om hur olika personuppgifter får samlas in och hanteras i syfte att skydda enskilda mot att deras personliga integritet kränks genom behandling av personuppgifter. En subsidiär lag, dvs. finns särreglering i annan lagstiftning gäller den, se t.ex. kameraövervakningslagen Ska finnas personuppgiftsansvarig och personuppgiftsombud som ansvarar för att hanteringen sker i enlighet med PuL. Lagen bygger på att behandling bara får ske om det finns stöd i PuL för att behandla dem. Särskilt restriktivt vad gäller känsliga personuppgifter (ras och etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa och sexualliv).

När får personuppgifter behandlas? PuL 10 : Personuppgifter får bara behandlas om den enskilde lämnat sitt samtycke till behandlingen eller: a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet, c) vitala intressen för den registrerade skall kunna skyddas, d) en arbetsuppgift av allmänt intresse skall kunna utföras,

Fortsättning... e) den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

Känsliga personuppgifter Känsliga personuppgifter får behandlas: Om den enskilde gett sitt samtycke eller offentliggjort uppgifterna på ett tydligt och medvetet sätt om behandlingen är nödvändig för att: a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, b) den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke, eller c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras

Känsliga personuppgifter Exempel på nödvändig behandling som inte kräver samtycke: Uppgifter om etnicitet som behövs för att tillgodose rätten till modersmålsundervisning Viss behandling inom elevhälsan

Känsliga personuppgifter Känsliga personuppgifter som kräver samtycke för att behandlas: Att ange sjuk i samband med närvarorapportering.

Känsliga personuppgifter Enligt nya dataskyddslagen får känsliga personuppgifter hanteras om det finns en lagstadgad skyldighet att hantera uppgifterna. Utgör grund för att offentlighetsprincipen ska kunna fungera som förut.

Förslag från regeringen om nytt kap i skollagen Känsliga personuppgifter får hanteras hos en enskild huvudman: 1. om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller 2. i annat fall, om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Nödvändigt lagstöd för att fristående skolor ska kunna hantera känsliga personuppgifter.

Förslag från regeringen om nytt kap i skollagen Personuppgifter om lagöverträdelser får behandlas i verksamhet hos en huvudman för en fristående skola om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet 1. i löpande text inom elevhälsan, och 2. i skriftlig dokumentation som ska föras enligt 5 kap. 24.

Elevhälsa 4 kap. 1 patientdatalagen Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.

Personnummer 22 PuL: Uppgifter om personnummer eller samordningsnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till a) ändamålet med behandlingen, b) vikten av en säker identifiering, eller c) något annat beaktansvärt skäl.

Personnummer Datainspektionen har beträffande klasslistor uttalat följande: Förekommer personnummer på klasslistor måste det stödja sig på 22 PuL Datainspektionen anser det tveksamt om det är motiverat, i förhållande till ändamålen, att från de elevadministrativa registren göra en datautskrift på elevers födelsedatum huvudsakligen i syfte att underlätta för elever att gratulera varandra på födelsedagen.

Skyddade personuppgifter Helhetsbedömningen i det enskilda fallet, olika uppgifter kan behöva skyddas i olika situationer. Markera tydligt att uppgifter är skyddade så att alla som kommer i kontakt med uppgifterna blir medvetna om det. Begränsa så långt som möjligt de uppgifter som behandlas Begränsa åtkomsten Informera och utbilda all berörd personal

Krav enligt PuL Det bör i förväg preciseras och tydliggöras vilka uppgifter man tänker samla in och varför Den som är personuppgiftsansvarig ska vidta lämpliga åtgärder för att skydda de personuppgifter som hanteras. Personuppgifter ska inte vara tillgängliga för andra än de som behöver det i sin yrkesutövning (särskilt stränga regler inom skolhälsovård) Den som är personuppgiftsansvarig ska se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen Elever/vårdnadshavare ska informeras om vilka uppgifter som behandlas och på vilket sätt.

Molntjänster Enligt Datainspektionen innebär molntjänster att exempelvis processorkraft, lagring och funktioner tillhandahålls av leverantörer som tjänster över internet. T.ex. GAFE (Google Apps for Education) är en tjänst, en svit av kostnadsfria produktivitetsverktyg för samarbete i klassrummet, som Google tillhandahåller via internet för att underlätta kommunikation och samarbete mellan lärare och elever under utbildningen. Verktygen består bland annat i webbpublicering, kalender och lagring av dokument som är speciellt anpassade för användning inom pedagogisk verksamhet. Verktygen kan nås från fasta och mobila anslutningar, t.ex. mobiltelefoner eller läsplattor, efter registrering av en domän med tilldelande av användarkonton till eleverna och lärarna. Varje användare får därigenom tillgång till tjänsten och ett eget konto med visst lagringsutrymme.

Molntjänster När systemet är tillgängligt via internet och integritetskänsliga uppgifter förekommer krävs särskilda säkerhetsåtgärder för att tillse att rätt personer får åtkomst till uppgifterna och att de överförs på ett säkert sätt, varför det krävs stark autentisering (exempelvis engångslösenord eller e-legitimation) och krypteringsskydd vid överföringen. Det måste finnas ett avtal med tjänsteleverantören där det anges att leverantören bara får behandla personuppgifterna i enlighet med instruktioner från den personuppgiftsansvarige och att leverantören ska ha god IT-säkerhet. Uppgifterna måste gallras när de inte längre behövs och den personuppgiftsansvarige ansvarar även för att leverantören gör detta. Även i övrigt se till så att generella regler om hantering av personuppgifter följs.

Den nya Dataskyddsförordningen Främsta syftet med de nya reglerna är att stärka enskildas rätt (främst barns rättigheter) vid behandling av personuppgifter samt att skapa en mer enhetlig reglering inom EU

Dataskyddsförordningen Enligt förordningen får personuppgifter behandlas: 1. Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. 2. Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. 3. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. 4. Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

Fortsättning... 5.Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. 6. Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Dataskyddsförordningen Beträffande skolwebbplatser bör gälla att spridning av personinformation via webbplatser kräver ett striktare iakttagande av grundläggande principer för uppgiftsskydd. I syfte att skydda sådan information rekommenderas skolorna att använda mekanismer för begräsning av tillträdet till webbplatserna, t.ex. genom inloggning med hjälp av användar-id och personlig säkerhetskod. Publicering av fotografier av eleverna på internet bör göras grundat på en bedömning av vilken typ av foto det rör sig om, av om det är lämpligt att lägga ut fotot på nätet och av syftet med utläggningen. Eleverna och vårdnadshavarna bör på förhand underrättas om publiceringen, men samtycke behöver inte nödvändigtvis inhämtas av vårdnadshavarna om det gäller gruppfoto och det inte är enkelt att identifiera eleverna. Om en skola har för avsikt att lägga ut individuella foton av eleverna med uppgift om deras identitet, måste den först inhämta vårdnadshavarnas och beroende på elevernas mognadsgrad elevernas tillstånd för detta.

Vad är nytt Viktigt kunna visa att uttryckligt samtycke getts. Stärkt skydd för barns personuppgifter Rapporteringsskydlighet vid personuppgiftsincidenter Är personuppgiftsbehandlingen förenad med särskilda integritetsrisker ska särskild skyddsanalys göras Datainspektionen kan utfärda en sanktionsavgift vid brott mot förordningen Samtycke ska i vissa fall tas från barn om barnet fyllt 13 år

Samtycke Fram till att den unge fyller 18 år är vårdnadshavaren rättslig ställföreträdare för den unge. Den unge blir dock alltmer självständig gentemot vårdnadshavaren i takt med stigande ålder och mognad. 29 kap. 12 skollagen den som fyllt 16 år har talerätt i ärenden enligt lagen (gäller även för yngre elever vid ansökan till utbildning) Av praxis följer att det nog i många fall kan vara lämpligt att ta samtycke både från elev och vårdnadshavare från ca 13 års ålder

Vad är nytt? Stärkta rättigheter för den enskilde De registrerades rättigheter har utökats, förstärkts och specificerats i dataskyddsförordningen jämfört med personuppgiftslagen. Dessa rättigheter innebär i korthet att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har de bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta sina uppgifter samt att göra invändningar

Förändrade roller Den personuppgiftsansvarige ( Pua): Den för verksamheten ansvariga nämnden, som bestämmer ändamål och medel för personuppgiftsbehandling. Personuppgiftsbiträde: Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Normalt ett företag, men kan vara en fysisk person. Dataskyddsombud- idag personuppgiftsombud. Blir obligatoriskt för alla myndigheter. En fysisk person, kan vara anställd hos myndigheten eller upphandlad konsult.

Personuppgiftsbiträdet Personuppgiftsbiträdet får ett självständigt skadeståndsansvar gentemot de registrerade. Skyldigheterna för biträdet preciseras i lagtexten. Biträdet blir skyldig att hålla ett register över kategorier av behandlingar, art 30. Ytterligare villkor vad gäller innehållet i avtalet med personuppgiftsbiträdet. Biträdet får anlita egna underbiträden bara om den personuppgiftsansvarige lämnat skriftligt förhandstillstånd Ett sådant underbiträde skall åläggas samma skyldigheter avseende dataskydd som det ursprungliga biträdet

Dataskyddsombudet Dataskyddsombudet alla myndigheter måste ha ett ombud. Rollen förstärks, ökade krav - självständighet, resurser och kompetens understryks särskilt En person kan vara ombud för flera myndigheter. I uppgifterna ingår att - informera och ge råd till personuppgiftsansvarig och biträdet. - övervaka regelefterlevnaden. - ta emot klagomål från registrerade - fungera som kontaktpunkt för tillsynsmyndigheten.

Vad är nytt? Register Både personuppgiftsansvariga och personuppgiftsbiträden är enligt dataskyddsförordningen skyldiga att föra ett register över sina behandlingar av personuppgifter. Vad som ska finnas med i förteckningen framgår uttryckligen i förordningen, till exempel ändamålen med behandlingen, beskrivning av kategorierna av registrerade och kategorierna av personuppgifter, eventuella externa mottagare av personuppgifterna och om uppgifter förs över till tredjeland. Vårdnadshavare har rätt begära registerutdrag

Hur ska man göra? Dataskyddsförordningen kommer antagligen inte innebära några större förändringar avseende skolors möjlighet att behandla personuppgifter. Det går dock inte att i nuläget exakt säga vilka ändringar i svenska lagar och förordningar som den kommer leda till. Det blir dock viktigare att göra rätt. Ha tydliga och genomarbetade rutiner för hur personuppgifter ska hanteras. Underhåll systemet! Regeringen ska ge lämplig myndighet i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet. Förslag från utredning i (SOU 2017:49) Datainspektionen föreslog i remissyttrande på ovan utredning att det istället för uppförandekod borde införas en särskild skoldatalag.

Hur ska man göra? Inbyggt dataskydd ( privacy by design) innebär att man tar hänsyn till integritetsskyddsreglerna redan när man utformar it-system och rutiner. Det är ett sätt att se till att kraven i dataskyddsförordningen uppfylls och att den registrerades rättigheter skyddas. Kravet på dataskydd som standard (privacy by default) innebär i korthet att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan. Det kan till exempel handla om att de förvalda inställningarna i en tjänst för sociala media är satta så att inte mer information än nödvändigt samlas in, delas ut eller visas.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss