Dataskyddsförordningen i utbildningsverksamhet

Relevanta dokument
Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Instruktion till mall för registerförteckning

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Policy för personuppgiftsbehandling

GDPR- Seminarium 2017

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Dataskydd och forskning i Europa och Sverige

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

GDPR. Ulrika Harnesk 17 oktober 2018

Behandling av personuppgifter vid Göteborgs universitet

Dataskyddsförordningen

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

PuL och GDPR en översiktlig genomgång

Vården och reglerna om dataskydd

PERSONUPPGIFTSBITRÄDESAVTAL

Dataskyddsförordningen - GDPR

Dataskyddsförordningen för prefekter och administrativa chefer

EU:s nya dataskyddsförordning Lotta Wikman Öman

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Dataskyddsförordningen

Att hantera personuppgifter

Personuppgiftsbiträdesavtal

GDPR definition och hur utbildningen berör(t)s av förordningen

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

GDPR NYA DATASKYDDSFÖRORDNINGEN

Kerstin Wardman, 25 april 2018

GDPR - Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

GDPR. Anders Ahlström

Välkomna till kurs i den nya dataskyddsförordningen

Dataskyddsförordningen GDPR

Personuppgiftsbehandling Dataskydd

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

Information om behandling av personuppgifter

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

BOOK-IT OCH GDPR Magdalena Olofsson

Personuppgiftsbiträdesavtal

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Koncernkontoret Enheten för juridik

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Senior Associate på Jansson & Norin, a part of Fondia Juristexamen från London och Paris Varit verksam som jurist sedan 2009

- att fullgöra ett avtal som den Registrerade är part i,- att fullgöra en rättslig förpliktelse som åvilar den Personuppgiftsansvarige,

Dataskyddsförordningen GDPR - General Data Protection Regulation

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Dataskyddsförordningen (GDPR)

Personuppgiftsinformation för Svedala kommun

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Den nya dataskyddsförordningen

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

GDPR Presentation Agenda

Dataskyddsförordningen

Mertzig Asset Management AB

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Personuppgiftsbehandling för forskningsändamål

EU:s dataskyddsförordning. JD, VH Ida Sulin

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Förändringar för hälso- och sjukvården genom EU: s dataskyddsförordningen (förordningen) GDPR

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

REV Informerar. GDPR-Dataskyddsförordningen. Riktlinjer för enskilda väghållare RIKSFÖRBUNDET ENSKILDA VÄGARS INFORMATIONSHÄFTE.

Denna policy gäller för Fordonsmäklarna (kallad Fordonsmäklarna eller "vi") behandling av kunders personuppgifter.

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

Antagen av kommunstyrelsen den Dataskyddspolicy Lemlands kommun

Dataskyddsförordningen

Riktlinjer för behandling av personuppgifter

GDPR General data protection regulation Dataskyddsförordningen

Regler för behandling av personuppgifter vid Högskolan Dalarna

INTEGRITETSPOLICY FÖR BOSTADSRÄTTSFÖRENINGEN BOKLOK Eriksbergsbergsterrassen

POLICYDOKUMENT GDPR. Fortinova AB Fortinova Fastigheter AB (publ) Policydokumentet inbegriper ovanstående bolags dotterbolag

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

Strand Kapitalförvaltning AB:s integritetspolicy

Policy för behandling av personuppgifter

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

MKEF ska säkerställa att personuppgifter ska:

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

Omfattning och syfte Denna policy gäller för Volvo Cars-koncernens (kallad Volvo Cars eller vi ) behandling av kunders personuppgifter.

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Personuppgiftsbiträdesavtal

Behandling av personuppgifter inom Home Care Hemtjänst

Transkript:

Dataskyddsförordningen i utbildningsverksamhet Vasa, Ledande jurist Ida Sulin Finlands Kommunförbund

Ny personuppgiftslag, 25.5.2018 EU:s dataskyddsför ordning Speciallagstift ning Dataskyddslag 2 [pvm]

Dataskydd och skydd för privalivet i lagstiftningen 3

Finland som personuppgiftsland Skyddet för privatliv och offentlighetsprincipen Vi använder mycket personuppgifter Upplysta användare 4

Utgångspunkter i lagstiftningen En personuppgift» upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet» Till exempel Platsuppgift Bild IP-adress Användar-ID 5

Utgångspunkter i lagstiftningen Behandling av personuppgifter» en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring 6

Utgångspunkter i lagstiftrningen Personuppgiftsansvarigsvarig» en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt 7

Men registren då? Dataskyddsförordningen tillämpas på behandling av personuppgifter, oavsett om de ingår i register Personuppgiftsansvarig» Inte registeransvarig» controller 8

Vad finns var? 9

Innehållet i lagstiftningen Förordning: Grunderna för behandling, närmare bestämmelse av behandling, påföljder och sanktioner Datskdydslag: Precisering av förordningen, särskilda uppgifter, allmän nytta, tillsynsmyndighet, straff Speciallagstiftning: Sektorvisa specialvillkor Offentlighetslag: Utlämnande av personuppgifter (OL 16.3 ) 10

Grundprinciper 11

Förändringar Processer» Planerings- och säkerställningsskyldighet» Den personuppgiftsansvarigas ansvar betonas» Information och kommunikation System» Datatekniska krav, inklusive datasäkerhet» Funktionella krav Upphandlingar» Avtalskrav» Ansvarsfördelning» Den ansvarigas helhetsansvar Personal 12

Grundprinciper för behandling (art 5) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet)» Öppenhetsprincipen kräver att all information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och lättbegriplig samt att ett klart och tydligt språk används.» Fysiska personer bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på behandlingen. De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).» De specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in.» Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av uppgifter. 13

Grundprinciper Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).» Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Uppgifterna ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet). 14

Grundprinciper Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet). Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).» Dokumentation, planering, ansvar och kunskap. 15

Grunder för behandling 16

När får personuppgifter behandlas? (art 6) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.» Till exempel kundernas eller kundens anställdas uppgifter» Behandling inom koncernen eller för marknadsföring i vissa fall 17

Rättslig förpliktelse, allmänt intresse, berättigat intresse Rättslig förpliktelse -> allmänt intresse -> berättigat intresse Rättslig förpliktelse» Kräver inte att personuppgifter nämns i lagen Allmänt intresse» Tillmämpas på offentliga sektorn, inte näringsliv» Ingen intresseavvägning» Esim. forskning Identifieras antingen i speciallagstfiftning (ex. RP om social- och hälsovårdsuppgifternas användning) eller av personuppgiftsansvarig (ex. Kommunens eftermiddagsklubbar) Länk till den personuppgiftsansvariges stadgade verksamhet Berättigat intresse» Näringsliv» Kräver intresseavvägning: Berättigat intresse vs. skyddet för privaliv» Kräver också skyddsåtgärder 18

Särskilda kategorier av personuppgifter, art 9 ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. 19

När får särskilda uppgifter behandlas? Datskyddslagen:» I samband med lagstadgade uppgifter» Sote Förordning: Medgivande Om särskilda uppgifter behandlas skall ytterligare säkerhetsåtgärder vidats» Loggar» Utbildning» Pseudonymisering» Kryptering» Osv. 20

Personuppgifter på bildningssektorn 21

Vilka uppgifter får behandlas? Lagen bestämmer vilka lagstadgade uppgifter som finns Kommunen bestämmer om de allmänna uppgifterna Personuppgifter kan bara behandlas för att sköta dessa uppgifter» Bara till den del det är nödvändigt för att sköta dessa uppgifter» Bara så länge det är nödvändigt för att sköta dessa uppgifter Känsliga uppgifter bara på grund av lagstadgad uppgift 22

Rätt till information Såväl elever som deras föräldrar har rätt till information enligt artikel 13 och 14» Vilka uppgifter, hur länge, varför och vem, var?» Vilka rättigheter har man och hur kan dessa användas? 23

Wilma och dataskydd Visma har ännu inte anpassat Wilma till GDPR (enligt hemsida 19.3.2018) Upp till personuppgiftsansvarig att göra» Minimering» Se till att bara nödvändig användning» Begränsa tillgång etc. 24

Håksa! Register, datasystem och behandling av personuppgifter» Registeransvarig är skyldig att se till att inga onödiga uppgifter behandlas» Bara dom som behöver uppgifterna (VANLIGA) eller ar rätt på basen av lag (KÄNSLIGA UPPGIFTER) får behandla dem Sekretess en sak för sig www.arjentietosuoja.fi -> kan den användas i skolan på svenska? 25

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss