Dataskyddsförordningen i utbildningsverksamhet Vasa, Ledande jurist Ida Sulin Finlands Kommunförbund
Ny personuppgiftslag, 25.5.2018 EU:s dataskyddsför ordning Speciallagstift ning Dataskyddslag 2 [pvm]
Dataskydd och skydd för privalivet i lagstiftningen 3
Finland som personuppgiftsland Skyddet för privatliv och offentlighetsprincipen Vi använder mycket personuppgifter Upplysta användare 4
Utgångspunkter i lagstiftningen En personuppgift» upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet» Till exempel Platsuppgift Bild IP-adress Användar-ID 5
Utgångspunkter i lagstiftningen Behandling av personuppgifter» en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring 6
Utgångspunkter i lagstiftrningen Personuppgiftsansvarigsvarig» en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt 7
Men registren då? Dataskyddsförordningen tillämpas på behandling av personuppgifter, oavsett om de ingår i register Personuppgiftsansvarig» Inte registeransvarig» controller 8
Vad finns var? 9
Innehållet i lagstiftningen Förordning: Grunderna för behandling, närmare bestämmelse av behandling, påföljder och sanktioner Datskdydslag: Precisering av förordningen, särskilda uppgifter, allmän nytta, tillsynsmyndighet, straff Speciallagstiftning: Sektorvisa specialvillkor Offentlighetslag: Utlämnande av personuppgifter (OL 16.3 ) 10
Grundprinciper 11
Förändringar Processer» Planerings- och säkerställningsskyldighet» Den personuppgiftsansvarigas ansvar betonas» Information och kommunikation System» Datatekniska krav, inklusive datasäkerhet» Funktionella krav Upphandlingar» Avtalskrav» Ansvarsfördelning» Den ansvarigas helhetsansvar Personal 12
Grundprinciper för behandling (art 5) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet)» Öppenhetsprincipen kräver att all information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och lättbegriplig samt att ett klart och tydligt språk används.» Fysiska personer bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på behandlingen. De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).» De specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in.» Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av uppgifter. 13
Grundprinciper Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).» Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Uppgifterna ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet). 14
Grundprinciper Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet). Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).» Dokumentation, planering, ansvar och kunskap. 15
Grunder för behandling 16
När får personuppgifter behandlas? (art 6) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.» Till exempel kundernas eller kundens anställdas uppgifter» Behandling inom koncernen eller för marknadsföring i vissa fall 17
Rättslig förpliktelse, allmänt intresse, berättigat intresse Rättslig förpliktelse -> allmänt intresse -> berättigat intresse Rättslig förpliktelse» Kräver inte att personuppgifter nämns i lagen Allmänt intresse» Tillmämpas på offentliga sektorn, inte näringsliv» Ingen intresseavvägning» Esim. forskning Identifieras antingen i speciallagstfiftning (ex. RP om social- och hälsovårdsuppgifternas användning) eller av personuppgiftsansvarig (ex. Kommunens eftermiddagsklubbar) Länk till den personuppgiftsansvariges stadgade verksamhet Berättigat intresse» Näringsliv» Kräver intresseavvägning: Berättigat intresse vs. skyddet för privaliv» Kräver också skyddsåtgärder 18
Särskilda kategorier av personuppgifter, art 9 ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. 19
När får särskilda uppgifter behandlas? Datskyddslagen:» I samband med lagstadgade uppgifter» Sote Förordning: Medgivande Om särskilda uppgifter behandlas skall ytterligare säkerhetsåtgärder vidats» Loggar» Utbildning» Pseudonymisering» Kryptering» Osv. 20
Personuppgifter på bildningssektorn 21
Vilka uppgifter får behandlas? Lagen bestämmer vilka lagstadgade uppgifter som finns Kommunen bestämmer om de allmänna uppgifterna Personuppgifter kan bara behandlas för att sköta dessa uppgifter» Bara till den del det är nödvändigt för att sköta dessa uppgifter» Bara så länge det är nödvändigt för att sköta dessa uppgifter Känsliga uppgifter bara på grund av lagstadgad uppgift 22
Rätt till information Såväl elever som deras föräldrar har rätt till information enligt artikel 13 och 14» Vilka uppgifter, hur länge, varför och vem, var?» Vilka rättigheter har man och hur kan dessa användas? 23
Wilma och dataskydd Visma har ännu inte anpassat Wilma till GDPR (enligt hemsida 19.3.2018) Upp till personuppgiftsansvarig att göra» Minimering» Se till att bara nödvändig användning» Begränsa tillgång etc. 24
Håksa! Register, datasystem och behandling av personuppgifter» Registeransvarig är skyldig att se till att inga onödiga uppgifter behandlas» Bara dom som behöver uppgifterna (VANLIGA) eller ar rätt på basen av lag (KÄNSLIGA UPPGIFTER) får behandla dem Sekretess en sak för sig www.arjentietosuoja.fi -> kan den användas i skolan på svenska? 25