Personuppgifter m.m. i skolan Regler om hur personuppgifter får behandlas Idag PuL, from 1/5 2018 ny Dataskyddsförordning från EU (samt kompletterande nationella regler. Regler om hur olika handlingar ska hanteras Offentlighetsprincipen och regler om sekretess/tystnadsplikt
Personuppgiftslagen PuL Innehåller regler om hur olika personuppgifter får samlas in och hanteras i syfte att skydda enskilda mot att deras personliga integritet kränks genom behandling av personuppgifter. En subsidiär lag, dvs. finns särreglering i annan lagstiftning gäller den, se t.ex. kameraövervakningslagen Ska finnas personuppgiftsansvarig och personuppgiftsombud som ansvarar för att hanteringen sker i enlighet med PuL. Lagen bygger på att behandling bara får ske om det finns stöd i PuL för att behandla dem. Särskilt restriktivt vad gäller känsliga personuppgifter (ras och etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa och sexualliv).
När får personuppgifter behandlas? PuL 10 : Personuppgifter får bara behandlas om den enskilde lämnat sitt samtycke till behandlingen eller: a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet, c) vitala intressen för den registrerade skall kunna skyddas, d) en arbetsuppgift av allmänt intresse skall kunna utföras,
Fortsättning... e) den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
Känsliga personuppgifter Känsliga personuppgifter får behandlas: Om den enskilde gett sitt samtycke eller offentliggjort uppgifterna på ett tydligt och medvetet sätt om behandlingen är nödvändig för att: a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, b) den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke, eller c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras
Krav enligt PuL Det bör i förväg preciseras och tydliggöras vilka uppgifter man tänker samla in och varför Den som är personuppgiftsansvarig ska vidta lämpliga åtgärder för att skydda de personuppgifter som hanteras. Personuppgifter ska inte vara tillgängliga för andra än de som behöver det i sin yrkesutövning (särskilt stränga regler inom skolhälsovård) Den som är personuppgiftsansvarig ska se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen Elever/vårdnadshavare ska informeras om vilka uppgifter som behandlas och på vilket sätt.
Den nya Dataskyddsförordningen Främsta syftet med de nya reglerna är att stärka enskildas rätt (främst barns rättigheter) vid behandling av personuppgifter samt att skapa en mer enhetlig reglering inom EU
Dataskyddsförordningen Enligt förordningen får personuppgifter behandlas: 1. Den registrerade har la mnat sitt samtycke till att dennes personuppgifter behandlas fo r ett eller flera specifika a ndama l. 2. Behandlingen a r no dva ndig fo r att fullgo ra ett avtal i vilket den registrerade a r part eller fo r att vidta a tga rder på bega ran av den registrerade innan ett sa dant avtal inga s. 3. Behandlingen a r no dva ndig fo r att fullgo ra en ra ttslig fo rpliktelse som a vilar den personuppgiftsansvarige. 4. Behandlingen a r no dva ndig fo r att skydda intressen som a r av grundla ggande betydelse fo r den registrerade eller fo r en annan fysisk person.
Fortsättning... 5.Behandlingen a r no dva ndig fo r att utfo ra en uppgift av allma nt intresse eller som ett led i den personuppgiftsansvariges myndighetsuto vning. 6. Behandlingen a r no dva ndig fo r a ndama l som ro r den personuppgiftsansvariges eller en tredje parts bera ttigade intressen, om inte den registrerades intressen eller grundla ggande ra ttigheter och friheter va ger tyngre och kra ver skydd av personuppgifter, sa rskilt na r den registrerade a r ett barn.
Dataskyddsförordningen Betra ffande skolwebbplatser bör gälla att spridning av personinformation via webbplatser kra ver ett striktare iakttagande av grundla ggande principer fo r uppgiftsskydd. I syfte att skydda sa dan information rekommenderas skolorna att anva nda mekanismer fo r begra sning av tilltra det till webbplatserna, t.ex. genom inloggning med hja lp av anva ndar-id och personlig sa kerhetskod. Publicering av fotografier av eleverna på internet bo r go ras grundat på en bedo mning av vilken typ av foto det ro r sig om, av om det a r la mpligt att la gga ut fotot på na tet och av syftet med utla ggningen. Eleverna och va rdnadshavarna bo r på fo rhand underra ttas om publiceringen, men samtycke beho ver inte no dva ndigtvis inha mtas av va rdnadshavarna om det ga ller gruppfoto och det inte a r enkelt att identifiera eleverna. Om en skola har fo r avsikt att la gga ut individuella foton av eleverna med uppgift om deras identitet, ma ste den fo rst inha mta va rdnadshavarnas och beroende på elevernas mognnadsgrad elevernas tillsta nd fo r detta.
Vad är nytt Viktigt kunna visa att uttryckligt samtycke getts. Stärkt skydd för barns personuppgifter Rapporteringsskydlighet vid personuppgiftsincidenter Är personuppgiftsbehandlingen förenad med särskilda integritetsrisker ska särskild skyddsanalys göras Datainspektionen kan utfärda en sanktionsavgift vid brott mot förordningen Samtycke ska i vissa fall tas från barn om barnet fyllt 13 år
Vad är nytt? Stärkta rättigheter för den enskilde De registrerades rättigheter har utökats, förstärkts och specificerats i dataskyddsförordningen jämfört med personuppgiftslagen. Dessa rättigheter innebär i korthet att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har de bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta sina uppgifter samt att göra invändningar
Vad är nytt? Register Både personuppgiftsansvariga och personuppgiftsbiträden är enligt dataskyddsförordningen skyldiga att föra ett register över sina behandlingar av personuppgifter. Vad som ska finnas med i förteckningen framgår uttryckligen i förordningen, till exempel ändamålen med behandlingen, beskrivning av kategorierna av registrerade och kategorierna av personuppgifter, eventuella externa mottagare av personuppgifterna och om uppgifter förs över till tredjeland.
Vad är nytt Dataskyddsombud: Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. Gäller bl.a. för myndigheter
Hur ska man göra? Dataskyddsförordningen kommer antagligen inte innebära några större förändringar avseende skolors möjlighet att behandla personuppgifter. Det går dock inte att i nuläget exakt säga vilka ändringar i svenska lagar och förordningar som den kommer leda till. Det blir dock viktigare att göra rätt. Ha tydliga och genomarbetade rutiner för hur personuppgifter ska hanteras. Underhåll systemet! Regeringen ska ge la mplig myndighet i uppdrag att vidta a tga rder fo r att initiera och sto dja utarbetandet av en uppfo randekod fo r skolva sendet. Förslag från utredning i (SOU 2017:49)
Hur ska man göra? Inbyggt dataskydd (privacy by design) innebär att man tar hänsyn till integritetsskyddsreglerna redan när man utformar it-system och rutiner. Det är ett sätt att se till att kraven i dataskyddsförordningen uppfylls och att den registrerades rättigheter skyddas. Kravet på dataskydd som standard (privacy by default) innebär i korthet att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan. Det kan till exempel handla om att de förvalda inställningarna i en tjänst för sociala media är satta så att inte mer information än nödvändigt samlas in, delas ut eller visas.