Webbpublicering och personuppgiftslagen Sambruks Vårkonferens, 24-26 april 2012 ingela.alverfors@datainspektionen.se
Agenda Tillsyn av kommuners webbpublicering Relevanta delar av personuppgiftslagen Exempel ur verkligheten Hur minimeras risken för felaktig publicering?
Tillsyn av kommuners webbpublicering 50 kommuner Skriftlig enkät Fokus på webbdiarier och protokoll Övergripande frågor om rutiner, information och publicering av personuppgifter
Hållpunkter i PuL Direkta eller indirekta personuppgifter Strukturerat eller ostrukturerat material Ändamål? Inte fler uppgifter än nödvändigt Samtycke? Intresseavvägning/kränkningsbedömning Vägledning i 12 personuppgiftsförordningen (PuF) Information
Ta vägledning av 12 PuF Vilka personuppgifter får inte publiceras? Känsliga personuppgifter Uppgifter om lagöverträdelser Personnummer eller samordningsnummer Direkt utpekande personuppgifter om det finns risk för att den registrerades personliga integritet kränks
Fulltext, 12 PuF En kommun eller ett landsting får till tredjeland föra över personuppgifter som ingår i 1. ett diarium och som anges i 5 kap. 2 offentlighets- och sekretesslagen (2009:400), 2. en kallelse till ett sammanträde med fullmäktige eller en nämnd, 3. en kungörelse om sammanträde med fullmäktige, eller 4. ett justerat protokoll som har förts vid ett sammanträde med fullmäktige eller en nämnd. Personuppgifter som direkt pekar ut den registrerade får inte föras över. Detta förbud gäller dock inte personuppgifter som rör en förtroendevald, när det gäller hans eller hennes uppdrag. Förbudet gäller inte heller om 1. övriga personuppgifter som rör den registrerade inte är sådana som avses i 13 eller 21 personuppgiftslagen (1998:204), och 2. det saknas skäl att anta att det finns risk för att den registrerades personliga integritet kränks genom överföringen. Personnummer eller samordningsnummer får aldrig föras över. Bestämmelserna i första- tredje styckena gäller även ett kommunalförbund. Med fullmäktige avses i ett sådant fall i stället förbundsfullmäktige eller förbundsdirektionen och med en nämnd avses ett sådant organ som anges i 3 kap. 25 andra stycket kommunallagen.
Varför blir det fel? Allmänna handlingar? Rutiner för publicering och borttagning av personuppgifter? Utgivningsbevis? Nämen ojdå!
Resultat av DI:s kommuntillsyn Samtliga kommuner publicerar protokoll på webben En tredjedel av kommunerna publicerar webbdiarium Personuppgifter för förtroendevalda och tjänstemän publiceras i princip alltid (Endast?) harmlösa personuppgifter publiceras Materialet förhandskontrolleras helt eller delvis Muntliga instruktioner Information till registrerade saknas ofta
Hur gör man rätt? Förhandskontrollera före publicering Använd standardiserade ärendemeningar i webbdiarier Informera de registrerade Utbilda
Skriftliga riktlinjer! Vilka personuppgifter får publiceras? Vem gör bedömningen? Hur länge ska uppgifterna bevaras på webben? Rutin för maskering av känsliga/sekretessbelagda uppgifter? Hantering av länkade dokument/bilagor? Vem ansvarar för publicering och borttagning av personuppgifter?
Sammanfattning PuL ska beaktas vid webbpublicering Den enskildes intresse av integritetsskydd väger som regel tyngre än allmänhetens intresse av insyn Ta fram tydliga riktlinjer och instruktioner för publicering Fastställ ansvar
Aktuella tillsynsprojekt Hantering av skyddade personuppgifter i skolor Elevadministrativa system (inriktning IUP) Användning av mobila enheter GPS-övervakning i förskolor
Kontakta Datainspektionen www.datainspektionen.se Upplysningstjänst, 08-657 61 00 e-posta till datainspektionen@datainspektionen.se