e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg www.pulpedagogen.se
Personuppgiftslagen (PuL)
Vad tänka på i PuL när det gäller e-förvaltning? Missbruksregeln - Hanteringsregeln Ändamålet God sed Gallring Innehåll Information Säkerhet Åtkomst Utlämnande
PuL är subsidiär (2 ) Bestämmelser i annan lag eller förordning gäller i stället för PuL (t.ex. arkivlagen)
Vissa undantag i PuL Undantag från hela lagen behandling för privata ändamål tryckfrihetsförordningen (TF) yttrandefrihetsgrundlagen (YGL) Undantag från allt i lagen utom från säkerhetsbestämmelserna journalistiskt ändamål konstnärligt eller litterärt skapande behandling i ostrukturerat material (som inte ingår i någon strukturerad databas) får inte kränka den registrerade (missbruksregeln)
Vad är ostrukturerat material? Personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter.
T.ex. Löpande text i ordbehandlingsprogram Löpande text på Internet Ljud- och bildupptagningar Sökmotorer på Internet Namngivning av mappar i datorns filsystem Användning av datorstödd kommunikation (ej loggarna) Enkel personuppgiftsanknuten strukturering (personuppgifter som skrivits i en viss ordning)
Vad kan vara en kränkning? Att samla personuppgifter för att förfölja eller skandalisera en person. Att samla en stor mängd uppgifter om en person utan något godtagbart skäl. Att medvetet behandla uppgifter som är klart felaktiga eller missvisande. Att sprida uppgifter som innebär förtal eller förolämpning. Att kringgå hanteringsreglerna för att på så sätt få behandla uppgifter som man annars inte fått behandla.
Personuppgifter All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
Ändamålen Särskilda, uttryckligt angivna och berättigade Ej behandla för ändamål som är oförenligt med ursprungliga ändamålet Håll dig alltid till ändamålen!
God sed Gör som en ansvarsfull personuppgiftsansvarig skulle ha gjort!
Gallring Ta bort uppgifter som inte längre behövs med hänsyn till ändamålet Tänk på att arkivlagen kanske säger att uppgifter måste sparas!
Innehåll Skriv inga värderingar i fritextfält (och inte någon annanstans heller) Uppgifterna ska vara riktiga och aktuella Bra-att-ha-uppgifter får inte finnas! Bara sådana uppgifter som verkligen behövs får registreras
När får man behandla personuppgifter? Om man har fått ett samtycke eller om det är nödvändigt för a) avtal b) rättslig skyldighet c) skydda vitala intressen för den registrerade d) arbetsuppgift av allmänt intresse e) myndighetsutövning eller efter en a) intresseavvägning
Vad är ett samtycke? Viljeyttring som ska vara frivillig särskild otvetydig Tillräcklig information krävs Skriftligt, muntligt eller i form av konkludent handlande spelar ingen roll
Internetpublicering Exempel på sådant som normalt är tillåtet utan samtycke arbetsplatsrelaterade uppgifter om anställda på arbetsgivares webbplats uppgifter om kontaktperson på webbplats med samhällsinformation
Internetpublicering Exempel på sådant som normalt inte är tillåtet utan samtycke anställdas privata uppgifter (hemadress) på arbetsgivarens webbplats fotografier där man kan identifiera enskilda personer
När får man registrera personnummer? Samtycke, eller klart motiverat med hänsyn till ändamålet med behandlingen vikten av en säker identifiering något annat beaktansvärt skäl
Vilka uppgifter är känsliga? Uppgifter som avslöjar etniskt ursprung politiska åsikter samt religiösa eller filosofiska övertygelser medlemskap i fackförening Uppgifter som rör hälsa och sexualliv
Som huvudregel är det förbjudet att behandla känsliga uppgifter Undantag Uttryckligt samtycke Eget offentliggörande Nödvändigt för arbetsrätten skydda vitala intressen fastställa, göra gällande eller försvara rättsliga anspråk Ideella organisationer (politiskt, religiöst, filosofiskt eller fackligt syfte) Hälso- och sjukvård Forskning (om godkänt av etikprövningsnämnd) Statistik (om samhällsintr. klart väger över risk för integritetsintrång) Myndighet i löpande text (om uppgifterna lämnats i ett ärende eller är nödvändiga för handläggningen)
Information till den registrerade Tala om vem som är personuppgiftsansvarig Berätta om vad uppgifterna används till Lämna också övriga upplysningar för att den registrerade ska kunna ta tillvara sina rättigheter t.ex. eventuella mottagare av uppgifter rättigheten att begära registerutdrag rättigheten att få uppgifter rättade
Den registrerade har rätt till registerutdrag Gratis en gång per kalenderår Information skall lämnas om: vilka uppgifter som behandlas varifrån uppgifterna kommer ändamålen med behandlingen mottagare av uppgifterna Den registrerade skall ansöka skriftligt hos den personuppgiftsansvarige.
Säkerhetsåtgärder Lämpliga tekniska och organisatoriska åtgärder ska vidtas. Beakta: tekniska möjligheter kostnad risker känslighet hos uppgifterna
Åtkomst Bara den som verkligen behöver uppgifterna i sitt arbete får ta del av dem
Säkerhetsåtgärder att tänka på Autenticering (t.ex. med engångslösenord om det handlar om integritetskänsliga uppgifter tillgängliga via Internet) Behörighetstilldelning Detaljerade loggar för att utreda felaktig eller obehörig användning av personuppgifter visa t.ex. läsning, ändring, utplåning, kopiering (beroende på känsligheten hos uppgifterna) Kommunikation via öppna nät av känsliga personuppgifter bör säkerställas med kryptering
Hur ska E-tjänsterna utformas för att följa PuLs regler?
Några exempel på e-tjänster och vad man måste tänka på i PuL Skolwebb innehåll information samtycke om känsliga uppgifter säkerhet Ansökningsblanketter på nätet information säkerhet Webbsändningar från kommunfullmäktigesammanträden anmälan till RTVV
Några exempel på e-tjänster och vad man måste tänka på i PuL (forts.) Trygghetssajter tillåten behandling? information säkerhet Information om förtroendevalda och tjänstemän information ev. samtycke
Några exempel på e-tjänster och vad man måste tänka på i PuL (forts.) Diarier och protokoll på webben diarier enligt 15 kap. 2 sekretesslagen kallelser till fullmäktige eller nämnd justerade protokoll Ta bort personuppgifter som direkt pekar ut den registrerade uppgift om förtroendevald får publiceras harmlösa uppgifter om andra får publiceras
Några exempel på e-tjänster och vad man måste tänka på i PuL (forts.) Boklån information säkerhet sekretess Min sida information säkerhet
Kristina Blomberg 08-36 22 30 070-751 90 41 kristina.blomberg@pulpedagogen.se www.pulpedagogen.se