Dataskyddsförordningen, GDPR Skoljuristerna nätverk, 2018-12-04 Madeleine Arvidsson Wäli, Dataskyddsombud
Personuppgift Varje uppgift som avser en identifierad eller identifierbar fysisk nu levande person. Direkt eller indirekt identifiering. Namn Kontaktuppgifter Personnummer Fotografier och ljudupptagning Cookies och IP-adresser Klasslistor Lärplattformar Hemsidor och sociala media
Särskilda kategorier av personuppgifter Religiös och filosofisk övertygelse Politisk åsikt och fackföreningsmedlemskap Ras eller etniskt ursprung Sexuell läggning eller sexualliv Hälsotillstånd Biometri, film och foto Genetik
Känsliga personuppgifter Tidigare kallades uppgifter på förra bilden för känsliga uppgifter. Numera menar man ofta uppgifter som kräver lite extra skydd. Exempelvis Personnummer Kontonummer
Personuppgiftsbehandling Alla former av hantering och lagring av personuppgifter. Strukturerat och ostrukturerat. Både papper och digitalt. Redan att ta ett fotografi är att behandla en personuppgift. Den enskilde eleven äger sina uppgifter.
Rättslig grund för behandling Behandlingen är nödvändig Allmänt intresse Myndighetsutövning Rättslig förpliktelse Avtal Grundläggande intressen Intresseavvägning Samtycke Aktivt Frivilligt Specifikt Informerat Otvetydig viljeyttring Ett samtycke går att återkalla. Kräver stora administrativa insatser.
Personuppgiftsincident En incident är generellt allt som sker med en personuppgift som inte var avsikten från början. I många fall ska en incident anmälas till Datainspektionen inom 72 timmar. Vanliga händelser är stöld av dator och mobiltelefon e-post till fel person för stora behörigheter Oavsiktlig eller olaglig Förstöring Förlust Ändring Obehörigt röjande eller åtkomst Gäller personuppgift som Överförs Lagras Behandlas
Faran med att göra fel Anseendet Skriverier i media Skadestånd Ingen nyhet egentligen Sanktionsavgifter Kan kompletteras med varning, reprimand och föreläggande Sanktionsavgifter för myndigheter Max 10 milj kronor Sanktionsavgifter för andra organisationer upp till den högsta summan av 20 milj Euro alt 4 % av årsoms 10 milj Euro alt 2 % av årsoms
Säkerhet Var och hur förvaras utrusningen? Tillträde till lokaler. Vem har tillgång till vad? Behörighetstilldelning. Var används mobila enheter? Tas mobiler med till tredje land? Arbetar man på caféer, tåg eller hotell? Var sparas information? Moln eller källaren? Hur skickas information? E-post kanske bör krypteras. Appar och lärplattformar. Tredje land. Att läsa är att behandla!
GDPR-frågor från kommunerna Utbildningsinsatser i de olika kommunerna och DSOs roll i detta. DSOs roll i GR-kommunerna. Förhandling med stora leverantörer, t ex Tieto och Unikum. GDPR allmänna handlingar Lämna ut en kölista. Digitalt eller papper. Känsliga personuppgifter skyddas genom lämpliga säkerhetsåtgärder. Mallar för samtycke eller informationsbehandling.
Skolfotografering, SER En skola har rätt att behandla de personuppgifter som skolfotograferingen innebär med stöd av GDPRs regler om allmänt intresse, eftersom bilderna används i skolans kärnverksamhet för bland annat identifiering av elever och som ett arbetsredskap för skolpersonal och lärare. Skolan får efter fotograferingen fysiska bildprodukter såsom skolkataloger, porträtt- och gruppbilder samt digitala bilder till användning i skolans system från skolfotoföretaget. http://www.skolfoto.org/gdpr.html
Skolfotografering, SKL Om det inte är kommunen som tar initiativ och beställer/köper in fotograferingen och bilderna inte används i skolans verksamhet så uppstår inte ett PUA/PUB-förhållande. Istället är det ofta det fotograferande företaget som erbjuder vårdnadshavare att köpa bilderna/skolfotokatalogen. Avtalsförhållandet är så att säga mellan dessa två parter. Skolan/kommunens roll blir då enbart att upplåta plats för själva fotograferingen i sina lokaler, och möjligen att lämna ut en klasslista eller motsvarande med nödvändiga uppgifter inför fotograferingen ett utlämnande från kommunen till extern part enligt offentlighetsprincipen. Vi uppfattar med andra ord att det i de flesta fall är skolfotografen själv som är personuppgiftsansvarig, och då behövs inget biträdesavtal.
Exempel på frågor Närvarolistor och klasslistor Specialkost Personnummerhantering Spel- och kunskapssidor och appar Sociala media Fotografier Klassfoto Personal Utflykter Samtycke E-post Sjukanmälan Kunskap Skoljuristernas nätverk Glöm inte att ställa din fråga!
Madeleine Arvidsson Wäli, Dataskyddsombud madeleine.arvidsson.wali@goteborgsregionen.se dso@goteborgsregionen.se 031-335 52 53 Anders Perssonsgatan 8, plan 5