Datum Diarienr 2012-02-06 790-2011 Statens skolinspektion Box 23069 104 35 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen förelägger Statens skolinspektion att upprätta skriftliga rutiner kring hantering av känsliga personuppgifter i e-post. Datainspektionen förutsätter att åtkomst till webbmejl och överföring av e-post till och från Statens skolinspektions bärbara datorer och mobiltelefoner sker via en krypterad förbindelse när det sker över öppet nät. Datainspektionen utgår från att Statens skolinspektion har ett skriftligt avtal med (outsourcing-) leverantören av e-postsystemet enligt 30 andra stycket personuppgiftslagen. Ärendet avslutas, men kommer att följas upp. Redogörelse för tillsynsärendet Datainspektionen beslutade, efter att ha mottagit en fråga inom ramen för vår upplysningstjänst, den 7 juni 2011 att granska Statens skolinspektion (Skolinspektionen) rutiner för hantering av personuppgifter i e-post. Datainspektionen begärde därför att Skolinspektionen skulle komma in med eventuella upprättade rutiner och instruktioner kring hantering av känsliga personuppgifter via e-post. Skolinspektionen inkom den 21 juni 2011 med ett yttrande och myndighetens Riktlinjer för expediering av beslut i myndighetens kärnverksamheter daterad 2 mars 2010, promemorian Skolinspektionens tillämpning av personuppgiftslagen daterad 26 maj 2011 samt dokumentet Frågan om att publicera känsliga personuppgifter på webbplats daterad 1 april 2011. Kon- Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
takt togs inför beslut i ärendet och ett kompletterande yttrande inkom den 12 december 2011. Av yttrandet framgår bland annat följande. Skolinspektionen utövar tillsyn över förskoleverksamhet, skolbarnomsorg och skolväsendet. Tillsynen kan delas in i regelbunden tillsyn, riktad tillsyn, tillsyn efter anmälan och flygande tillsyn. Beslut efter regelbunden tillsyn håller sig på en övergripande nivå och innehåller endast undantagsvis känsliga personuppgifter. Beslut efter tillsyn efter anmälan (anmälningsärenden) skickas till anmälaren och huvudmannen och kan innehålla känsliga uppgifter. Uppgifter som inte är nödvändiga för beslutet tas dock inte med i beslutet. Besluten är också alltid avidentifierade så att det aldrig ska kunna gå att identifiera en enskild elev eller lärare. All Skolinspektionens IT-drift är outsourcad. Extern åtkomst till e-postsystemet är möjlig via webbmejl, från myndighetens bärbara datorer och via mobiltelefon. För att nå Skolinspektionens system måste användaren ha ett användarkonto. Det finns inga särskilda säkerhetsåtgärder för att skydda vissa uppgifter i e-post utöver de administrativa åtgärder som gäller vid utlämnande av information. Det förekommer som regel inte att personuppgifter kommuniceras via e-post mellan medarbetarna på myndigheten. Det finns dock inte några särskilda rutiner som reglerar det. Skolinspektionen kommunicerar normalt anmälningar, yttranden från huvudmannen, tjänsteanteckningar samt synpunkter från anmälaren om detta har betydelse för ärendets utgång och om de uppgifter som framkommit läggs till grund för beslutet. Det har hittills varit upp till varje handläggare att bedöma när det är lämpligt att kommunicering sker via e-post. Det finns dock inte några skriftliga rutiner för när så kan ske. Enligt Skolinspektionens Riktlinjer för expediering av beslut i myndighetens kärnverksamhet ska beslut som huvudregel expedieras via e-post. Särskilda rutiner ska dock, enligt riktlinjerna, tillämpas om det bedöms som olämpligt med e-postexpediering. Information kring hanteringen av känsliga personuppgifter i löpande text som e-post behandlas kort i promemorian Skolinspektionens tillämpning av personuppgiftslagen. Av promemorian framgår bland annat följande. Sida 2 av 6
För behandling av personuppgifter i ostrukturerat material gäller en förenklad reglering. Den regleringen, den s.k. missbruksregeln i 5 a PuL, innebär att vardaglig ostrukturerad behandling av personuppgifter som t.ex. löpande text i ordbehandlingssystem, löpande text på Internet och korrespondens per e-post, i princip får utföras fritt så länge man inte kränker den person som uppgifterna avser. Det är främst i Skolinspektionens anmälningsärenden som känsliga personuppgifter kan förekomma, särskilt i ärenden om kränkande behandling. Det rör sig då främst om sådana känsliga personuppgifter som rör hälsa, men även personuppgifter som rör etniskt ursprung kan förekomma. Som exempel kan nämnas uppgifter om kontakter med skolsköterska, kurator eller psykologmottagning samt psykologiska effekter av en kränkning. Skolinspektionen avser att ta fram tydligare riktlinjer för när och hur kommunicering och expediering via e-post kan göras. I Skolinspektionens kompletterande yttrande framgår bland annat följande. Under hösten [2011] har en ny handbok i Handlingsoffentlighet och sekretess tagits fram inom myndigheten. Handboken tar även upp frågor om utlämnande av personuppgifter. Vidare arbetar myndigheten med att undersöka olika vägar för att installera ett system för kryptering av e-post i syfte att förstärka skyddet för personuppgifter. Ett beslut om detta ska kunna fattas inom kort. Samtidigt pågår arbetet med att ta fram tydligare riktlinjer för när och hur kommunicering och expediering via e-post kan ske. Dessa beräknas vara klara i början av nästa år [2012]. En utbildning i personuppgiftslagen planeras att hållas under våren. Skäl för beslutet Tillämpliga rättsregler m.m. Av 5 andra stycket förvaltningslagen (1986:223), FL, framgår att myndigheter ska se till att det är möjligt för enskilda att kontakta dem med hjälp av telefax och elektronisk post och att svar kan lämnas på samma sätt. I 3 personuppgiftslagen (1998:204), PuL, definieras personuppgift som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och personuppgiftsbiträde som en som behandlar personuppgifter för den personuppgiftsansvariges räkning. Sida 3 av 6
5 a PuL föreskriver att bestämmelserna i 9, 10, 13-19, 21-26, 28, 33, 34 och 42 inte behöver tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv betecknas i 13 PuL som känsliga personuppgifter. Enligt 30 andra stycket PuL ska det finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som avses i 31 första stycket. Av 31 andra stycket framgår att en personuppgiftsansvarig som anlitar ett personuppgiftsbiträde ska förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna. Den personuppgiftsansvarige, här Skolinspektionen, ska enligt 31 första stycket PuL vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur pass känsliga de behandlade personuppgifterna är. Vid bedömning av hur pass känsliga uppgifterna hos Skolinspektionen är ska särskilt beaktas om personuppgifterna definieras som känsliga i personuppgiftslagen eller på annat sätt integritetskänsliga samt om de omfattas av tystnadsplikt eller sekretess enligt offentlighets- och sekretesslagen (2009:400) eller annan lagstiftning. Det framgår av Datainspektionens Allmänna råd Säkerhet för personuppgifter att uppgifternas art är av stor betydelse för vilken säkerhet som bör iakttas. Om känsliga personuppgifter behandlas ställs högre krav på säkerheten. (s. 19). Vidare framgår att den personuppgiftsansvarige bland annat bör utforma arbetsrutiner och arbetsuppgifter på ett sådant sätt att det blir möjligt för personalen att arbeta och tänka säkerhetsmedvetet samt att den personuppgiftsansvarige bör se till att alla som har tillgång till personuppgifter får relevant utbildning (sid. 13f). Den personuppgiftsansvarige bör vidare se till att personalen informeras om vikten av att följa gällande säkerhetsrutiner och Sida 4 av 6
göra klart för personalen att det är viktigt att inte dela med sig information till någon annan utan att vara säker på att den personen är behörig att få ta del av informationen. Den personuppgiftsansvarige bör också tänka på att följa upp att regler och rutiner efterlevs och respekteras (sid. 27). Datainspektionens bedömning Datainspektionens anser att behandling av personuppgifter i e-postsystem utgör en särskild risk i sig eftersom det är svårt att tillse att endast behöriga får del av uppgifterna. Det gäller vid både intern och extern kommunikation, särskilt när det finns funktioner för webbmejl eller synkronisering med mobila enheter. Skyldigheten enligt 5 andra stycket FL att se till att det är möjligt för enskilda att kontakta och erhålla svar från Skolinspektionen via e-post åsidosätter inte kravet på att vidta föreskrivna säkerhetsåtgärder. Den förenkling av regelverket vid behandling av personuppgifter som 5 a PuL utgör undantar inte heller kravet på säkerhetsåtgärder i 31 PuL. Skolinspektionens uppfattning att e-postkorrespondens i princip får utföras fritt så länge man inte kränker den person som uppgifterna avser är därför missvisande. Det är Skolinspektionen som i det enskilda fallet ska avgöra på vilket sätt ett svar på en fråga ska lämnas. Även om en fråga har ställts per e-post finns det situationer då det är lämpligare att svaret lämnas på annat sätt, trots att den enskilde har uttryckt önskemål om att få svaret elektroniskt. Det kan vara fallet till exempel om svaret kommer att innehålla uppgifter som omfattas av sekretess (se prop. 2002/03:62 sid. 20). Det kan, enligt Datainspektionens uppfattning, också vara fallet när föreskrivna säkerhetsåtgärder inte kan vidtas för e-postmeddelandet. Eftersom inkommande e-post kan innehålla känsliga eller på annat sätt integritetskänsliga personuppgifter behöver Skolinspektionen rutiner för att ta hand om sådana eftersom e-postsystem normalt inte är konstruerade för att hantera den typen av personuppgifter. Enligt Datainspektionens uppfattning ska känsliga personuppgifter som kommuniceras via öppet nät, till exempel med e-post, krypteringsskyddas på ett sådant sätt att endast den avsedda mottagaren kan ta del av innehållet. Detta gäller även för e-post som inkommer efter en begäran från Skolinspektionen. Det har i ärendet framkommit att Skolinspektionen normalt kommunicerar anmälningar, yttranden från huvudmannen, tjänsteanteckningar samt synpunkter från anmälaren och att det i Skolinspektionens ärenden förekommer Sida 5 av 6
känsliga personuppgifter. Datainspektionens anser att det är olämpligt att utan tydliga riktlinjer låta de enskilda handläggarna bedöma när det går att använda oskyddad e-post för kommunicering. Datainspektionen ser positivt på att Skolinspektionen har uppmärksammat behovet av en säker elektronisk kommunikation och nu ska undersöka olika vägar för att installera ett system för kryptering av e-post. Detsamma gäller att Skolinspektionen avser att ta fram tydligare riktlinjer för när och hur kommunicering och expediering via e-post kan göras. Mot bakgrund av det ovan sagda och eftersom Skolinspektionen under detta ärendes handläggning inte har tagit fram riktlinjer för användarna kring hantering av känsliga personuppgifter via e-post förelägger Datainspektionen Skolinspektionen att ta fram skriftliga sådana. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av tillsynschefen Erik Janzon efter föredragning av IT-säkerhetsspecialisten Magnus Bergström. Erik Janzon Magnus Bergström Kopia till: Personuppgiftsombudet NN, via e-post Sida 6 av 6