Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post



Relevanta dokument
Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Datainspektionens beslut

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) angående publicering av personuppgifter på Internet

Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Tillsyn enligt personuppgiftslagen (1998:204) registrering av arbetsförmågebedömningar om anställda i rehabiliteringssystem

Tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Säkerhetsåtgärder vid kameraövervakning

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Riktlinjer för behandling av personuppgifter vid webbpublicering

Samråd enligt 2 och 3 patientdataförordningen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

Regler för behandling av personuppgifter vid Högskolan Dalarna

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling i anslutning till Pliktverkets e-tjänst för lämplighetsundersökning

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Finansdepartementet. Avdelningen för offentlig förvaltning. Ändring i lagen om lägenhetsregister

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning vid Hemköp i Östersund

Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Information till registrerade enligt personuppgiftslagen

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Policy för behandling av personuppgifter vid uthyrning av bostäder

SÖDERTÄLJE KOMMUN Utbildningskontoret

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Datainspektionen informerar. Hur länge får personuppgifter

Tillsyn enligt personuppgiftslagen (1988:204) - registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Hantering av skyddade personuppgifter

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Beslut efter tillsyn enligt inkassolagen (1974:182), kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Policy för hantering av personuppgifter för verksamheter inom AcadeMedia-koncernen

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Arbetsmaterial!!! Oktober 2012

IT-policy Scenkonst Västernorrland AB

Svar över vidtagna åtgärder önskas före februari månads utgång 2009.

Tillsyn - äldreomsorg

/(\ inspektionen för vård och omsorg Dnr /2015 Z 1(5)

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Återkallelse enligt 15 inkassolagen (1974:182) av tillstånd att bedriva inkassoverksamhet

Syfte...1 Omfattning...1 Beskrivning...1

Tillsyn enligt kreditupplysningslagen (1973:1173) kreditupplysningsföretagets ansvar att kontrollera beställarens legitima behov

Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten

Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m.

Patientdatalag (2008:355)

Granskningar avseende Upphandling och Personuppgiftslagen

BESLUT l * Meddelat i Göteborg. Sida l (5) Mål nr KAMMARRATTEN I GÖTEBORG Avdelning 2. KLAGANDE Plusgymnasiet AB

SÄKERHETS- OCH Ändrade förhållanden under verkställighet av hemlig teleavlyssning och hemlig teleövervakning, m.m. 1.

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i polisens allmänna spaningsregister, ASP

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Transkript:

Datum Diarienr 2012-02-06 790-2011 Statens skolinspektion Box 23069 104 35 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen förelägger Statens skolinspektion att upprätta skriftliga rutiner kring hantering av känsliga personuppgifter i e-post. Datainspektionen förutsätter att åtkomst till webbmejl och överföring av e-post till och från Statens skolinspektions bärbara datorer och mobiltelefoner sker via en krypterad förbindelse när det sker över öppet nät. Datainspektionen utgår från att Statens skolinspektion har ett skriftligt avtal med (outsourcing-) leverantören av e-postsystemet enligt 30 andra stycket personuppgiftslagen. Ärendet avslutas, men kommer att följas upp. Redogörelse för tillsynsärendet Datainspektionen beslutade, efter att ha mottagit en fråga inom ramen för vår upplysningstjänst, den 7 juni 2011 att granska Statens skolinspektion (Skolinspektionen) rutiner för hantering av personuppgifter i e-post. Datainspektionen begärde därför att Skolinspektionen skulle komma in med eventuella upprättade rutiner och instruktioner kring hantering av känsliga personuppgifter via e-post. Skolinspektionen inkom den 21 juni 2011 med ett yttrande och myndighetens Riktlinjer för expediering av beslut i myndighetens kärnverksamheter daterad 2 mars 2010, promemorian Skolinspektionens tillämpning av personuppgiftslagen daterad 26 maj 2011 samt dokumentet Frågan om att publicera känsliga personuppgifter på webbplats daterad 1 april 2011. Kon- Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

takt togs inför beslut i ärendet och ett kompletterande yttrande inkom den 12 december 2011. Av yttrandet framgår bland annat följande. Skolinspektionen utövar tillsyn över förskoleverksamhet, skolbarnomsorg och skolväsendet. Tillsynen kan delas in i regelbunden tillsyn, riktad tillsyn, tillsyn efter anmälan och flygande tillsyn. Beslut efter regelbunden tillsyn håller sig på en övergripande nivå och innehåller endast undantagsvis känsliga personuppgifter. Beslut efter tillsyn efter anmälan (anmälningsärenden) skickas till anmälaren och huvudmannen och kan innehålla känsliga uppgifter. Uppgifter som inte är nödvändiga för beslutet tas dock inte med i beslutet. Besluten är också alltid avidentifierade så att det aldrig ska kunna gå att identifiera en enskild elev eller lärare. All Skolinspektionens IT-drift är outsourcad. Extern åtkomst till e-postsystemet är möjlig via webbmejl, från myndighetens bärbara datorer och via mobiltelefon. För att nå Skolinspektionens system måste användaren ha ett användarkonto. Det finns inga särskilda säkerhetsåtgärder för att skydda vissa uppgifter i e-post utöver de administrativa åtgärder som gäller vid utlämnande av information. Det förekommer som regel inte att personuppgifter kommuniceras via e-post mellan medarbetarna på myndigheten. Det finns dock inte några särskilda rutiner som reglerar det. Skolinspektionen kommunicerar normalt anmälningar, yttranden från huvudmannen, tjänsteanteckningar samt synpunkter från anmälaren om detta har betydelse för ärendets utgång och om de uppgifter som framkommit läggs till grund för beslutet. Det har hittills varit upp till varje handläggare att bedöma när det är lämpligt att kommunicering sker via e-post. Det finns dock inte några skriftliga rutiner för när så kan ske. Enligt Skolinspektionens Riktlinjer för expediering av beslut i myndighetens kärnverksamhet ska beslut som huvudregel expedieras via e-post. Särskilda rutiner ska dock, enligt riktlinjerna, tillämpas om det bedöms som olämpligt med e-postexpediering. Information kring hanteringen av känsliga personuppgifter i löpande text som e-post behandlas kort i promemorian Skolinspektionens tillämpning av personuppgiftslagen. Av promemorian framgår bland annat följande. Sida 2 av 6

För behandling av personuppgifter i ostrukturerat material gäller en förenklad reglering. Den regleringen, den s.k. missbruksregeln i 5 a PuL, innebär att vardaglig ostrukturerad behandling av personuppgifter som t.ex. löpande text i ordbehandlingssystem, löpande text på Internet och korrespondens per e-post, i princip får utföras fritt så länge man inte kränker den person som uppgifterna avser. Det är främst i Skolinspektionens anmälningsärenden som känsliga personuppgifter kan förekomma, särskilt i ärenden om kränkande behandling. Det rör sig då främst om sådana känsliga personuppgifter som rör hälsa, men även personuppgifter som rör etniskt ursprung kan förekomma. Som exempel kan nämnas uppgifter om kontakter med skolsköterska, kurator eller psykologmottagning samt psykologiska effekter av en kränkning. Skolinspektionen avser att ta fram tydligare riktlinjer för när och hur kommunicering och expediering via e-post kan göras. I Skolinspektionens kompletterande yttrande framgår bland annat följande. Under hösten [2011] har en ny handbok i Handlingsoffentlighet och sekretess tagits fram inom myndigheten. Handboken tar även upp frågor om utlämnande av personuppgifter. Vidare arbetar myndigheten med att undersöka olika vägar för att installera ett system för kryptering av e-post i syfte att förstärka skyddet för personuppgifter. Ett beslut om detta ska kunna fattas inom kort. Samtidigt pågår arbetet med att ta fram tydligare riktlinjer för när och hur kommunicering och expediering via e-post kan ske. Dessa beräknas vara klara i början av nästa år [2012]. En utbildning i personuppgiftslagen planeras att hållas under våren. Skäl för beslutet Tillämpliga rättsregler m.m. Av 5 andra stycket förvaltningslagen (1986:223), FL, framgår att myndigheter ska se till att det är möjligt för enskilda att kontakta dem med hjälp av telefax och elektronisk post och att svar kan lämnas på samma sätt. I 3 personuppgiftslagen (1998:204), PuL, definieras personuppgift som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och personuppgiftsbiträde som en som behandlar personuppgifter för den personuppgiftsansvariges räkning. Sida 3 av 6

5 a PuL föreskriver att bestämmelserna i 9, 10, 13-19, 21-26, 28, 33, 34 och 42 inte behöver tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv betecknas i 13 PuL som känsliga personuppgifter. Enligt 30 andra stycket PuL ska det finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som avses i 31 första stycket. Av 31 andra stycket framgår att en personuppgiftsansvarig som anlitar ett personuppgiftsbiträde ska förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna. Den personuppgiftsansvarige, här Skolinspektionen, ska enligt 31 första stycket PuL vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur pass känsliga de behandlade personuppgifterna är. Vid bedömning av hur pass känsliga uppgifterna hos Skolinspektionen är ska särskilt beaktas om personuppgifterna definieras som känsliga i personuppgiftslagen eller på annat sätt integritetskänsliga samt om de omfattas av tystnadsplikt eller sekretess enligt offentlighets- och sekretesslagen (2009:400) eller annan lagstiftning. Det framgår av Datainspektionens Allmänna råd Säkerhet för personuppgifter att uppgifternas art är av stor betydelse för vilken säkerhet som bör iakttas. Om känsliga personuppgifter behandlas ställs högre krav på säkerheten. (s. 19). Vidare framgår att den personuppgiftsansvarige bland annat bör utforma arbetsrutiner och arbetsuppgifter på ett sådant sätt att det blir möjligt för personalen att arbeta och tänka säkerhetsmedvetet samt att den personuppgiftsansvarige bör se till att alla som har tillgång till personuppgifter får relevant utbildning (sid. 13f). Den personuppgiftsansvarige bör vidare se till att personalen informeras om vikten av att följa gällande säkerhetsrutiner och Sida 4 av 6

göra klart för personalen att det är viktigt att inte dela med sig information till någon annan utan att vara säker på att den personen är behörig att få ta del av informationen. Den personuppgiftsansvarige bör också tänka på att följa upp att regler och rutiner efterlevs och respekteras (sid. 27). Datainspektionens bedömning Datainspektionens anser att behandling av personuppgifter i e-postsystem utgör en särskild risk i sig eftersom det är svårt att tillse att endast behöriga får del av uppgifterna. Det gäller vid både intern och extern kommunikation, särskilt när det finns funktioner för webbmejl eller synkronisering med mobila enheter. Skyldigheten enligt 5 andra stycket FL att se till att det är möjligt för enskilda att kontakta och erhålla svar från Skolinspektionen via e-post åsidosätter inte kravet på att vidta föreskrivna säkerhetsåtgärder. Den förenkling av regelverket vid behandling av personuppgifter som 5 a PuL utgör undantar inte heller kravet på säkerhetsåtgärder i 31 PuL. Skolinspektionens uppfattning att e-postkorrespondens i princip får utföras fritt så länge man inte kränker den person som uppgifterna avser är därför missvisande. Det är Skolinspektionen som i det enskilda fallet ska avgöra på vilket sätt ett svar på en fråga ska lämnas. Även om en fråga har ställts per e-post finns det situationer då det är lämpligare att svaret lämnas på annat sätt, trots att den enskilde har uttryckt önskemål om att få svaret elektroniskt. Det kan vara fallet till exempel om svaret kommer att innehålla uppgifter som omfattas av sekretess (se prop. 2002/03:62 sid. 20). Det kan, enligt Datainspektionens uppfattning, också vara fallet när föreskrivna säkerhetsåtgärder inte kan vidtas för e-postmeddelandet. Eftersom inkommande e-post kan innehålla känsliga eller på annat sätt integritetskänsliga personuppgifter behöver Skolinspektionen rutiner för att ta hand om sådana eftersom e-postsystem normalt inte är konstruerade för att hantera den typen av personuppgifter. Enligt Datainspektionens uppfattning ska känsliga personuppgifter som kommuniceras via öppet nät, till exempel med e-post, krypteringsskyddas på ett sådant sätt att endast den avsedda mottagaren kan ta del av innehållet. Detta gäller även för e-post som inkommer efter en begäran från Skolinspektionen. Det har i ärendet framkommit att Skolinspektionen normalt kommunicerar anmälningar, yttranden från huvudmannen, tjänsteanteckningar samt synpunkter från anmälaren och att det i Skolinspektionens ärenden förekommer Sida 5 av 6

känsliga personuppgifter. Datainspektionens anser att det är olämpligt att utan tydliga riktlinjer låta de enskilda handläggarna bedöma när det går att använda oskyddad e-post för kommunicering. Datainspektionen ser positivt på att Skolinspektionen har uppmärksammat behovet av en säker elektronisk kommunikation och nu ska undersöka olika vägar för att installera ett system för kryptering av e-post. Detsamma gäller att Skolinspektionen avser att ta fram tydligare riktlinjer för när och hur kommunicering och expediering via e-post kan göras. Mot bakgrund av det ovan sagda och eftersom Skolinspektionen under detta ärendes handläggning inte har tagit fram riktlinjer för användarna kring hantering av känsliga personuppgifter via e-post förelägger Datainspektionen Skolinspektionen att ta fram skriftliga sådana. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av tillsynschefen Erik Janzon efter föredragning av IT-säkerhetsspecialisten Magnus Bergström. Erik Janzon Magnus Bergström Kopia till: Personuppgiftsombudet NN, via e-post Sida 6 av 6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss