Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Relevanta dokument
Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Samråd om webbaserat verksamhetsstöd till Stockholms stads grundskolor

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Sverigedemokraternas medlemsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) - PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Moderaternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204)

Regeringskansliet Näringsdepartementet Enheten för transportpolitik Stockholm

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Beslut för Föreningen Fogdaröd Omsorg, Vård & Utbildning Utan Personligt ansvar

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

Utdrag ur Offentlighets- och sekretesslagen

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Informationssäkerhet

Svensk författningssamling

Särskild avgift enligt lagen (2000:1087) om anmälningsskyldighet för vissa innehav av finansiella instrument

Rutin för rapportering och handläggning av anmälningar enligt Lex Sarah

ARKIVREGLEMENTE FÖR NYNÄSHAMNS KOMMUN

Tryckfrihetsförordning

Patientdatalag för säkrare vård Hantering av personuppgifter

Föreläggande om åtgärder

Intyg om erfarenhet och lämplighet att undervisa som lärare i gymnasieskolan

BESLUT. Datum Föreläggande vid vite enligt 25 lagen (2002:160) om läkemedelsförmåner m.m. (förmånslagen)

När du som vårdpersonal vill ta del av information som finns hos en annan vårdgivare krävs det att:

RP 305/2010 rd. I propositionen föreslås att lagen om besvärsnämnden. intressen skyddas genom sekretessen. Besvärsinstansernas

Rutin överklagan av beslut

Socialstyrelsens författningssamling

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Ansökan om medgivande att fullgöra skolplikten på annat sätt

Trygghet och studiero

PBL om tidsbegränsade bygglov m.m

Särskild avgift enligt lagen (2000:1087) om anmälningsskyldighet för vissa innehav av finansiella instrument

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL av kameraövervakning i Tensta gymnasium

Överklagande. Prövningstillstånd. Kammarrätten i Göteborg Box Göteborg. Klagande Datainspektionen, Box 8114, Stockholm. Motpart N.

Beslut för gymnasieskola

Copyright Brottsanalys 2013

UPPGIFTER SOM BEHANDLAS. Vi samlar in och behandlar följande personuppgifter: e-postadress; telefonnummer; IP-adress; personnummer;

Beslut efter uppföljning för gymnasieskola med yrkes- och introduktionsprogram

Svensk författningssamling

Yttrande över remiss av förslag till allmänna råd om prövning samt föreskrifter om prövning

Användaravtal och samtycke till behandling av personuppgifter

Rutin för betygsättning vid icke legitimerad lärares undervisning

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

PM Avseende återkrav m m enligt lag om allmän försäkring

Läkemedelsförmånsnämnden avslår ansökan om prishöjning inom läkemedelsförmånerna för produkten E-vimin.

DOM. SAKEN Återkallelse av permanent uppehållstillstånd MIGRATIONSÖVERDOMSTOLENS DOMSLUT. Migrationsöverdomstolen avslår överklagandet.

1 LAGRÅDET. Utdrag ur protokoll vid sammanträde

Elsäkerhetsverkets förslag till föreskrifter om ändring i ELSÄK-FS 2013:1

Svensk författningssamling

Beslut för grundsärskola

Informationshantering och journalföring. informationssäkerhet för god vård

HÖGSTA DOMSTOLENS DOM

Försäljningsförbud och betalningsskyldighet för verkets kostnader

Likabehandlingsplan för läsåret

Beslut för fritidshem

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

Att hantera digital information i Stockholms stad. stockholm.se

Offentlighets- och sekretesslag

Beslut för grundsärskola

VÅLD HOT OCH. inom omsorg och skola

Riksförsäkringsverkets föreskrifter (RFFS 1993:24) om assistansersättning

Elevers rätt till kunskap och särskilt stöd

ELSÄK-FS 2006:1. Elsäkerhetsverkets föreskrifter. och allmänna råd om elsäkerhet vid arbete i yrkesmässig verksamhet

Särskild avgift enligt lagen (1991:980) om handel med finansiella instrument

Svensk författningssamling

En stärkt yrkeshögskola ett lyft för kunskap (Ds 2015:41)

Tillsyn enligt personuppgiftslagen (1998:204) Arbetsmiljöverkets användning av Facebook

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut för vuxenutbildning

Förberedelser inför EU:s dataskyddsförordning

Anmälan om diskriminering inom samhällslivet

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

ELEV- HANDLEDNING (Ansökan via webben)

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Avgifter i skolan. Informationsblad

Utdrag ur protokoll vid sammanträde Den nya inskrivningsmyndigheten

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) Sverigedemokraternas behandling av personuppgifter i ett centralt medlemsregister

Tillsyn av Omsorgslyftet Utbildningar AB inom kommunal vuxenutbildning i Nacka kommun

Vet du vilka rättigheter du har?

Svensk författningssamling

Sammanfattning på lättläst svenska

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204), PuL

Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Utdrag ur protokoll vid sammanträde

Konferens Vem bestämmer om arkiv

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

1. Angående motion om julgran

Datainspektionens beslut

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

Beslut för förskoleklass och grundskola. efter tillsyn av ULNO AB

Arkivreglemente för Varbergs kommun

REGERINGSRÄTTENS DOM

Transkript:

1 (5) Beslut Dnr 2008-09-09 129-2008 Utbildnings- och arbetsmarknadsnämnden Gävle kommun Box 603 801 26 Gävle Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att Utbildnings- och arbetsmarknadsnämnden i Gävle kommun (härefter nämnden): 1. behandlar känsliga personuppgifter i Skola24 i strid med kravet i 15 PuL på samtycke 2. behandlar känsliga personuppgifter i Skola 24 i strid med kravet i 31 PuL på tillräckliga säkerhetsåtgärder 3. behandlar personuppgifter i strid med kravet i 30 PuL på personuppgiftsbiträdesavtal 4. behandlar personuppgifter i strid med kravet i 9 punkten i) PuL att personuppgifter inte ska bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen Datainspektionen förutsätter att nämnden: 1. inhämtar samtycke till behandlingen av känsliga personuppgifter i Skola24 2. vidtar tekniska åtgärder för att säkerställa att endast de avsedda mottagarna kan ta del av uppgifterna i Skola24 3. ingår personuppgiftsbiträdesavtal med personuppgiftsbiträdet 4. tar fram riktlinjer och rutiner för gallring av personuppgifter i Skola24. Ärendet avslutas men kan komma att följas upp. Bakgrund Med anledning av uppgifter i dagspressen om brister i nämndens personuppgiftsbehandling inledde Datainspektionen tillsyn mot nämnden och genomförde inom ramen för tillsynen en inspektion i Borgarskolan den 18 februari 2008. Under tillsynen har bl.a. följande framkommit. Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

2 (5) I Skola24 hanteras elevernas närvaro och frånvaro för varje lektion. Om en elev är frånvarande kan följande frånvaroorsaker väljas: sjuk, lov, lov ej beviljat, besökt skolpersonal, annan skolaktivitet, ej aktiv i gymnastiken, sen ankomst, giltigt skäl samt gick tidigare. Nämnden inhämtar inte samtycke gällande registrering av känsliga personuppgifter (t.ex. att en elev är sjuk). Orsakerna till varför frånvaroorsaken sjuk registreras i Skola24 uppges dels vara för att det är bra för elevens mentor att se och dels för att det behövs för att fullgöra den skyldighet som föreligger att meddela uppgifter till Centrala studiestödsnämnden (härefter CSN) rörande elevernas frånvaro. Skola24 är ett webbaserat system som ligger på ett externt nät. För att logga in används användarnamn och lösenord. Elevkonton i Skola24 skapas av företaget Nova Software. För att skapa ett konto skickar skolan de aktuella elevuppgifterna till Nova Software. Något biträdesavtal med Nova Software finns inte. Det finns inget fritextfält i Skola24. Ett fält med utrymme för kommentarer hade dagarna innan inspektionen tagits bort. Uppgifterna i Skola24 sparas så länge en elev går på skolan. Nämnden saknar kännedom om uppgifterna sedan gallras eller om de finns åtkomliga i en databas. Datainspektionens bedömning Känsliga personuppgifter 13 PuL innehåller följande förbud mot att behandla känsliga personuppgifter. Det är förbjudet att behandla personuppgifter som avslöjar a) ras eller etniskt ursprung, b) politiska åsikter, c) religiös eller filosofisk övertygelse, eller d) medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Uppgifter av den art som anges i första och andra styckena betecknas i denna lag som känsliga personuppgifter. 15 PuL innehåller följande bestämmelse om behandling av känsliga personuppgifter. Känsliga personuppgifter får behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna.

3 (5) I 16-19 PuL finns bestämmelser som anger när känsliga personuppgifter får behandlas även utan uttryckligt samtycke eller eget offentliggörande. En uppgift om att en elev är sjuk är, alldeles oavsett om symtom eller diagnos anges, en känslig personuppgift i personuppgiftslagens mening. I ärendet har framkommit att uppgiften om att en elev är sjuk anges som frånvaroorsak i Skola24, utan att nämnden inhämtar uttryckligt samtycke till behandling av känsliga personuppgifter. Nämnden uppger att orsakerna till varför frånvaroorsaken sjuk registreras i Skola24 är dels att det är bra för elevens mentor att se och dels att uppgiften behövs för att fullgöra den skyldighet som föreligger att meddela uppgifter till CSN rörande elevernas frånvaro. Datainspektionen anser emellertid att varken PUL, skollagen, gymnasieförordningen, studiestödsförordningen eller CSN:s föreskrifter innehåller något stöd för skolan att i samband med frånvaroregistrering utan uttryckligt samtycke automatiserat behandla känsliga personuppgifter. Datainspektionens ståndpunkt har stöd i bl.a. SOU 2003:103, sid. 201, där följande sägs. Gemensamt för de flesta fall då känsliga personuppgifter behandlas automatiserat inom ramen för det faktiska handlandet i skolverksamheten (undantaget skolhälsovården samt legitimerade psykologer och psykoterapeuter) är att det krävs samtycke från eleven eller, i förekommande fall, dennes vårdnadshavare. Utan ett sådant uttryckligt samtycke är det alltså normalt inte tillåtet att behandla uppgifterna automatiserat, även om det från skolans eller personalens synvinkel ter sig nödvändigt. Som exempel kan nämnas att det i dag krävs samtycke för att skolpersonalen i en frånvarojournal skall få anteckna orsaken till en elevs frånvaro, i den mån en sådan anteckning innebär att hälsouppgifter registreras. Mot bakgrund av det sagda förutsätter Datainspektionen att nämnden, om den vill fortsätta att behandla känsliga personuppgifter i Skola24, inhämtar uttryckligt samtycke till sådan behandling. Säkerhetsåtgärder I PuL finns bestämmelser om säkerhetsåtgärder. I lagens 31 första stycket anges följande. Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av a) de tekniska möjligheter som finns, b) vad det skulle kosta att genomföra åtgärderna, c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass känsliga de behandlade personuppgifterna är. Enligt Datainspektionen innebär bestämmelsen att känsliga personuppgifter enligt PuL eller andra personuppgifter som kan anses vara integritetskänsliga,

4 (5) t.ex. för att de omfattas av sekretess eller rör den enskildes personliga förhållanden, får lämnas ut via Internet endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering, exempelvis e-legitimation, engångslösenord eller motsvarande. I ärendet har framkommit att nämnden i Skola24 behandlar känsliga personuppgifter, närmare bestämt uppgifter om att en elev är eller har varit sjuk. Vidare har framkommit att användarna har åtkomst till Skola24 över Internet och att Internetinloggning sker med endast användarnamn och lösenord. Behandlingen av personuppgifter i Skola24 uppfyller därmed inte säkerhetskraven i PuL beträffande känsliga personuppgifter. Om nämnden vill fortsätta att behandla uppgifter av detta slag i Skola24 och ge åtkomst till uppgifterna över Internet, förutsätter Datainspektionen att nämnden vidtar tekniska åtgärder för att säkerställa att endast de avsedda mottagarna kan ta del av uppgifterna i Skola24 (dvs. att nämnden börjar använda sig av asymmetrisk kryptering, exempelvis e-legitimation, engångslösenord eller motsvarande). Personuppgiftsbiträdesavtal I PuL finns bestämmelser om avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet. I lagens 30 andra stycket anges följande. Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som avses i 31 första stycket. Vidare anges i 31 andra stycket PuL följande. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna. I ärendet har framkommit att elevkonton i Skola24 skapas av företaget Nova Software. För att skapa ett konto skickar skolan de aktuella elevuppgifterna till Nova Software. Något personuppgiftsbiträdesavtal med Nova Software finns emellertid inte. Datainspektionen förutsätter att nämnden ingår personuppgiftsbiträdesavtal med sitt personuppgiftsbiträde.

Bevarande och gallring 5 (5) I PuL finns bestämmelser om grundläggande kraven på behandlingen av personuppgifter. I 9 punkten i) PuL anges följande: Den personuppgiftsansvarige skall se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Bestämmelsen ska dock bara tillämpas i den mån det inte i annan lag eller förordning finns avvikande bestämmelser. Detta framgår bl.a. av 8 andra stycket första meningen PuL, där följande anges. Bestämmelserna hindrar inte heller att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. I ärendet har framkommit att uppgifterna i Skola24 sparas så länge en elev går på skolan, och att nämnden saknar kännedom om uppgifterna sedan gallras eller om de finns åtkomliga i en databas. Datainspektionen förutsätter att nämnden tar fram riktlinjer och rutiner för bevarande och gallring av personuppgifter. Dessa riktlinjer och rutiner ska även omfatta de behandlingar som personuppgiftsbiträdet utför på nämndens uppdrag. Hur man överklagar Om Ni vill överklaga beslutet ska Ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som Ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt Ni har begärt. Erik Janzon Kopia till: Personuppgiftsombudet AnnCatrin Johansson Ledningskontoret, Utbildning och Arbete, Gävle Kommun Box 603 801 26 Gävle Rektor Olof Leijonhufvud Box 793 801 29 Gävle

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss