Tillsynsbeslut; omdömen om elever

Relevanta dokument
Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Bilaga 1. Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL. Ärendet avslutas men kan komma att följas upp.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

Tillsyn - äldreomsorg

Tillsyn - äldreomsorg

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Skolorna visar brister i att hantera personuppgifter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) kontroll av anställda

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

I U P. e-tjänst med förhinder? Mats Östling, IT-strateg. Sveriges Kommuner och Landsting. Kommits, Luleå Sveriges Kommuner och Landsting

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Datainspektionens beslut efter tillsyn enligt personuppgiftslagen vid Norra Real

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO)

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) registrering av arbetsförmågebedömningar om anställda i rehabiliteringssystem

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Tillsynsbeslut mot Försvarsmakten avseende behandlingen av personuppgifter i IT-stöden PRIO och ReachMee

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med känsliga personuppgifter om barn

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) Enköpings kommunstyrelses användning av molntjänsten Dropbox

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Svar på förfrågan om vad som utgör en känslig personuppgift

Föreningen kommer vidare att skriva avtal med sin systemleverantör. Leverantören kommer också att ta emot föreningens säkerhetskopior.

Tillsyn enligt personuppgiftslagen (1998:204) Hyresbostäder i Norrköping AB

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) ang. omdömen i en interaktiv tjänst på Internet

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

Transkript:

20 Datum Diarienr 2010-05-03 986-2009 Enköpings kommun Nämnden för förskola och grundskola 745 80 Enköping Tillsynsbeslut; omdömen om elever Datainspektionens beslut 1. Datainspektionen konstaterar att den behandling av personuppgifter som Nämnden för förskola och grundskola i Enköping (fortsättningsvis nämnden) utför som rör skriftliga omdömen om elevens utveckling i övrigt inom ramen för läroplanen, är förenlig med personuppgiftslagen. 2. Datainspektionen förutsätter att nämnden uppdaterar sina riktlinjer för bevarande och gallring av personuppgifterna i Projekt- och Omdömesdatabasen. 3. Datainspektionen förutsätter också, för det fall att integritetskänsliga personuppgifter från Projekt- och Omdömesdatabasen kommer att lämnas ut via Internet, vidtar tekniska åtgärder för att säkerställa att endast de avsedda mottagarna kan ta del av integritetskänsliga personuppgifter. Ärendet avslutas men kan komma att följas upp. Redogörelse för tillsynsärendet Datainspektionen har mottagit ett klagomål som rör skriftliga omdömen om elever (12-15 år) i den webbaserade så kallade Projekt- och Omdömesdatabasen som används i Enköpings kommun. Nämnden har yttrat sig, se bilaga. Det är i tillsynsärendet fråga om skriftliga omdömen om elevens utveckling i övrigt inom ramen läroplanen, som med stöd av 7 kap. 2 grundskoleförordningen kan lämnas i en individuell utvecklingsplan (IUP). Enligt bestämmel- Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

serna är det rektor som beslutar både om sådana omdömen ska ingå i den individuella utvecklingsplanen och om utformningen av informationen. Såvitt Datainspektionen förstår menas med utveckling i övrigt framförallt elevens sociala utveckling. Skäl för beslutet Omdömen om elevens utveckling i övrigt Hur omdömen om elevens utveckling i övrigt inom ramen för läroplanen bör formuleras är inte i första hand en fråga för Datainspektionen. Skolverket har utarbetat allmänna råd för individuella utvecklingsplaner med skriftliga omdömen (SKOLFS 2009:16) som kan utgöra en vägledning. I Skolverkets skrift Den individuella utvecklingsplanen med skriftliga omdömen finns dessutom kommentarer till de allmänna råden. Av denna skrift framgår bland annat följande. Om rektor beslutar att skriftliga omdömen ska ges om elevens utveckling i övrigt, kan utvecklingen av de förmågor som anges i t.ex. avsnitten 2.1. Normer och värden och 2.3. Ansvarstagande och inflytande samt 2.7 Bedömning och betyg i Lpo 94 tjäna som vägledning. Ett skriftligt omdöme är inte nationellt standardiserat. Ett omdöme kan beskriva elevens kunskaper i förhållande till i förväg lokalt bestämda kunskapsnivåer och förmågor. De ska vara anpassade till elevernas ålder och mognad. Omdömena ska varken innehålla beskrivningar eller värderingar av elevens personliga egenskaper. Skolverket har rekommenderat att de skriftliga omdömena utformas så att där inte förekommer känsliga uppgifter som kan tänkas omfattas av sekretess. Enligt ett regeringsbeslut ska en särskild utredare göra en översyn av lagstiftningen om sekretess inom skolväsendet med anledning av den utökade dokumentationsskyldigheten när det gäller uppgifter om bland annat elevers personliga förhållanden. Utredaren ska bland annat föreslå nya sekretessbestämmelser för uppgift om enskilds personliga förhållanden i individuella utvecklingsplaner. Förslaget ska bygga på att uppgifterna ska skyddas med ett omvänt skaderekvisit, det vill säga presumtionen ska vara att uppgifterna ska vara hemliga (se Kommittédirektiv 2010:25). Datainspektionen gör följande bedömning. I 9 personuppgiftslagen finns bestämmelser om grundläggande krav som måste beaktas vid all behandling av personuppgifter. Den personuppgiftsansvarige (nämnden) ansvarar för att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen (9 punkten e). Sida 2 av 6

Omdömen om elevens utveckling i övrigt inom ramen för läroplanen kan lämnas enligt 7 kap. 2 grundskoleförordningen. Omdömena ska således vara kopplade till de mål som anges i läroplanen och kursplaner. I det aktuella fallet fyller läraren i sju påståenden om varje elev. Påståendena gäller exempelvis elevers ansvarstagande och förhållningssätt till lärande i skolan samt relation till vuxna och kamrater. Exempel på bedömning är Du vågar säga ifrån när någon utsätts för kränkande ord och handling, eller Du litar på din egen förmåga och Du visar lust och engagemang i ditt lärande. Datainspektionen vill framhålla följande. Anteckningar om elever ska formuleras med respekt för den enskildes personliga integritet. I det aktuella fallet görs bedömningen genom en tregradig skala; Ibland, Ofta eller Så gott som alltid. Exempel på bedömning kan alltså vara att du ibland vågar säga ifrån när någon utsätts för kränkande ord och handling, eller att du ibland litar på din egen förmåga och visar lust och engagemang i ditt lärande. Den tregradiga skalan som används i det aktuella fallet är enligt Datainspektionens bedömning inte formulerad på ett sådant sätt att den kan anses vara i strid med personuppgiftslagen. Datainspektionen bedömer sammanfattningsvis att uppgifterna i detta fall är adekvata och relevanta med hänsyn till ändamålet enligt bestämmelsen i 9 punkten e) personuppgiftslagen. Läraren har dessutom möjlighet att i fritextfält kommentera bedömningen. När det gäller personuppgifter i fritextfält anser Datainspektionen att det krävs skriftliga instruktioner till användarna om vilka uppgifter som är relevanta att lämna i fritextfälten. Instruktionerna bör exempelvis ange hur omdömen om eleverna ska formuleras och att kränkande omdömen inte är tillåtna. Från och med höstterminen 2009 finns det i Enköpings kommun skriftliga instruktioner för dokumentationen i fritextfälten. Instruktionerna anger bland annat hur man skriver bedömningar och en uppmaning att inte skriva sådant som kan upplevas som kränkande. Datainspektionen förutsätter att nämnden följer upp att rutinerna tillämpas i verksamheten. Nämnden har inte inhämtat samtycke till den aktuella behandlingen av personuppgifter. Datainspektionen bedömer att skolornas fullgörande av sina arbetsuppgifter är en sådan verksamhet av allmänt intresse som innebär att behandling av personuppgifter inom ramen för detta är tillåten utan samtycke enligt 10 punkten d) personuppgiftslagen, jämför SOU 2003:103 s 199. Det förutsätter dock att inte känsliga personuppgifter om exempelvis elevens hälsa Sida 3 av 6

eller sexualliv behandlas. Som framgått ovan anser Skolverket att den individuella utvecklingsplanen inte bör innehålla känsliga uppgifter om eleven. Säkerhetsåtgärder Nämnden har uppgett att inloggning i omdömesfunktionen är SLL-krypterad och möjlig med hjälp av användarnamn och lösenord. Av 31 personuppgiftslagen följer att den personuppgiftsansvarige ska vidta lämpliga säkerhetsåtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av bland annat hur pass känsliga de behandlade personuppgifterna är. Uppgifter som dokumenteras vid framtagande av individuella utvecklingsplaner med skriftliga omdömen är enligt Datainspektionen att anse som integritetskänsliga. Detsamma gäller andra uppgifter som rör utvecklingssamtalen. Omdömen om elevers utveckling i övrigt, exempelvis påståenden om elevers ansvarstagande och förhållningssätt till lärande i skolan samt relation till vuxna och kamrater, är typiskt sett integritetskänsliga uppgifter som är nära kopplade till elevernas personliga förhållanden och privata sfär. Datainspektionen anser att sådana personuppgifter i Projekt- och omdömesdatabasen får lämnas ut via Internet endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering, exempelvis e-legitimation, engångslösenord eller motsvarande. Datainspektionen konstaterar att den nuvarande säkerhetslösningen - användarnamn och lösenord- är otillräcklig för det fall att integritetskänsliga personuppgifter ska lämnas ut via Internet. Nämnden har dock uppgett att man, för att lärarna och vårdnadshavarna även ska kunna arbeta på ett IT- säkert sätt hemifrån framöver, har anlitat konsulter för att se över inloggningar, samt att det ska göras en demovisning av inloggningslösning med BankID och/eller e-legitimation. Om integritetskänsliga personuppgifter i Projekt och Omdömesdatabasen kommer att lämnas ut via Internet förutsätter Datainspektionen att nämnden ser till att det görs på ett säkert sätt. Sida 4 av 6

Bevarande och gallring I ärendet har framkommit att nämndens nuvarande arkivplan inte är uppdaterad sedan den nya förordningen om skriftliga omdömen trädde i kraft och att nämnden därför i dagsläget inte gallrar personuppgifter i Projekt- och Omdömesdatabasen. Vidare framgår att det pågår ett arbete med att ta fram en ny arkivplan. Enligt 9 punkten i) ska den personuppgiftsansvarige se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Bestämmelsen ska dock bara tillämpas i den mån det inte i annan lag eller förordning finns avvikande bestämmelser. Detta framgår av 8 andra stycket första meningen personuppgiftslagen, som även anger att bestämmelsen inte heller hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Att personuppgifter som inte längre behövs ska gallras är grundläggande för integritetsskyddet. Att samtliga personuppgifter, som behandlas i och för elevens skolgång bevaras under en obestämd tid, är otillfredsställande ur integritetsskyddssynpunkt. Datainspektionen anser därför att det är mycket bra att nämnden uppdaterar arkivplanen och förutsätter att arbetet genomförs. I sammanhanget vill Datainspektionen upplysningsvis uppmärksamma nämnden på Riksarkivets allmänna råd (RA-FS 2002:2) om bevarande och gallring av handlingar rörande kommunernas och landstingens utbildningsväsende. I de allmänna råden anges bland annat vilka handlingar som bör bevaras och vilka som kan gallras. Bland de handlingar som kan gallras nämns exempelvis skriftlig information sammanställd i samband med utvecklingssamtal. Övrigt Upplysningsvis har Datainspektionen utarbetat en checklista för skolor som bifogas. Checklistan är tänkt att utgöra ett stöd för dem som har det yttersta ansvaret enligt personuppgiftslagen för hur personuppgifter behandlas i skolan, det vill säga i aktuellt fall Nämnden för förskola och grundskola. Däri framgår bland annat vikten att införa begränsningar i läs- och skrivmöjligheterna i skolornas IT-system, så att exempelvis inte alla lärare kan ta del av uppgifter om alla elever. Sida 5 av 6

Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, teamledaren Suzanne Isberg och juristen Katarina Högquist, föredragande Göran Gräslund Katarina Högquist Kopia till: Personuppgiftsombudet Sida 6 av 6

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss