Lathund Personuppgiftslagen (PuL)
Behandling Alla former av åtgärder där man hanterar personuppgifter oavsett om det sker via datorn eller inte. Detta kan vara till exempel insamling, registrering och sammanställning. Behörighet Det är viktigt att se över personalens behörigheter, inom LKF ska vi inte ha tillgång till mer information än nödvändigt för att kunna utföra det egna arbetet. Biträdesavtal När LKF anlitar utomstående leverantör för att behandla personuppgifter för organisationens räkning ska ett sådant avtal upprättas. Se Text till biträdesavtal. Datainspektionen Datainspektionen är en tillsynsmyndighet som bland annat ska se till att myndigheter och organisationer inom offentlig och privat verksamhet följer reglerna i PuL. För mer information om Datainspektionen: www.datainspektionen.se Fritextfält Vi ska vara försiktiga med fritextfält, på grund av svårigheter att kontrollera att inte känsliga/kränkande uppgifter noteras. Om fritextfält måste användas ska det finnas tydliga skriftliga instruktioner om vad som får skrivas i fälten. Frånvaroorsaker/avbrottsorsaker Frånvaroorsak och avbrottsorsak som rör personers hälsa får inte anges utan samtycke. Observera att andra regler kan gälla inom skolhälsovården. Gallring LKF får bara spara information om personuppgifter så länge det är nödvändigt. Skriftliga rutiner och riktlinjer för gallring och bevarande ska finnas. LKF ansvarar för att anlitade personuppgiftsbiträden följer instruktioner gällande gallring och bevarande av personuppgifter. Information I de fall samtycke inte krävs är LKF skyldig att informera de personer som blir registrerade om vad som registreras och i vilket syfte. Se Information till registrerade. 2
Kränkningsregeln/missbruksregeln Denna regel ska alltid användas vid hantering av personuppgifter oavsett om det är i strukturerat eller ostrukturerat material. LKF får inte kränka den registrerades personliga integritet. Känsliga uppgifter Det är enligt lag förbjudet att behandla känsliga uppgifter. Känsliga uppgifter är det som rör hälsa eller sexualliv, politiska åsikter, medlemskap i fackförening, ras eller etniskt ursprung samt religiös eller filosofisk övertygelse. Undantag från detta förbud se PuL 15-19. Nödvändig behandling Nödvändig behandling är när det är tillåtet att behandla personuppgifter utan samtycke från den registrerade. Det kan vara när LKF måste ta in och registrera personuppgifter för att kunna bedriva lagstadgad verksamhet, till exempel när elever registreras i elevregistret. Observera att skyldigheten att informera om registreringen fortfarande är nödvändig. Offentlighetsprincipen Myndigheter är skyldiga att lämna ut allmänna handlingar till den som begär det om inte sekretess gäller. PuL:s regler ska inte användas så att det strider mot offentlighetsprincipen. Generellt kan man säga att sekretess gäller för personuppgifter om det är troligt att ett utlämnande leder till att personuppgifter behandlas i strid med PuL. Ostrukturerat material Med ostrukturerat material menas till exempel löpande text, e-post och word-dokument (för motsatsen se strukturerat material nedan). Vid behandling av personuppgifter i ostrukturerat material gäller inte alla PuL:s regler, dock måste man till exempel tillämpa reglerna gällande säkerhetsåtgärder och man får heller inte kränka den personliga integriteten. Personnummer Personnummer ska endast registreras/användas när det är nödvändigt. Ett exempel är om det krävs att man ska kunna göra en säker identifiering, i annat fall måste samtycke av den registrerade inhämtas. Observera att man inte ska skriva personnummer i okrypterad e-post. Personuppgifter All slags information som direkt eller indirekt kan kopplas till en person som är i livet. Personuppgiftslagens syfte Skydda människor mot att deras personliga integritet kränks. 3
Personuppgiftsansvarig Lapplands kommunalförbund är personuppgiftsansvarig enligt lagen. Personuppgiftsbiträde Annan verksamhet utanför LKF som behandlar personuppgifter för organisationens räkning. Se Text till biträdesavtal. Personuppgiftsombud Anna Lantto (Lapplands gymnasium) anna.lantto@skola.kiruna.se Carola Stålnacke (Lapplands lärcentra, samt verksamhet under kansliet) carola.stalnacke@skola.kiruna.se Personuppgiftsombuden ska vara sakkunniga och behjälpliga både inom och utanför organisationen vad gäller frågor kring PuL. En av arbetsuppgifterna är att ansvara för att en registerförteckning finns över vilka personuppgifter som behandlas inom organisationen. Vid frågor eller funderingar kring PuL och hantering av personuppgifter kontakta Anna eller Carola på ovanstående e-post. Registerförteckning LKF ska föra förteckningar över vilka register som finns i organisationen och som behandlar personuppgifter. Chefer/rektorer ansvarar för att underlag till förteckning fylls i och lämnas in till respektive personuppgiftsombud. Personuppgiftsombuden ansvarar för att sammanställa och förvara upprättad förteckning. Registerutdrag Alla som finns registrerade inom LKF har rätt att skriftligen begära ett utdrag över vilka uppgifter som finns registrerade om denne. LKF har skyldighet att en gång per kalenderår lämna ut detta utan kostnad till den som begär det. Informationen ska lämnas ut skriftligen och innehålla vilka uppgifter som behandlas, var uppgifterna kommer ifrån, syftet med behandlingen och till vilka som uppgifterna lämnas ut. Detta ska göras inom en månad efter att begäran kommit in, men undantag får göras om särskilda skäl finns. Rättelse LKF är skyldig att snarast rätta till/ta bort personuppgifter som är felaktiga eller behandlas i strid med PuL. Skadestånd/straff LKF kan bli skyldig att betala ut skadestånd om personuppgifter behandlas i strid med PuL. Även straff kan dömas ut vid allvarligare brott mot PuL. 4
Strukturerat material Ett exempel på strukturerat material är ett register där man kan söka fram och sammanställa personuppgifter genom olika kriterier som till exempel personnummer, namn, adress och telefonnummer. Observera att ett register kan vara både datoriserat och manuellt. När det gäller strukturerade material så gäller alla regler i PuL. Samtycke Samtycke innebär att den registrerade godkänner att dennes personuppgifter behandlas. För vissa behandlingar av personuppgifter krävs samtycke (se Nödvändig behandling ). Säkerhet LKF ska vidta lämpliga tekniska och organisatoriska åtgärder för att se till att skydda behandlade personuppgifter. 5