Skolan och Dataskyddsförordningen

Relevanta dokument
GDPR ur verksamhetsperspektiv

Dataskyddsförordningen

EU:s allmänna dataskyddsförordning:

Dataskyddsförordningen

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Riktlinjer för dataskydd

GDPR- Seminarium 2017

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen (GDPR)

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Dataskyddsförordningen

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Datskyddsförordningen Gymnasieantagning

Information om dataskyddsförordningen

EU:s dataskyddsförordning

Dataskyddsförordningen GDPR - General Data Protection Regulation

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Välkomna till kurs i den nya dataskyddsförordningen

Riktlinjer för behandling av personuppgifter i Årjängs kommun

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Dataskyddsförordningen

Dataskyddsförordningen

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

GDPR. Dataskyddsförordningen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

GDPR Presentation Agenda

Dataskyddsförordningen

Personuppgiftsinformation för Svedala kommun

Dataskyddsförordningen och kvalitetsregister

GDPR UTBILDNINGSDAG SKKF

Policy för behandling av personuppgifter

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Vården och reglerna om dataskydd

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Kerstin Wardman, 25 april 2018

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

EU:s dataskyddsförordning

Dataskyddsförordningen för prefekter och administrativa chefer

Personuppgiftsbehandling Dataskydd

Dataskyddsförordningen

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Personuppgifter m.m. i skolan

Bilaga 1a Personuppgiftsbiträdesavtal

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

GDPR - Riktlinjer för hantering av personuppgifter

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

GDPR NYA DATASKYDDSFÖRORDNINGEN

Den nya dataskyddsförordningen

Nya dataskyddsförordningen GDPR

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Koncernkontoret Enheten för juridik

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Ett eller flera dataskyddsombud?

PuL och GDPR en översiktlig genomgång

Personuppgiftsbiträdesavtal

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Riktlinjer för personuppgiftshantering

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Svensk författningssamling

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Handlingsplan för persondataskydd

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

PERSONUPPGIFTS- BITRÄDESAVTAL

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Dataskyddsförordningen

GDPR definition och hur utbildningen berör(t)s av förordningen

Riktlinjer för hantering av personuppgifter

Välkomna Dataskyddsförordningen med fokus på den offentliga sektorn

PuL. Inför nya PuL Allmän dataskyddsförordning, GDPR

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Dataskyddsförordningen GDPR

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

GDPR. General Data Protection Regulation. dataskyddsförordningen

PERSONUPPGIFTSBITRÄDESAVTAL

GDPR och hantering av personuppgifter

Instruktion för personuppgiftsbiträdesavtal

GDPR General data protection regulation Dataskyddsförordningen

Information om behandling av personuppgifter

EU:s nya dataskyddsförordning Lotta Wikman Öman

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

PERSONUPPGIFTSBITRÄDESAVTAL Bilaga till Avtal om Swelön

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Dataskyddsförordningen

Transkript:

Skolan och Dataskyddsförordningen Webinarium 21 feb 2017 kl. 13.30 15.00 Sarah Arlebrink, stadsjurist Göteborgs stad Staffan Wikell, jurist SKL Johanna Karlén, projektledare avdelningen för digitalisering, SKL

Inloggning schema. Inloggning omdömen, utvecklingsplaner. Åtkomst till appar. Inloggning till enhet, nätverk. Inloggning digitala läromedel Inloggning samarbetsytor, uppgifter, läxor Inloggning digitala prov Information/data lagras, sprids, flödar

Program Dataskyddsförordningen - grunderna och viktiga skillnader för skolan jämfört med dagens lagstiftning Lagstöd för personuppgiftsbehandling Utökade skyldigheter Avtalen Informationsägarnas ansvar

Dataskyddsförordningen - grunderna och viktiga skillnader jämfört med personuppgiftslagen Länk till GDPR på svenska: bit.ly/gdpr-sv

Dataskyddsförordningen, grunder En EU-lagstiftning beslutad 2016, den börjar gälla 25 maj 2018. PuL upphör då. Inga övergångsregler finns. De grundläggande principerna desamma som i PuL/dataskyddsdirektivet från 1995. De grundläggande materiella bestämmelserna och begreppen till stor del samma som idag. Förordningen gäller direkt, den skall inte implementeras genom en personuppgiftslag. I vissa delar får och ska förordningen dock kompletteras av nationell lagstiftning. Ett stort antal utredningar kommer att, under 2017, föreslå kompletterande svenska bestämmelser. bit.ly/gdpr-sv

Grunder Syftet med lagstiftningen är att skydda fysiska personer vid behandling av personuppgifter, men samtidigt skapa fritt flöde av p-uppgifter mellan medlemsländerna. Att öka enskildas kontroll över sina personuppgifter. Den personuppgiftsansvarige (Pua): Den för verksamheten ansvariga nämnden, som bestämmer ändamål och medel för personuppgiftsbehandling. Personuppgiftsbiträde: Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Normalt ett företag, men kan vara en fysisk person. Dataskyddsombud- idag personuppgiftsombud. Blir obligatoriskt för alla myndigheter. En fysisk person, kan vara anställd hos myndigheten eller upphandlad konsult. bit.ly/gdpr-sv

Förändrade rollerpersonuppgiftsbiträdet Personuppgiftsbiträdet får ett självständigt skadeståndsansvar gentemot de registrerade. Skyldigheterna för biträdet preciseras i lagtexten. Biträdet blir skyldig att hålla ett register över kategorier av behandlingar, art 30. Ytterligare villkor vad gäller innehållet i avtalet med personuppgiftsbiträdet. Biträdet får anlita egna underbiträden bara om den personuppgiftsansvarige lämnat skriftligt förhandstillstånd Ett sådant underbiträde skall åläggas samma skyldigheter avseende dataskydd som det ursprungliga biträdet bit.ly/gdpr-sv

Förändrade rollerdataskyddsombudet Dataskyddsombudet alla myndigheter måste ha ett ombud. Rollen förstärks, ökade krav - självständighet, resurser och kompetens understryks särskilt En person kan vara ombud för flera myndigheter I uppgifterna ingår att - informera och ge råd till personuppgiftsansvarig och biträdet. - övervaka regel-efterlevnaden. - ta emot klagomål från registrerade - fungera som kontaktpunkt för tillsynsmyndigheten. bit.ly/gdpr-sv

Förändrade rollertillsynsmyndigheten Datainspektionen kommer fortsatt att vara tillsynsmyndighet. Vissa nya uppgifter tillkommer: a. DI kan påföra sanktionsavgifter vid olika överträdelser mot förordningen. b. DI ska ta emot anmälningar om personuppgiftsincidenter. c. DI skall samarbeta med andra dataskyddsmyndigheter inom EU. d. DI:s gällande vägledningar och Allmänna råd kommer att tas bort eller uppdateras. Den nya europeiska dataskyddsmyndigheten ska utfärda riktlinjer, best practices m.m för att främja enhetlig tillämpning www.datainspektionen.se/dataskyddsreformen

Några skillnader Förordningen gäller direkt Ökade krav på rapportering och dokumentation incidentrapportering m.m. Sanktioner Förändrade roller och nya roller - Personuppgiftsansvarig utökade skyldigheter - Personuppgiftsbiträde utökade skyldigheter - Dataskyddsombud blir obligatoriskt för alla myndigheter Lagstöd för personuppgiftsbehandling intresseavvägning försvinner bit.ly/gdpr-sv

Lagstöd för personuppgiftsbehandling

Laglig grund för behandling av personuppgifter Grunden finns i art. 6 i förordningen Kompletterande nationell lagstiftning Dir 2016:15 Dataskyddsutredningen (Ju 2016:04). - Klar senast 12/5 2017 Dir 2016:63 Personuppgiftsbehandling inom utbildningsområdet. (U 2016:03) - Klar senast 1/6 2017 bit.ly/gdpr-sv

Lagstöd för behandling av personuppgifter i skolans verksamhet Lagliga grunder för behandling av personuppgifter, artikel 6 i förordningen. För skolans del är det framför allt artikel 6 1 c och e dvs att behandlingen är nödvändig : - för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, - eller för att utföra en uppgift av allmänt intresse eller som led i den personuppgiftsansvariges myndighetsutövning Samtycke kan ibland utgöra laglig grund men i mer begränsad omfattning än idag. Intresseavvägning kan inte längre utgöra laglig grund för behandling i myndigheters verksamhet. bit.ly/gdpr-sv

Lagstöd för behandling av känsliga uppgifter i skolans verksamheter Ett grundläggande förbud mot behandling av känsliga personuppgifter, som idag. Obs! Dock genetiska och biometriska uppgifter samt sexuell läggning. Undantagen från förbudet ungefär som idag. Men med bemyndiganden för medlemsländerna att i lag ytterligare bestämma gränserna för när behandling av känsliga uppgifter får ske. Art 9, 2 b,g, h, i och j. - t ex om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse. bit.ly/gdpr-sv

Summering Lagstöd för personuppgifter: - fullgöra en rättslig förpliktelse - eller för att utföra en uppgift av allmänt intresse eller som led i myndighetsutövning Medlemsländerna i lag bestämma gränserna för när behandling av känsliga uppgifter får ske Intresseavvägning försvinner Samtycke begränsas Skoldatalag eller uppförandekod?

Skoldatalag eller uppförandekoder? Vi kan inte räkna med att det blir en särskild heltäckande lag för skolans behandling av personuppgifter. Dataskyddsförordningen öppnar för användningen av uppförandekoder. En uppförandekod får tas fram av en branschorganisation eller en sammanslutning som företräder en grupp av personuppgiftsansvariga, i syfte att specificera tillämpningen av förordningen. Den ska godkännas av tillsynsmyndigheten. Skulle kunna vara SKL själv eller tillsammans med annan.

Utökade skyldigheter för personuppgiftsansvarig

Register Skyldigheten att föra register över ändamålen med behandlingar m.m. (Art 30), övergår från ombudet till den Personuppgiftsansvariga (Pua). - De uppgifter som ska finnas i registret är i stort sett samma som idag i 36 och 39 PuL. - Missbruksregeln upphör, ostrukturerad behandling ska också förtecknas.

Personuppgiftsincidenter Personuppgiftsincidenter. Rutiner ska finnas för att utreda, dokumentera och till Datainspektionen rapportera sådana. Undantag finns om det är osannolikt att incidenten medför risk för enskilda.

Konsekvensbedömning Konsekvensbedömning för dataskydd, art. 35. - Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art och omfattning m.m. sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska Pua före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter.

Dataskydd Inbyggt dataskydd, art 25.1 Dataskydd som standard, art 25.2 genomföra lämpliga tekniska och organisatoriska åtgärder Inga vägledningar finns än så länge om hur detta arbete ska bedrivas.

Dataportabilitet Dataportabilitet, en rättighet för den registrerade, men bara när grunden för behandling är avtal eller samtycke. - Rätt att få sina data, som man själv har tillhandahållit, överförda till en annan Pua - Rätt att själv få tillgång till sina egna data i ett strukturerat och allmänt använt maskinläsbart format.

De registrerades rättigheter Rätt att gratis få kopia med sina uppgifter, registerutdrag. Begäran får ges in elektroniskt och svaret ska kunna lämnas på samma sätt. Rätt till radering (omfattande undantag finns) Rätt till rättelse av felaktiga uppgifter. Rätt till dataportabilitet, utdrag med de uppgifter som den registrerade själv tillhandahållit, i ett strukturerat allmänt använt format. Vägledning finns från artikel 29 gruppen. http://www.datainspektionen.se/press/nyheter/2016/nya-vagl

Vad innebär det här praktiskt? Att kraven på ordning och reda ökar Att kraven på dokumentation ökar

Var ska man börja? Inventera - Finns register för behandling? - I vilka sammanhang hanteras personuppgifter? - Vilka it-tjänster hanterar personuppgifter? Vilken sorts personuppgifter? - Är informationssäkerhetsklassning, PuL-bedömning, risk- och sårbarhetsanalys gjorda? - Se över avtalen med personuppgiftbiträden Dokumentera där dokumentation saknas Förbered verksamheten - Informera, diskutera - Utbildningsinsatser kring personuppgiftsbehandling, informationssäkerhet, digitala ekosystemet av it-tjänster

Vad ska ett register över behandling innehålla? den personuppgiftsansvariges namn och adress, ändamålen med behandlingen, en beskrivning av den eller de kategorier av registrerade som berörs, och kategorier av personuppgifter som hänför sig till dem, mottagarna eller de kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut, om personuppgifter ska föras över till tredje land, en allmän beskrivning som gör det möjligt att preliminärt bedöma lämpligheten av de informationssäkerhetsåtgärder som vidtagits för att trygga säkerheten i behandlingen.

Dokumentation bit.ly/molntjänster-i-skolan

Avtalen

Krav på biträdesavtalen Kravet på innehållen i biträdesavtalen, och kraven på biträdena, är högre i förordningen än i nu gällande lagstiftning. Avtalet måste innehålla - a) att biträdet ska säkerställa att de personer som ges behörighet att hantera personuppgifter har åtagit sig konfidentialitet eller har tystnadsplikt enligt lag. - b) Underbiträden får anlitas endast om det finns förhandstillstånd från den pua. - c) Dokumenterade instruktioner till biträdet ska finnas. - d) Underbiträdet ska åläggas samma skyldigheter som biträdet har.

Avtal idag - exempel Enterpriseavtal (huvudavtal) - här bör personuppgiftsbiträdesavtal finnas - Model Contract Clauses (klausuler anpassade för EU:s dataskyddsdirektiv för gränsöverskridande personuppgiftsöverföring). Alternativt att leverantörer följer Privacy Shield Data processing Amendment (tillägg som reglerar hur data används) bit.ly/molntjänster-i-skolan

Informationsägarnas ansvar

Förberedelser som skolhuvudmannen kan göra redan nu Inventera - Finns register? - I vilka sammanhang hanteras personuppgifter? - Vilka it-tjänster hanterar personuppgifter? Vilken sorts personuppgifter? - Är informationssäkerhetsklassning, PuL-bedömning, risk- och sårbarhetsanalys gjorda? - Se över avtalen med personuppgiftbiträden Dokumentera där dokumentation saknas Förbered verksamheten - Informera, diskutera - Utbildningsinsatser kring personuppgiftsbehandling, informationssäkerhet, digitala ekosystemet av it-tjänster

Ett pussel av it-tjänster

Riktlinjer för användning Förankring i verksamheten Information till vårdnadshavare PuLbedömning Avtal Informations -säkerhetsklassning Risk- och sårbarhetsanalys 3-partsprodukter Rutiner för att testa nya tjänster Kontohantering Kontinuitets -planer

Riktlinjer vilka tjänster används till vad? bit.ly/molntjänster-i-skolan

(Integritets)känslig information Formativ respons Summerande omdöme Utvecklingsplaner Stödinsatser/åtgärdsprogram Foton och filmer på barn/elever Elevers uppsatser och arbeten bit.ly/molntjänster-i-skolan

Riktlinjer för användning Förankring i verksamheten Information till vårdnadshavare PuLbedömning Avtal Informations -säkerhetsklassning Risk- och sårbarhetsanalys 3-partsprodukter Rutiner för att testa nya tjänster Kontohantering Kontinuitets -planer

Vägledningar och mer information bit.ly/gdpr-sv - Dataskyddsförordningen på svenska www.datainspektionen.se bit.ly/skl-gdpr - bl.a. ett tidigare webinarium om Dataskyddsförordningen bit.ly/molntjänster-i-skolan - vägledningar, dokumentationsmallar och Mittköpings arbete skl.se/skolansdigitalisering - allmänt om SKL:s arbete med skola och lärande i en digital värld

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss