Riktlinjer för behandling av personuppgifter inom skolans område



Relevanta dokument
Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

PERSONUPPGIFTSLAGEN (PUL)

Personuppgiftsbehandling i forskning

Personuppgiftsbehandling för forskningsändamål

Personuppgiftslagen (PuL) - En kort introduktion

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

Lathund Personuppgiftslagen (PuL)

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Regler för behandling av personuppgifter enligt personuppgiftslagen

Personuppgiftslagen konsekvenser för mitt företag

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling

Rutin för webbpublicering av personuppgifter

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Svensk författningssamling

Personuppgiftslagen 20 april 2010

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

Personuppgifter. Behandling av personuppgifter

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

Regler för hantering av personuppgifter i Stenungsunds kommun

SKARPNÄCKS STADSDELSFÖRVALTNING

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter

PUL OCH DATASKYDDSFÖRORDNINGEN

Riktlinjer för webbpublicering enligt PuL

Riktlinjer för behandling av personuppgifter

Personuppgifter m.m. i skolan

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Anmälan om att en arbetsgivare brister i det förebyggande och främjande arbetet

Policy för hantering av personuppgifter

Svensk författningssamling

regel plan policy program regel riktlinje rutin strategi taxa regler för personuppgiftshantering ... Beslutat av: Kommunfullmäktige

Regler för behandling av personuppgifter vid Högskolan Dalarna

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen

Behandling av personuppgifter vid Göteborgs universitet

Kerstin Wardman, 25 april 2018

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Svensk författningssamling

Publicering på Internet

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Svensk författningssamling

Anmälan om att en arbetsgivare brister i arbetet med aktiva åtgärder

Anmälan om att en utbildningsanordnare brister i arbetet med aktiva åtgärder

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Om du inte har möjlighet att använda DO:s anmälningsblanketter kan du göra en anmälan per brev, e-post, muntligen eller på annat sätt.

PuL och Dataskyddsförordningen i det nämndsdministrativa arbetet- vad är nytt och hur förbereder jag mig? Stockholm den 22 november 2017

Kanslichef - Tillsvidare

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Svensk författningssamling

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Dataskyddsförordningen 2018

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen

Säkerhet på Norrtäljes lärplattform Fronter

Personuppgiftsbiträdesavtal

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

Information om personuppgiftslagens tillämpning i Riksbanken

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Personuppgifter m.m. i skolan

Datainspektionen informerar. Hur länge får personuppgifter

Dataskyddsförordningen, GDPR

SÖDERTÄLJE KOMMUN Utbildningskontoret

Dataskyddspolicy för Rotsunda Utbildning AB

Personuppgiftslagen PUL

Dataskyddsförordningen 2018

Svensk författningssamling

PuL och GDPR en översiktlig genomgång

Dataskyddsförordningen

Svensk författningssamling

Riktlinjer för behandling av personuppgifter vid webbpublicering

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Dataskyddsförordningen GDPR

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Personuppgiftsinformation för Svedala kommun

Kommunstyrelsen. Godkänt av kommunstyrelsen , 77 Kompletterad av kommunstyrelsen , 162

Behandling av elevers personuppgifter i grundskolan DATAINSPEKTIONENS RAPPORT 2002:2

Fyll i blanketten noga det underlättar DO:s arbete med din anmälan.

1. Förvaltning:... Verksamhetsområde: Kontaktperson: Personregistrets benämning. 4. Hur sker information till de registrerade?

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Mertzig Asset Management AB

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Integritetspolicy Våra Gårdar

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Svensk författningssamling

Transkript:

2003-10-10 Riktlinjer för behandling av personuppgifter inom skolans område När är PuL tillämplig? Personuppgiftslagen, PuL, är tillämplig när det är fråga om behandling av personuppgifter. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Lagen är alltså inte tillämplig på uppgifter om juridiska personer, t ex bolag och föreningar Behandling av personuppgifter avser varje åtgärd som vidtas i fråga om personuppgifter t ex insamling, registrering, lagring, bearbetning, användning, översändande, sammanställning. Lagen är tillämplig såväl på automatiserad behandling av personuppgifter som på viss manuell behandling av sådana uppgifter. PuL är automatiskt tillämplig då personuppgifter databehandlas, även om det är fråga om behandling av endast enstaka personuppgifter t ex namn i löpande text. Vad gäller manuell behandling är PuL tillämplig bara om uppgifterna ingår i en strukturerad samling av personuppgifter, som är tillgängliga för sökning enligt minst två kriterier. Man kan säga att det krävs någon form av register. Lagen är inte tillämplig på privat behandling av personuppgifter, t ex en privat adressbok. Utlämnande av handlingar är behandling i PuL s mening men PUL ska inte tillämpas om det skulle innebära inskränkning i skyldigheten att lämna ut allmänna och offentliga handlingar. PuL är inte tillämplig på behandling av personuppgifter som sker uteslutande för journalistiskt ändamål eller för konstnärligt eller litterärt skapande. Inom skolans område Inom skolans område är PuL tillämplig främst i följande situationer: 1. personuppgifter om elever behandlas för elevadministrativa ändamål 2. lärare behandlar personuppgifter om elever, t ex genom att föra minnesanteckningar och upprätta underlag för utvecklingssamtal och åtgärdsprogram 3. personuppgifter om elever publiceras på skolans webbplats på Internet, t ex klasslistor, foton 4. elever publicerar personuppgifter på Internet. De personuppgifter som behandlas är i huvudsak elevers namn, adress, personnummer, telefonnummer, klass samt anhörigas namn och telefonnummer. 1

PuL är tillämplig även när läraren utför sitt arbete hemifrån oavsett om han/hon använder skolans eller sin privata dator. Grundläggande krav på behandling av personuppgifter Den som är personuppgiftsansvarig ska enligt 9 PuL se till att a) personuppgifter behandlas bara om det är lagligt, b) personuppgifter alltid behandlas på ett korrekt sätt, c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, d) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in e) de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen, g) de personuppgifter som behandlas är riktiga och aktuella, h) felaktiga eller ofullständiga uppgifter rättas eller utplånas, i) personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. De grundläggande kraven innebär bl a att läraren får behandla bara sådan personuppgifter som han/hon behöver för sitt arbete. En skola måste vid behov kunna kontakta en elevs föräldrar eller vårdnadshavare. Att behandla uppgift om förälders namn får därför anses relevant i förhållande till ändamålet med behandlingen, dvs elevadministration. Däremot kan det inte anses nödvändigt med hänsyn till ändamålet att behandla föräldrars personnummer eller syskons namn och personnummer. Vad gäller bevarande av personuppgifter ankommer det på skolstyrelsen (eller motsvarande) att i sin dokumenthanteringsplan ange hur länge uppgifter (dokument) ska bevaras. Här förekommer tre kategorier av dokument: 1. dokument i elevvårdsärenden sparas för evigt. 2. elevakter med okontroversiella uppgifter, t ex löpande anteckningar som läraren för i samband med utvecklingssamtal, betygssättning osv gallras vid inaktualitet (vilket är olika i olika situationer) 3. dokument inom speciell verksamhet såsom SYO-konsulentverksamhet sparas elevvis tills eleven lämnar skolat (Frågor angående dokumenthanteringsplaner besvaras av stadsarkivarien Rolf Sjögren). När är behandling av personuppgifter tillåten? Enligt huvudregeln i 10 PuL får personuppgifter inte behandlas utan samtycke av den registrerade. I nedan angivna situationer a)-f) får dock personuppgifter behandlas även utan samtycke om det är nödvändigt för att 2

a) ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas Hit hör behandling av personuppgifter om anställda, eftersom rättsförhållandet med de anställda bygger på anställningsavtal. Andra exempel på tillåten behandling enligt denna punkt är fakturering, förande av kundregister, kreditupplysning och kontroll av att den registrerade har nödvändiga tillstånd. b) den personuppgiftsansvarige ska kunna fullfölja en rättslig skyldighet Denna undantagsregel blir ofta tillämplig inom skolans område. Undantaget avser rättsliga skyldigheter som grundar sig på lagar, förordningar och myndighetsbeslut. Hit hör skollagen. Det är alltså möjligt att utan samtycke behandla elevers personuppgifter, om det behövs för att skolan ska kunna fullgöra skyldigheter enligt skollagen t ex att sätta betyg. Elevadministration över huvud taget anses falla under denna undantagsregel. Även lärares minnesanteckningar får anses ligga inom ramen för den rättsliga skyldigheten enligt undantagsregeln. Det gäller åtminstone om minnesanteckningarna används för t ex betygssättning, utvecklingssamtal, underlag för beslut i elevvårdsärenden mm. Med andra ord för att utföra rättsliga skyldigheter. Det är även möjligt att behandla personuppgifter om de anställda för att t. ex. kunna fullgöra den rättsliga skyldigheten att redovisa sociala avgifter för dessa. c) vitala intressen för den registrerade ska kunna skyddas Ett exempel som faller under denna bestämmelse är att personuppgifter om den som plötsligt blivit sjuk och förlorat medvetandet behöver behandlas för att underrätta de anhöriga. d) en arbetsuppgift av allmänt intresse ska kunna utföras Hit hör exempelvis arkivering, framställning av statistik och opinionsundersökningar avseende samhällsfrågor. e) den personuppgiftsansvarige ska kunna utföra en arbetsuppgift i samband med myndighetsutövning f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Enligt denna undantagsregel får man göra en avvägning mellan olika intressen. Regeln är tillämplig t ex när en idrottsförening begär att få ut allmän handling i form av klasslistor på samtliga elever i skolans tredje klasser för att kunna skicka ut information om föreningen till eleverna i syfte att värva nya medlemmar. 3

Att lämna ut klasslistan i form av papperskopia är förenligt med PuL. Ska listan däremot lämnas digitalt måste myndigheten från fall till fall göra en bedömning om föreningens (i exemplet) intresse av att få behandla personuppgifterna väger tyngre än elevernas intresse av att inte behöva besväras av informationen. Det troliga är att föreningens intresse väger över i det nämnda exemplet. Lämna inte ut personuppgifter om elev som har skyddad identitet. Ej heller personummer! (Se sidan 5-6 nedan). Särskilda regler om känsliga personuppgifter Enligt 13 PuL är det förbjudet att behandla känsliga personuppgifter. Känsliga personuppgifter är uppgifter som avslöjar a) ras eller etniskt ursprung b) politiska åsikter c) religiös eller filosofisk övertygelse d) medlemskap i fackförening e) uppgifter som rör hälsa och sexualliv Inom skolans område är det främst uppgifter om elevers hälsa t ex allergier och om elevers etniska ursprung som är att hänföra till känsliga uppgifter. Uppgift om en elevs modersmål kan i vissa fall utgöra en uppgift om etniskt ursprung och på den grunden vara känslig. Känsliga personuppgifter får enligt huvudregeln inte behandlas för elevadministrativa ändamål. Känsliga personuppgifter får dock behandlas dels om den registrerade har lämnat sitt uttryckliga samtycke och dels om den registrerade själv på ett tydligt sätt har offentliggjort uppgifterna. Exempel på offentliggörande är när en person avslöjar sin religionstillhörighet genom sin klädsel. I 16-19 PuL anges de undantagsfall då behandling av känsliga personuppgifter är tillåten utan samtycke. För skolans del kan följande situationer vara aktuella: 1. Behandligen är nödvändig för att a) den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, t ex följa kollektivavtal b) den registrerades eller någon annans vitala intressen ska kunna skyddas och den registrerade inte kan lämna sitt samtycke c) rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras Med rättsligt anspråk avses en specifik situation t ex när någon för talan inför domstol för att få sitt anspråk prövat. Undantaget kan inte åberopas när skolan fullgör sina generella skyldigheter enligt skollagen. Exempel på tillämpning av punkt c) utgör det fallet att det är nödvändigt att behandla uppgift om en elevs modersmål för att elevens rättsliga anspråk på att få undervisning i modersmålet ska kunna fastställas eller göras gällande. Undantagsregeln är tillämplig även när uppgiften 4

om modersmål behandlas för att administrera sådan beviljad undervisning. Under nämnda omständigheter krävs alltså inget samtycke till behandlingen. 2. Behandling av känsliga personuppgifter för hälso- och sjukvårdsändamål får med stöd av 18 PuL ske utan samtycke, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård. Nämnda regel samt lagen (1998:544) om vårdregister gör det möjligt att utan samtycke behandla personuppgifter inom elevhälsovården. Undantagsegeln omfattar däremot inte behandling av personuppgifter hos skolpsykolog och - kurator. 3. Känsliga personuppgifter får enligt 19 PuL behandlas för forskning och statistik om samhällsintresset klart väger över risken för otillbörligt intrång i den enskildes personliga integritet. Utöver ovan angivna undantag får enligt 8 personuppgiftsförordningen (SFS 1998:1191) känsliga personuppgifter behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Detta innebär att känsliga uppgifter, såsom skolpsykologens eller skolkuratorns anteckningar, får behandlas i ärende om t ex upprättande av åtgärdsprogram eller andra stödåtgärder eller ärende om skolskjuts. Om det däremot inte är fråga om ärendehandläggning utan t ex om anteckningar för allmän elevvårdsplanering, registerhantering för skolskjuts, anteckningar om specialkost, allmän elevadministration etc eller lärares planerings- och minnesanteckningar, finns inget författningsstöd för att behandla känsliga personuppgifter. De möjligheter att behandla känsliga personuppgifter som då återstår är att inhämta samtycke eller att behandla uppgifterna manuellt (dock inte i register som är sökbart på minst två kriterier som avser personuppgifter). Personnummer Personnummer får, enligt 22 PuL, behandlas utan samtycke endast om det är klart motiverat med hänsyn till a) ändamålet med behandlingen b) vikten av en säker identifiering c) något annat beaktansvärt skäl. Detta innebär att personnummer får utan samtycke användas för elevadministration, eftersom det är nödvändigt bl a på grund av vikten av en säker identifiering, t ex för administration av elevhälsovård och betygssättning. Personnummer bör dock inte skrivas på klasslistor som tas ut för den allmänna, löpande administrationen av klasserna och deras aktiviteter. 5

Elevadministrativa register får heller inte innehålla uppgifter om föräldrars eller syskons personnummer. Behandling av personuppgifter på Internet Det är förbjudet att utan samtycke publicera personuppgifter på Internet. Undantag gäller om publiceringen är nödvändig för att: 1. ett avtal mellan den registrerade och den personuppgiftsansvarige ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas. T ex när en resebyrå beställer en resa och bokar hotell utomlands åt en person. 2. avtal i den registrerades intresse ska kunna ingås eller fullgöras mellan den personuppgiftsansvarige och tredje man T ex lämna adressuppgift vid förmedling av blommor eller postförsändelse till någon utomlands. 3. rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras 4. vitala intressen för den registrerade ska kunna skyddas. Vidare gäller att publicering på Internet kan ske utan samtycke om uppgifterna är harmlösa. Uppgifter om elevs namn, klass och e-postadress till skolan anses normalt harmlösa. Däremot kan uppgifter om t ex hemadress, telefonnummer och elevens foto inte anses som harmlösa. En gruppbild där det går att identifiera en person är att betrakta som en personuppgift. Samtycke krävs därför innan en sådan bild publiceras på Internet. Samtycke När samtycke krävs för behandling av personuppgifter ska detta inhämtas från vårdnadshavaren, när det är fråga om ett barn som inte nått sådan mognad att barnet självt kan tillgodogöra sig information om vad en behandling innebär och som faktiskt kan avge ett frivilligt samtycke. När denna mognadsålder inträffar varierar från individ till individ. Tonåringar torde som regel ha uppnått sådan mognad. Ett samtycke behöver inte vara skriftligt, men det ska ha lämnats frivilligt, särskilt och informerat, d.v.s. lämnats efter det att information om behandlingen getts. Samtycket ska också vara en otvedydig viljeyttring. Samtycke bör inhämtas skriftligen när detta är möjligt. Personuppgiftsansvarig Personuppgiftsansvarig kan vara en fysisk person, en juridisk person eller en myndighet. Flera kan vara gemensamt personuppgiftsansvariga för viss behandling. För behandling av 6

personuppgifter hos juridiska personer är det normalt den juridiska personen själv som är personuppgiftsansvarig och inte någon anställd eller chef. För behandlingen av personuppgifter i en kommunal skola är det myndigheten, i vår kommun barn- och ungdomsnämnden, gymnasienämnden respektive arbetmarknads- och vuxenutbildningsnämnden som är personuppgiftsansvarig för behandlingen av personuppgifter inom sina respektive verksamheter och inte någon enskild befattningshavare. Brott mot PuL kan leda till såväl skadestånds- som straffansvar. Skadeståndsansvar för skador som behandling av personuppgifter i strid med PuL har orsakat åvilar i kommunala skolor den juridiska personen, dvs kommunen. Straff kan bara ådömas fysiska personer. Personuppgiftsombud Den personuppgiftsansvarige kan utse ett personuppgiftsombud som har till uppgift bl a att kontrollera att behandlingen av personuppgifterna är i överensstämmelse med PuL. Även om det finns ett personuppgiftsombud är det den personuppgiftsansvarige som har det yttersta ansvaret. Personuppgiftsombudet ska föra förteckning över de behandlingar som den personuppgiftsansvarige genomför med angivande av ändamålet med behandlingen. Personuppgiftsombud för barn och ungdomsnämnden, gymnasienämnden inklusive gymnasieintagningen samt arbetsmarknads- och vuxenutbildningsnämnden är Peter Gustafsson utbildningskontoret. Information Den vars personuppgifter behandlas måste informeras om behandlingen. Information ska lämnas om den personuppgiftsansvariges identitet, vilka personuppgifter som samlas in och vad uppgifterna ska användas till. Information ska också lämnas om att den registrerade har rätt att ansöka om information och begära rättelse av felaktiga uppgifter. Det är lämpligt att ett informationsblad delas ut till samtliga vårdnadshavare och elever vid läsårets början. Mer om PuL Den som vill läsa mer om PuL kan gå in på Datainspektionens hemsida www.datainspektionen.se. Siv Lejefors stadsjurist och samordnare för kommunens personuppgiftsombud 7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss