Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Relevanta dokument
Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Bilaga 1. Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL. Ärendet avslutas men kan komma att följas upp.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsynsbeslut; omdömen om elever

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Lathund Personuppgiftslagen (PuL)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Datainspektionens beslut efter tillsyn enligt personuppgiftslagen vid Norra Real

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Skolorna visar brister i att hantera personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsynsbeslut mot Försvarsmakten avseende behandlingen av personuppgifter i IT-stöden PRIO och ReachMee

Personuppgiftsbiträdesavtal

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO)

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

PERSONUPPGIFTSLAGEN (PUL)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Personuppgiftsbehandling i forskning

Tillsyn enligt personuppgiftslagen (1998:204)- två forskningsprojekt vid Bristol-Myers Squibb AB

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Personuppgiftsbehandling för forskningsändamål

Föreningen kommer vidare att skriva avtal med sin systemleverantör. Leverantören kommer också att ta emot föreningens säkerhetskopior.

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Policy för hantering av personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Bilaga Personuppgiftsbiträdesavtal

Tillsyn enligt personuppgiftslagen (1998:204) Hyresbostäder i Norrköping AB

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Personuppgiftsinformation för Svedala kommun

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

BILAGA Personuppgiftsbiträdesavtal

Kanslichef - Tillsvidare

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) mot IOGT-NTO behandling av uppgifter i medlemsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) forskningsprojektet SWEGHO vid Pfizer AB

Personuppgiftslagen (PuL) - En kort introduktion

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Tillsyn enligt personuppgiftslagen (1998:204)- två forskningsprojekt vid Novartis Sverige AB

Tillsyn enligt personuppgiftslagen (1998:204)

Betänkandet låt fler forma framtiden! (SOU 2016:5)

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Rutin för webbpublicering av personuppgifter

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

Tillsyn enligt personuppgiftslagen (1998:204) två forskningsprojekt vid Roche AB

Tillsyn enligt personuppgiftslagen (1998:204) Autentisering av användare som medges åtkomst till personuppgifter i kreditupplysningsregister

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Vägledning om molntjänster i skolan

Tillsyn - äldreomsorg

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Svensk författningssamling

INTEGRITETSPOLICY FÖR BOSTADSRÄTTSFÖRENINGEN BOKLOK Eriksbergsbergsterrassen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Stensjö Fastigheter

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Transkript:

1 (6) Beslut Dnr 2008-09-09 730-2008 Utbildningsnämnden Göteborgs stad Box 5428 402 29 Göteborg Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Ärendet avslutas. Datainspektionen förutsätter att Utbildningsnämnden i Göteborgs stad (härefter nämnden) beaktar de påpekanden som framförs nedan (se avsnittet Datainspektionens bedömning) rörande: Uppgift om nationalitet i Gerda och Erica Känsliga personuppgifter Personuppgiftsbiträdesavtal Bevarande och gallring Ärendet kan komma att följas upp. Bakgrund Datainspektionen genomförde den 26 maj 2008 inspektioner av nämndens behandling av personuppgifter i Angeredsgymnasiet och Burgårdens utbildningscenter. Under inspektionen och i efterföljande skriftväxling, har bl.a. följande framkommit. De IT-system som används i skolorna är bland andra: Gerda, Erica, Skolplatsen och Pingpong. Skolhälsovården använder sig enbart av pappersakter. Gerda I Gerda finns basuppgifter om eleverna: Namn, personnummer, telefonnummer, klass, studiegrupp, betyg (även från grundskolan) och bilder på eleverna (används för att framställa ID-kort). I Gerda finns ett fält för angivande av nationalitet, som för de elevposter som förevisades vid inspektionstillfällena var ifyllt med svensk. Efter Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

inspektionen har nämnden upplyst att detta fält inte har något syfte och att det kommer att tas bort. Erica Erica är Gerdas motsvarighet för vuxenutbildningen och används på samma sätt. 2 (6) Skolplatsen Till Skolplatsen hämtas basuppgifter om eleverna från Gerda. Därutöver innehåller Skolplatsen uppgift om elevens frånvaro, schema och studieplan. Som frånvaroorsak kan anges de förvalda alternativen anmäld eller oanmäld. Vid inspektionstillfällena var det möjligt att använda ett fritextfält för att skriva in kommentarer till frånvaron, exempelvis att eleven är sjuk eller är hos tandläkaren. Efter inspektionerna har nämnden upplyst att fritextfältet i Skolplatsen har tagits bort. Efter ansökan kan vårdnadshavare få webbåtkomst till Skolplatsen med hjälp av användarnamn och lösenord. Pingpong Pingpong är en webb-baserad lärplattform med möjlighet för elever att ladda ner dokument, göra grupparbeten, skriva prov, chatta och delta i diskussionsfora. I Pingpong finns uppgifter om elevernas namn och studiegrupp. Pingpong driftas av Pingpong AB. Efter inspektionen har nämnden upplyst att man tagit fram ett förslag till personuppgiftsbiträdesavtal med Pingpong AB; nämnden har även givit in en kopia av förslaget till Datainspektionen. De uppgifter som finns i Pingpong är endast uppgifter för aktuella elever. Så snart en elev har avslutats i Gerda finns uppgifterna inte tillgängliga längre hos nämnden. Skulle en lärare önska att något elevmaterial sparas efter att eleven slutat i gymnasieskolan, för att visa upp som goda exempel, diskuterar läraren detta först med eleven som ger sitt godkännande. Uppgifterna finns däremot kvar i Pingpongs server på samma sätt som för deras övriga kunder. Nämnden kommer att diskutera om den ska begära att när eleverna slutat och kontona tagits bort även alla uppgifter i Pingpongs server ska gallras. Datainspektionens bedömning Uppgift om nationalitet i Gerda och Erica I PuL finns bestämmelser om grundläggande kraven på behandlingen av personuppgifter. Av 9 punkterna c), e) och f) PuL framgår att den personuppgiftsansvarige skall se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, och att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen.

3 (6) I ärendet har framkommit att nämnden utan något bestämt syfte behandlat uppgift om elevernas nationalitet i Gerda och Erica. Nämnden har även uppgett att fältet för angivande av nationalitet kommer att tas bort. Datainspektionen anser att nämndens behandling av uppgift om nationalitet strider mot de grundläggande kraven i 9 punkterna c), e) och f) PuL. Mot bakgrund av att nämnden uppgett att det aktuella fältet kommer att tas bort från Gerda och Erica, finner Datainspektionen att det för närvarande saknas anledning att vidta ytterligare åtgärder mot nämnden med avseende på fältet. Känsliga personuppgifter 13 PuL innehåller följande förbud mot att behandla känsliga personuppgifter. Det är förbjudet att behandla personuppgifter som avslöjar a) ras eller etniskt ursprung, b) politiska åsikter, c) religiös eller filosofisk övertygelse, eller d) medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Uppgifter av den art som anges i första och andra styckena betecknas i denna lag som känsliga personuppgifter. 15 PuL innehåller följande bestämmelse om behandling av känsliga personuppgifter. Känsliga personuppgifter får behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. I 16-19 PuL finns bestämmelser som anger när känsliga personuppgifter får behandlas även utan uttryckligt samtycke eller eget offentliggörande. I ärendet har framkommit att uppgiften om att en elev är sjuk har kunnat anges som bl.a. frånvaroorsak i fritextfältet i Skolplasten, men att denna möjlighet nu har tagits bort. Datainspektionen anser att nämnden saknar stöd för att i fritextfältet behandla känsliga personuppgifter utan uttryckligt samtycke. Mot bakgrund av att nämnden nu tagit bort fritextfältet i Skolplatsen, finner Datainspektionen att det för närvarande saknas anledning att vidta ytterligare åtgärder mot nämnden med avseende på fritextfältet.

4 (6) Säkerhetsåtgärder I PuL finns bestämmelser om säkerhetsåtgärder. I lagens 31 första stycket anges följande. Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av a) de tekniska möjligheter som finns, b) vad det skulle kosta att genomföra åtgärderna, c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass känsliga de behandlade personuppgifterna är. Enligt Datainspektionen innebär bestämmelsen att känsliga personuppgifter enligt PuL eller andra personuppgifter som kan anses vara integritetskänsliga, t.ex. för att de omfattas av sekretess eller rör den enskildes personliga förhållanden, får lämnas ut via Internet endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering, exempelvis e-legitimation, engångslösenord eller motsvarande. I ärendet har framkommit att nämnden i Skolplatsen behandlar uppgifter om elevers frånvaro, schema och studieplan. Sedan fritextfältet tagits bort, kan som frånvaroorsak endast anges de förvalda alternativen anmäld eller oanmäld. Vidare har framkommit att användarna har åtkomst till Skolplatsen över Internet och att Internetinloggning sker med endast användarnamn och lösenord. Vid en samlad bedömning av nyss nämnda omständigheter anser Datainspektionen att behandlingen av personuppgifter i Skolplatsen inte strider mot säkerhetskraven i PuL. Personuppgiftsbiträdesavtal I PuL finns bestämmelser om avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet. I lagens 30 andra stycket anges följande. Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som avses i 31 första stycket. Vidare anges i 31 andra stycket PuL följande. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.

I ärendet har framkommit att Pingpong driftas av företaget Pingpong AB, utan att det finns ett personuppgiftsbiträdesavtal med Pingpong AB. Emellertid har nämnden upplyst att man tagit fram ett förslag till personuppgiftsbiträdesavtal med Pingpong AB; nämnden har även givit in en kopia av förslaget till Datainspektionen. 5 (6) Mot bakgrund av att nämnden påbörjat arbetet med att ta fram ett personuppgiftsbiträdesavtal med Pingpong AB, finner Datainspektionen att det för närvarande saknas anledning att vidta ytterligare åtgärder mot nämnden med avseende på personuppgiftsbiträdesavtalet. Bevarande och gallring I PuL finns bestämmelser om grundläggande kraven på behandlingen av personuppgifter. I 9 punkten i) PuL anges följande: Den personuppgiftsansvarige skall se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Bestämmelsen ska dock bara tillämpas i den mån det inte i annan lag eller förordning finns avvikande bestämmelser. Detta framgår bl.a. av 8 andra stycket första meningen PuL, där följande anges. Bestämmelserna hindrar inte heller att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. I ärendet har framkommit att de personuppgifter som nämnden behandlar i Pingpong inte längre är tillgängliga för nämnden när eleven slutat skolan. Dock sparas uppgifterna även efter denna tidpunkt hos personuppgiftsbiträdet Pingpong AB. Nämnden har uppgett att man överväger att begära att dessa uppgifter gallras även hos Pingpong AB. Det är Datainspektionens uppfattning att den personuppgiftsansvarige ansvarar för att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt, oavsett om uppgifterna bevaras hos den ansvarige eller hos dennes personuppgiftsbiträde. Datainspektionen förutsätter att nämnden beaktar inspektionens uppfattning i denna fråga, och således instruerar sitt personuppgiftsbiträde att gallra personuppgifterna när de inte längre behöver bevaras. Hur man överklagar Om Ni vill överklaga beslutet ska Ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som Ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder

6 (6) överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt Ni har begärt. Erik Janzon Kopia till: Personuppgiftsombudet Solveig Blomstrand Utbildningsförvaltningen Göteborgs stad Box 5428 402 29 Göteborg Malin Högstedt Angeredsgymnasiet Box 53 424 22 Angered Karin Eriksson-Kurkiewicz Burgårdens utbildningscentrum Box 5440 402 29 Göteborg

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss