Säkerhet på Norrtäljes lärplattform Fronter



Relevanta dokument
SÖDERTÄLJE KOMMUN Utbildningskontoret

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Personuppgiftsbehandling för forskningsändamål

Lathund Personuppgiftslagen (PuL)

Personuppgiftslagen (PuL) - En kort introduktion

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Personuppgiftsbehandling i forskning

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

Rutin för webbpublicering av personuppgifter

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Personuppgiftsbiträdesavtal

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Personuppgiftslagen konsekvenser för mitt företag

Riktlinjer för behandling av personuppgifter inom skolans område

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Bilaga 1. Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL. Ärendet avslutas men kan komma att följas upp.

regel plan policy program regel riktlinje rutin strategi taxa regler för personuppgiftshantering ... Beslutat av: Kommunfullmäktige

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

PERSONUPPGIFTSLAGEN (PUL)

Riktlinjer för behandling av personuppgifter

Användande av Google Apps For Education

Information om allergi/specialkost Information avseende allergi/specialkost får inte registreras i Vittraboken.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

Regler för behandling av personuppgifter enligt personuppgiftslagen

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Kommunstyrelsen. Godkänt av kommunstyrelsen , 77 Kompletterad av kommunstyrelsen , 162

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

VERSION

Personuppgiftslagen 20 april 2010

Svensk författningssamling

Juridiska förutsättningar för datahantering. Ledningsdagarna i Uppsala

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Den nya Dataskyddsförordningen

Riktlinjer för webbpublicering enligt PuL

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling

Tillsynsbeslut; omdömen om elever

Teckna personbiträdesavtal för användande av Googles molntjänst Apps for Education (GAFE)

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Anmälan om att en arbetsgivare brister i det förebyggande och främjande arbetet

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter

Dataskyddsförordningen

PUL OCH DATASKYDDSFÖRORDNINGEN

Svensk författningssamling

Anmälan om att en utbildningsanordnare brister i arbetet med aktiva åtgärder

Göran Rydeberg, Stockholms universitet

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Anmälan om att en arbetsgivare brister i arbetet med aktiva åtgärder

Rätt information på rätt plats i rätt tid, SOU 2014:23

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

Skolorna visar brister i att hantera personuppgifter

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

Policy för hantering av personuppgifter för verksamheter inom AcadeMedia-koncernen

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Regler för hantering av personuppgifter i Stenungsunds kommun

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Elsäkerhetsverkets register och behandlingar av personuppgifter enligt 39 PUL

Dataskyddsförordningen

Svensk författningssamling

Kvalitetsregisterdag

Policy för behandling av personuppgifter vid uthyrning av bostäder

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Bilaga Personuppgiftsbiträdesavtal

Remiss SOU 2014:23: Rätt information på rätt plats och i rätt tid

Dataskyddspolicy för Rotsunda Utbildning AB

Elevakter i grundskolan

Punkt 21 Riktlinje för fritextfält

Om du inte har möjlighet att använda DO:s anmälningsblanketter kan du göra en anmälan per brev, e-post, muntligen eller på annat sätt.

Digitala system i Kristinehamns förskolor och skolor. Information om behandling av personuppgifter

Riktlinje för hantering av personuppgifter i e-post och kalender

Google kalender I kalendern har eleven sitt personliga schema och även händelser som exempelvis prov, uppgifter, etc.

Svensk författningssamling

Svensk författningssamling

Kerstin Wardman, 25 april 2018

Riktlinjer för e-posthantering i Norrköpings kommun

Svensk författningssamling

Marianne och Ary Paleys stipendiestiftelse

Integritetspolicy Våra Gårdar

Stiftelsen PETTERSILFVERSKIÖLDSMINNESFOND

Regler för behandling av personuppgifter vid Högskolan Dalarna

Så behandlar vi dina personuppgifter

Samtycke och dataskyddsförordningen (GDPR)

Svensk författningssamling

Transkript:

Februari 2010 Säkerhet på Norrtäljes lärplattform Fronter Inledning Norrtälje kommuns lärplattform Fronter ska öppna möjligheter för ett pedagogiskt arbete som inte begränsas av tid och rum. Lärplattformen ska vara en plats där information relaterad till lärande och undervisning finns samlad. Elever, vårdnadshavare och skolpersonal ska enkelt kunna söka och hitta information om elevernas skolgång och kunskapsutveckling samt få en god överblick av skolans planering. Detta dokument syftar till att redogöra för de juridiska aspekterna av personuppgiftshanteringen i lärplattformen. Dokumentet kan användas som en handledning för hantering av personuppgifter i Norrtälje kommuns lärplattform Fronter. Allmänt om personuppgiftslagen (PuL) och skolverksamhet Definitionen av personuppgift enligt PuL är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Varje åtgärd som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, utgör en behandling av personuppgifter. Enligt PuL är skolverksamhet sådan verksamhet som enligt PuL 10d får behandla personuppgifter utan samtycke för att fullgöra en arbetsuppgift av allmänt intresse. Normalt sett är det tillåtet att använda datorer istället för att anteckna uppgifter på papper. Det gäller i princip allt från personalens enkla minnesanteckningar till administrationens formella schemaläggning och strukturerade betygskataloger [SOU 2003:103]. Känsliga uppgifter får behandlas, om den registrerade lämnat sitt utryckliga samtycke till behandlingen. [PuL 15 ] Som känsliga uppgifter räknas uppgifter som avslöjar ras eller etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i fackförening hälsa eller sexualliv [PuL 13 ] I PuL finns också bestämmelser om att personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålet med behandlingen, samt att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. [PuL 9 ] P O S T AD R E S S B E S Ö K S AD R E S S T E L E F O N E - P O S T P L U S G I R O Box 803, 761 28 Norrtälje Estunavägen 14 0176-710 00 barn.skolnamnden@norrtalje.se 3 20 65-5 utbildningsnamnden@norrtalje.se O R G A N I S AT I O N S N U M M E R T E L E F AX W E B B B A N K G I R O 212000-0217 0176-717 70 www.norrtalje.se 451-7694 w w w. n o r r t a l j e. s e B A R N - O C H U T B I L D N I N G S K O N T O R E T

2 (8) Principen för godkänd behandling av personuppgifter inom ramen för lärplattformen kan sammanfattas i nedanstående flödesschema. Är uppgiften att betrakta som personuppgift? NEJ tillåten JA Är uppgiften att betrakta som harmlös? JA tillåten NEJ Behövs behandlingen för att verksamheten ska kunna fullgöra lagstadgade skyldigheter? NEJ JA tillåten Finns samtycke till behandlingen? JA tillåten NEJ ej tillåten Är uppgiften att betrakta som personuppgift? All information som direkt eller indirekt kan hänföras till en person är personuppgifter som namn, personnummer, adressuppgifter, e-postadress, telefonnummer, bilder, bilnummer, fastighetsbetäckningar. Är uppgiften att betrakta som harmlös? Enligt datainspektionen är följande uppgifter att betrakta som harmlösa när de har en anknytning till elevens skola Elevens namn Elevens adress Elevens e-postadress till skolan En bedömning om en uppgift är harmlös eller ej måste dock alltid utgå från om den registrerade kan komma att uppleva publiceringen som kränkande. En bedömning bör därför utgå ifrån det unika fallet och personen ifråga. Personuppgifter som till sin karaktär kan betraktas som harmlös, kan i vissa sammanhang komma att betraktas som icke harmlös av den berörda personen. Uppgifter som inte är att betrakta som harmlösa är bland annat hemadresser, hemtelefonnummer, fotografier samt sekretesskyddade uppgifter.

3 (8) Behövs handlingen för att verksamheten ska kunna fullgöra lagstadgade skyldigheter? Exempel på behandling av personuppgifter som skolan behöver göra för att uppfylla en rättslig skyldighet kan vara Upprättande av individuell utvecklingsplan (IUP) Upprättande av betyg Registrering av frånvaro Registrering av personnummer För nödvändig behandling enligt lag eller förordning erfordras inte samtycke. Dock förutsätts att åtkomsten till uppgifterna i lärplattformen är starkt begränsad. För andra personuppgifter än vad som är nödvändigt för verksamheten krävs att samtycke inhämtas. Finns samtycke till behandlingen? Ett samtycke till behandling förutsätter frivillighet. Den enskilde ska ha haft möjlighet att välja mellan att antingen godkänna eller inte godkänna en behandling av personuppgifter som rör henne eller honom. Samtycke ska lämnas av barnets vårdnadshavare, om det är frågan om ett yngre barn. För tonårselever bör såväl vårdnadshavare som elev lämna sitt samtycke och för de som fyllt 18 år, endast eleven. Även om samtycke lämnas bör alltid en bedömning göras av vilka konsekvenser det kan medföra för den enskilde om uppgifterna registreras. PuL och allmän offentlig handling En allmän handling är en handling som förvaras hos eller är tillgänglig hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten. En allmän handling är offentlig om den inte innehåller sekretesskyddade uppgifter. En allmän och offentlig handling ska lämnas ut på begäran. En bedömning ska alltid göras innan en allmän offentlig handling lämnas ut. En handling som är allmän och offentlig får inte per automatik göras tillgänglig i lärplattformen eller på andra webbsidor enligt PuL. En ofta förekommen missuppfattning är att allmänna offentliga handlingar får publiceras på olika webbsidor utan vidare med stöd av offentlighetsprincipen, vilket inte är fallet. Ett konkret exempel på uppgifter som är allmänna och offentliga är personnummer och betyg. Trots det får varken personnummer eller betyg göras tillgängliga utan bedömning.

4 (8) PuL och lärplattformen I lärplattformen registreras uppgifter som är att betrakta som allmän och offentlig handling och som ska kunna lämnas ut på begäran av enskild. Sekretesskyddade uppgifter ska inte registreras i lärplattformen. I lärplattformen finns möjlighet till automatiserad behandling av personuppgifter via en mängd verktyg och funktioner. Nedan följer en bedömning av några funktionsområden med avseende på PuL. Individuell utvecklingsplan (IUP) Skolorna har en lagstadgad skyldighet att upprätta individuella utvecklingsplaner, vilket rättfärdigar en behandling av personuppgifter utan medgivande. En IUP ska inte innehålla uppgifter av integritetskänslig karaktär. En IUP betraktas som allmän offentlig handling och kan därför komma att lämnas ut på begäran. Det innebär att en elev som byter skola kan få sin IUP utlämnad till den nya skolan utan att vårdnadshavaren ger sitt medgivande. För att kunna upprätta en IUP krävs en systematisk individuell dokumentation över elevers lärande som Portfolios, loggböcker och lärarnas egna anteckningar samt elevers självvärderingar. De regler som gäller för journaler i tryckfrihetsförordningen (TF) är särskilt intressanta inom skolverksamheten. En journal definieras av en handling i vilken det görs återkommande anteckningar eller noteringar som förs fortlöpande. En anteckning i en journal är allmän handling så snart den införts. Som exempel på journaler i skolan kan nämnas elevloggböcker, utvecklingsdiagram och andra sammanställningar som lärare för löpande om elevernas studieresultat eller beteende och mognad [SOU 2003:103]. En journal kan endast upprättas av myndigheten, det vill säga av skolpersonalen. Elevers eget material Pärmar, mappar, portfolio eller liknande som eleverna själva använder för att spara eget material i, är inte journaler. Skiftligt material som skapats, fyllts i eller på annat sätt framställts av elever kan inte betraktas som upprättat av en myndighet, det vill säga skolan. Däremot förvarar ofta skolor skriftligt material som har upprättats av eleverna inom ramen för skolarbetet. Exempel på sådant skriftligt material kan vara svar på ämnesprov, uppsatser och redovisningar av projektarbeten. Efter att materialet färdigställts av eleven kan det lämnas till läraren för någon form av bedömning. Läraren använder sedan materialet, eller det bedömda resultatet, som underlag för till exempel utvecklingssamtal eller betygsättning. Ofta återlämnas materialet till

5 (8) eleverna efter det att en bedömning av resultatet har gjorts, men under den tid det är i lärarens vård eller har tagits om hand av någon annan personal på skolan måste materialet anses förvarat av skolan i den mening som avses i 2 kap. 3 TF och är då att betrakta som allmän handling (inkommen till myndigheten). Principen används även för elektroniskt material. Om ett material ska anses som inlämnat till skolan och därmed vara allmän handling ska lärare eller annan skolpersonal ha teknisk tillgång till materialet. I Norrtälje kommuns lärplattform har lärare tillgång till sådant material som eleverna lagrar i rum och inlämningsmappar, både gemensamma och personliga. Material som eleven lagrar i Mitt arkiv kan inte nås av personalen och är inte att betrakta som allmän handling. Åtgärdsprogram Skolorna är skyldiga att vid behov upprätta åtgärdsprogram, vilket förutsätter behandling av personuppgifter. I Norrtälje kommun registreras inte åtgärdsprogram i lärplattformen. Frånvaro Skolorna har skyldighet att bevaka elevers frånvaro samt informera vårdnadshavare om att frånvaro förekommer. Frånvaro kan därför registreras utan medgivande. Dock får man bara behandla personuppgifter som är adekvata och relevanta i förhållande till ändamålen med behandlingen [PuL 9 ]. En adekvat och relevant uppgift vid frånvaroregistrering är enligt datainspektionens bedömning uppgift om frånvaron är godkänd av vårdnadshavare eller lärare, eller om frånvaron är giltig av annat skäl. Uppgift om skälen till giltig frånvaro, såsom sjukdom, besök hos skolhälsovården eller kurator kan i sig vara integritetskänsliga, även i förhållande till elevens vårdnadshavare. Följande typer av frånvaro kan därför registreras i lärplattformen:(för gymnasiet gäller detta från hösten 2010) (F) Frånvaro = ogiltig frånvaro tills den är anmäld (A) Anmäld frånvaro = giltig frånvaro (S) Sen ankomst: frånvaro som anser del av lektion, anges i minuter (M) Saknar material (V) Annan verksamhet till exempel studiebesök (L) Beviljad ledighet, frånvaro som i förväg beviljats av rektor eller nämnd Personnummer Personnummer förekommer endast i lärplattformen för att korrekt kunna säkerställa en unik identitet. Personnumret är enbart tillgängligt för administratörer i systemet.

6 (8) Rumshantering Ett centralt begrepp i lärplattformen är Virtuella rum. Ett rum utgör en samarbetsyta för en bestämd grupp deltagare. Rummets design, det vill säga vilka verktyg som ska vara tillgängliga i rummet, bestäms av rumsägaren. Det finns en mängd verktyg att välja mellan, bland några kan nämnas arkivmappar för att organisera filer, diskussionsforum, chatt, nyhetspublicering och rumskalender. Verktyget Deltagare avgör om rummets deltagare kan se varandra eller ej. Om det via rummets namn går att dra slutsatser om rummets deltagare som kan vara av känslig karaktär krävs medgivande för att använda deltagarverktyget. Ett exempel på ett rum av sådan karaktär är ett rum för ett hemspråk. När skolorna använder sig av de virtuella rummen är det viktigt att se till att personuppgifter endast i undantagsfall behandlas där. Samtycke ska inhämtas om det inte är uppenbart, att det är fråga om harmlösa uppgifter. Rumsägaren är skyldig att övervaka att rummets funktionalitet inte missbrukas. Rumsägaren ansvarar också för att han eller hon inte heller själv behandlar personuppgifter som kan komma att betraktas som kränkande. Det gäller bland annat vid publicering av elevarbeten, som i vissa fall kan innehålla uppgifter om familjeförhållanden samt bilder. Publicering av elevarbeten och bilder förutsätter därför samtycke. Begränsad åtkomst till uppgifter i lärplattformen Åtkomst till personuppgifter i lärplattformen är starkt begränsad. Endast personal som har direkt behov av elevernas personuppgifter i sitt arbete har tillgång till dem. Vårdnadshavare får endast tillgång till information som rör deras egna barn. För vårdnadshavare krävs e-legitimation vid inloggning. Varje skola ansvarar för att åtkomsten till dokumentation och filer begränsas så att endast de som har ett verksamhetsrelaterat behov av åtkomst får tillgång till desamma.

7 (8) Sammanfattning Barn- och utbildningsförvaltningen bedömer att Norrtäljes lärplattform Fronter inte behöver inhämta vårdnadshavarens godkännande för den behandling av personuppgifter som sker inom ramen för verksamhetens behov. Lärplattformar är dock en relativt ny företeelse och det kan finnas situationer där behandlingen av personuppgifter kan ifrågasättas samt även vara juridiskt oprövade. Det finns därför anledning att vara aktsam vid behandling av personuppgifter och man bör utgå från att en behandling är förbjuden snarare än tillåten när osäkerhet råder. Inom förvaltning och kommunen finns personuppgiftsombud som kan kontaktas vid osäkerhet. Ansvar Norrtäljes barn- och skolnämnd samt utbildningsnämnden är personuppgiftsansvarig för Norrtäljes barn- och utbildningsförvaltning. Nämnderna är således ytterst ansvarig för vilka personuppgifter som behandlas i lärplattformen och till vad uppgifterna ska användas. Trots detta ligger ansvaret på varje enskild individ som gör behandlingar av personuppgifter i till exempel lärplattformen. Eventuellt rättsliga påföljder kan således drabba den som faktiskt registrerat uppgifterna. Informationsplikt Innan skolan påbörjar ett fullskaligt utnyttjande av lärplattformen ska vårdnadshavarna informeras om att denna behandling av personuppgifter kommer att ske. Informationen ska innehålla vilka personuppgifter som samlas in och vad uppgifterna ska användas till samt att Norrtälje kommuns Barn- och skolnämnd samt Utbildningsnämnd är personuppgiftsansvarig. Den registrerade ska också upplysas om att han/hon har rätt att ansöka om information och kan begära rättelse av felaktiga uppgifter. (Det vill säga denna handling.) Den personuppgiftsansvarige, det vill säga Barn- och skolnämnden samt Utbildningsnämnden är skyldig att till var och en som ansöker om det, en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Alla registrerade som förstår vad åtgärden innebär bör kunna ansöka om information, även om de är minderåriga (under 18 år). Informationen som lämnas ska bland annat innehålla vilka uppgifter om den sökande som behandlas varifrån dessa uppgifter hämtats syftet med behandlingen till vilka mottagare uppgifterna lämnats ut

8 (8) Ansökan ska göras skriftligen hos Barn- och skolnämnden respektive Utbildningsnämnden och vara undertecknad av den sökande själv. Informationen som lämnas ut ska ske skriftligen inom en månad efter det att ansökan gjordes. Reglerna om sekretess och tystnadsplikt för myndigheter går före reglerna om skyldigheten att lämna ut information. Det innebär att bestämmelserna om informationsskyldighet i PuL inte gäller om det är särskilt föreskrivet i en lag eller någon författning eller i ett beslut som har meddelats med stöd av en författning att uppgifterna inte får lämnas ut till den registrerade. Bevarande av uppgifter Enligt PuL ska personuppgifter inte bevaras längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. För vissa uppgifter inom Norrtäljes kommunala skolor gäller arkivlagen. Bevarande av uppgifter samt gallring av uppgifter finns beskrivet i enheternas Diarieoch dossiéplan Ulf Gustavsson Förvaltningschef Barn- och utbildningskontoret Norrtälje kommun // Materialet framtaget och bearbetat av Marianne Bjarneskans IT-pedagog Barn- och utbildningskontoret Norrtälje kommun

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss