GDPR och personuppgifter

Den 25 maj 2018 blir dataskyddsförordningen GDPR svensk lag.

Personuppgifter

När du skickar e-post, ansöker om förskoleplats eller bygglov med hjälp av en e-tjänst, beställer informationsmaterial, lämnar en synpunkt eller en fråga via ett e-postformulär lagras dina personuppgifter hos oss. Personuppgifterna behövs för att våra tjänster ska fungera.Hur behandlar vi dina personuppgifter?

Personuppgiftslagen (PuL) är till för att förhindra att din personliga integritet kränks genom behandling av personuppgifter. Dina personuppgifter får bara behandlas om du har godkänt det eller om det finns stöd i PuL eller annan lag. Det är den nämnd som handlägger ditt ärende som har ansvar för att dina personuppgifter behandlas korrekt.

GDPR - dina rättigheter stärks

Den 25 maj 2018 införs den nya europeiska dataskyddsförordningen, GDPR,  som lag i Sverige. GDPR ersätter nuvarande personuppgiftslagen, PUL. Den nya dataskyddsförordningen ger dig ökad kontroll över dina personuppgifter och stärker den enskildes integritet.

Sveriges Kommuner och Landsting, SKL: 10 prioriterade informationsinsatser

SKL verkar för att kommuner, landsting och regioner förbereder sig inför att den nya lagen ska träda i kraft. För att stödja och hjälpa sina medlemmar har SKL valt ut tio prioriterade områden. Under dessa områden kommer det löpande att läggas ut information, vägledning och stöd.

Länk till www.skl.se: Se webbsändningar, få checklistor och stöd kring nya dataskyddsförordningen under de 10 informationsinsatserna

 

Frågor och svar om GDPR


Är all behandling av personuppgifter olaglig efter den 25 maj?

Ja, om man inte i förväg vidtagit rätt åtgärder och följer dataskyddsförordningens grundläggande principer.

För att behandling ska vara laglig måste det både finnas ett berättigat ändamål och en laglig grund. Dessutom får man inte behandla mer personuppgifter än vad som krävs för ändamålet.

Exempelvis: Om det inte är absolut nödvändigt att behandla ett personnummer, så ska man heller inte göra det.

Vi måste kunna visa att våra behandlingar följer de nya bestämmelserna. Därför måste all behandling av personuppgifter i förväg finnas angivna i en registerförteckning, där ändamål och laglig grund framgår.

 

Vad är en personuppgift?

Tumregel: all sorts information som går att knyta till en levande person är en personuppgift.

All slags information som direkt eller indirekt kan knytas till en (fysisk) person som är i livet är en personuppgift. Uppgiften kan enskilt eller i kombination med andra upplysningar knytas till en levande person om man av den registrerade uppgiften kan förstå vem det handlar om.

Exempel på direkta personuppgifter är namn, personnummer, födelsedatum och ansiktsbilder, medan IP-adress, fastighetsbeteckning, kontonummer och användar-ID är exempel på indirekta personuppgifter. Tänk på att även initialer och annan typ av krypterad eller kodad information kan vara en personuppgift om man med hjälp av anslutande uppgifter kan förstå vem det rör sig om.

 

Vad innebär behandling av en personuppgift?

Tumregel: allt man gör med en personuppgift innebär en behandling.

Med behandling menas allt som görs med personuppgifterna. Det kan exempelvis röra sig om insamling av personuppgifter, likaså registrering, lagring och spridning.

En behandling av personuppgifter kan ske digitalt på dator och i verksamhetssystem men också manuellt, exempelvis i kartotek eller pärmregister. Här följer en del exempel på vanliga behandlingar av personuppgifter:

- Filmning, fotografering och lagring av foton på personal och elever
- Dokumentation i Unikum, Vklass och Dexter
- Dokumentation av utvecklingssamtal, medarbetarsamtal, lönesamtal, etc
- Anteckningar i olika elevlistor
- Kameraövervakning
- Skicka och ta emot interna och externa mejl
- Sparade elevarbeten
- Blanketter som fylls i, samlas in eller lagras

Vad är känsliga personuppgifter och vad gäller för dessa?

Huvudregeln är att det är förbjudet att behandla uppgifter som avslöjar:

- Ras eller etnicitet
- Politiska åsikter
- Religiös övertygelse
- Facktillhörighet
- Personuppgifter om hälsa
- Sexuell läggning
- Genetiska och biometriska personuppgifter

Inom skolan kan vi behöva att behandla vissa känsliga uppgifter. Exempelvis inom modersmålsundervisningen, där etnicitet kan utläsas eller när vi diskuterar kring elever som har blivit diagnosticerade eller har allergier.

I nuläget vet vi inte vad som kommer att gälla inom skolväsendet för hantering av känsliga personuppgifter, men det finns dock en rad undantag som möjliggör behandling i vissa fall. Till exempel om det finns ett uttryckligt samtycke. Vissa av undantagen innehåller hänvisningar till nationell rätt som kan innebära att lagstiftningsåtgärder måste vidtas på varje medlemsstats nivå för att undantagen ska vara tillämpliga. I Sverige arbetar för närvarande ett antal utredningar med att se över och ta fram kompletterande svensk lagstiftning.

Vilka är dataskyddsförordningens grundläggande principer?

Vid behandling av personuppgifter finns det enligt dataskyddsförordningen sju grundläggande principer som måste uppfyllas. Det är den personuppgiftsansvarige, alltså organisationen, myndigheten eller verksamheten som ska se till att dessa grundprinciper uppfylls och efterlevs av alla anställda:

- Laglighet, korrekthet och öppenhet
- Ändamålsbegränsning
- Uppgiftsminimering
- Korrekthet
- Lagringsminimering
- Integritet och konfidentialitet
- Ansvarsskyldighet

Vad innebär det att det måste finnas en laglig grund för behandlingen?

Varje behandling av personuppgifter måste vila på en rättslig grund. De rättsliga grunder som idag anges i PuL återfinns även i dataskyddsförordningen. Den stora skillnaden är att dataskyddsförordningen har tagit bort möjligheten för myndigheter att använda intresseavvägning som en rättslig grund. Detta innebär att myndigheter inte längre kan göra en avvägning mellan den ansvariges berättigade intressen och den registrerades rättigheter och intressen vid behandlingen av personuppgifter. För att en behandling av personuppgifter ska vara laglig krävs att något av följande villkor är uppfyllda:

- Den registrerade har lämnat sitt samtycke
- Behandlingen är nödvändig för att fullgöra ett avtal med den registrerade
- Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse
- Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person
- Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller myndighetsutövning
- Intresseavvägning

Observera att myndigheter som skolan inte längre har möjlighet att använda sig av denna lagliga grund för fullgörandet av våra uppgifter! Utöver detta måste också behandlingen ha ett tydligt syfte och vara nödvändig för skolans verksamhet.


Vad gäller för olika appar och program i undervisning?

Många lärare använder sig av digitala tjänster som exempelvis appar och tillägg i Chrome, digitala läromedel eller andra verktyg som kräver eller samlar in personuppgifter i form av e-postadresser eller användarnamn.

Kommer lärarna att kunna använda dessa digitala tjänster i enlighet med dataskyddsförordningen?

Det enkla svaret är ja, men... Företaget eller personerna bakom den digitala tjänsten räknas som ett personuppgiftsbiträde, eftersom de biträder oss i behandlingen av personuppgifter. Då måste det finnas ett avtal mellan oss och biträdet. Ett sådant avtal kallas för ett personuppgiftsbiträdesavtal, PUB.

Du kan läsa mer om vad ett PUB innebär nedan.


Vad är ett personuppgiftsbiträdesavtal?

Ett företag som behandlar personuppgifter för någon annans räkning är att anse som ett personuppgiftsbiträde. Om vi som skola vill anlita ett sådant biträde måste vi teckna ett skriftligt avtal med biträdet, exempelvis vid användning av molntjänster eller digitala lärresurser. Dataskyddsförordningen innehåller detaljerade bestämmelser om vad ett sådant avtal ska innehålla och det är endast den personuppgiftsansvarige som kan underteckna ett sådant avtal.

I Ystads kommun är det respektive nämnd som är personuppgiftsansvarig. Man kan alltså inte som tjänsteman själv teckna ett personuppgiftsbiträdesavtal utan delegation från nämnden.


Vad innebär det att personuppgifter endast får behandlas för berättigade ändamål?

Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

Det betyder således att uppgifter som samlas in för ett visst syfte, får inte användas i ett senare skede för andra syften. För exempelvis skolan innebär det att personuppgifter endast får behandlas för sådana ändamål som krävs enligt våra styrdokument. Inga "bra-att-ha-uppgifter" får behandlas eller lagras. Det måste finnas ett tydligt och kommunicerat syfte med behandlingen.

Exempel: Har man på en skola sparat foton på eller elevuppgifter från tidigare elever, så ska dessa avidentifieras eller raderas omgående.