Embedded Files
Personuppgifter i Molntjänster
Personuppgifter i Molntjänster
När vi använder webbtjänster som hanterar personuppgifter behöver vi säkerställa att vi hanterar personuppgifterna i samspel med personuppgiftslagen. I detta har alla anställda som hanterar elevers personuppgifter ett ansvar. Från maj 2018 ersätts Personuppgiftslagen med Eu:s dataskyddsförordning (GDPR). Det innebär ytterligare skärpningar av lagen.
Som rektor/chef/anställd är det viktigt att man känner till vad som gäller när man hanterar elevers personuppgifter. Du bör veta vad som krävs för att hantera känsliga personuppgifter, integritetskänsliga elevuppgifter, samt vad som gäller för gallring av personuppgifter i de tjänster där du ansvarar för gallringen.
Vad är en personuppgift?
Vad är en personuppgift?
Så fort en uppgift, direkt eller indirekt kan leda fram till en individ. Det kan exempelvis vara
Namn
Adress
Personnummer
Ljudupptagning
IP-nummer
Porträtt
Skolans ansvar - anskaffning av molntjänster
Skolans ansvar - anskaffning av molntjänster
Många av våra större system har säkerhet inbyggd i sig men när det gäller mindre system som digitala läromedel eller digitala verktyg för feedback så kan det vara så att det är lärare eller rektor som ansvarar för hur elevernas personuppgifter hanteras i dessa system . Ytterst ansvarig är vår nämnd men varje länk i kedjan bär ett ansvar.
Innan skolan anskaffar en digital tjänst behöver man undersöka informationsbehandlingen i tjänsten och i vissa fall upprätta avtal med leverantören.
Använder man en tjänst i skolan som behandlar personuppgifter ska detta i de flesta fall anmälas och syftet med behandlingen tydliggöras. Man får sedan inte använda dessa personuppgifter i annat syfte än det som ursprungligen angetts utan att göra en ny anmälan. Man får heller inte samla in fler uppgifter än nödvändigt.
Läs vidare: Skolan och dataskyddsförordningen - SKL
Känsliga personuppgifter är sådana som avslöjar
Känsliga personuppgifter är sådana som avslöjar
ras eller etniskt ursprung,
politiska åsikter,
religiös eller filosofisk övertygelse,
medlemskap i fackförening,
hälsa eller sexualliv.
I grunden får känsliga personuppgifter inte behandlas. Det kan dock finnas särskilda skäl som t.ex uppgifter om hälsa i skolan. Dessa behandlas i särkilda system med särskilt hög säkerhet. På B&S får dessa uppgifter behandlas i PMO.
Känsliga personuppgifter får endast behandlas om det finns samtycke; om det är nödvändigt för fullgörande av vissa skyldigheter eller rättigheter inom arbetsrätten; om det är nödvändigt för att skydda den registrerades eller någon annans vitala intressen; om den registrerade inte kan lämna samtycke eller om det är nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk.
Integritetskänsliga elevuppgifter
Integritetskänsliga elevuppgifter
Utöver känsliga personuppgifter så finns det ytterligare en uppgiftstyp att förhålla sig till i skolan: Integritetskänsliga elevuppgifter. Detta beror på en dom i förvaltningsrätten där en skola hade summerande omdömen kring elever i en tjänst med låga säkerhetskrav på inloggning. Skolan fick påsyn av dataskyddsinspektionen vilket senare ledde till en vägledande dom i förvaltningsrätten. Konsekvensen av denna dom blev att när en skola hanterar integritetskänsliga elevuppgifter så ska dessa ha en säkerhetsnivå som motsvarar tvåstegsinloggning. Det är därför vissa tjänster i Hjärntorget kräver dubbel inloggning. Det är också därför som det ibland finns särskilda förhållningsregler på digitala läromedel som måste kommuniceras till de som använder dem.
SKL:s vägledning och information kring integritetskänsliga elevuppgifter
Datainspektionens text om domen mot Futuraskolan
Grundläggande krav vid personuppgiftsbehandling
Grundläggande krav vid personuppgiftsbehandling
Den personuppgiftsansvarige ska se till att
personuppgifter behandlas bara om det är lagligt, korrekt och i enlighet med god sed
personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål
personuppgifter inte behandlas för något ändamål som är oförenligt med det ändamål för vilket personuppgifterna samlades in
personuppgifterna är adekvata och relevanta i förhållande till ändamålen samt att uppgifterna är riktiga och om nödvändigt aktuella
inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen
åtgärder vidtas för att rätta, blockera eller utplåna personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, samt att
personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Gallring av personuppgifter
Gallring av personuppgifter
åtgärder vidtas för att rätta, blockera eller utplåna personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, samt att
personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Vad innebär detta för mig som chef/rektor
Om vi använder en digital tjänst som inte automatiskt synkroniserar med vårt källsystem Procapita så måste elevernas uppgifter rensas ut med jämna mellanrum. Varje gång vi upprättar ett nytt avtal med en leverantör tar vi också fram en gallringsrutin som skolan behöver implementera. Det kan vara att du vid terminens slut tar bort alla elevuppgifter i systemet eller efter ett annat tidsintervall. Det kan också innebära att nya elever läggs upp i systemet när de börjar mitt i terminen. På skolan kan ansvarig för detta vara en administratör eller en lärare. I stora system finns gallringsansvariga oftast centralt på förvaltningen.
EUs dataskyddsförordning
EUs dataskyddsförordning
träder i kraft 25 maj 2018 och innebär bl.a.
strängare krav på information om hur registrerades personuppgifter hanteras
mer utförliga regler för när registrerad har rätt att få uppgifter raderade
rätt för registrerade att flytta med sina uppgifter
större krav på ansvariga att informera om personuppgifter läckt ut (om allvarligt)
krav på noggrannare konsekvensanalyser när integritetskänsliga uppgifter behandlas
undantaget i PuL för ostrukturerad behandling avskaffas
Google Drive, Tango och OneDrive i Lidköping
Google Drive, Tango och OneDrive i Lidköping
I skolan behandlar vi personuppgifter dagligen för att uppfylla vårt myndighetsuppdrag. i system där vi har avtal med leverantörerna som reglerar rättigheter och skyldigheter och garanterar säker lagring och hantering. Det innebär dock inte att man får behandla alla personuppgifter i dessa system. En grundregel som kan vara bra att tillämpa vid all hantering av personuppgifter är: kan den jag skriver om skadas om denna information hamnar i orätta händer (information kan hamna i orätta händer genom t.ex. hackning eller genom att informationen delas till personer som inte har rätt att läsa den)? Är det så säkerställ att du skriver informationen i tjänst som är godkänd för den typen av information.
I Tango får summativa bedömningar kommuniceras och här finns också moduler utvecklingssamtal och bedömningsmatriser som hanterar integritetskänsliga personuppgifter och därmed har särskilt högt skydd (tvåstegsinloggning).
I avtalet med Google har Lidköpings kommun säkerställt att användarnas uppgifter och material inte får användas av någon annan - informationen får inte säljas vidare eller användas i Googles egen utveckling. Google är till för formativ bedömning. Summativa sammanställningar och betyg (om inte i enskilda moment) ska inte kommuniceras i Google, de räknas som integritetskänsliga elevuppgifter. (I vår Googlemiljö är inte tvåstegsinloggning påslaget).
I Onedrive får du inte förvara känsliga personuppgifter. Var mycket restriktiv om du delar även enklare personuppgifter med någon. Säkerställ att den du delar med har rätt att ta del av personuppgifterna.
Report abuse