Utgångspunkten är att personuppgifterna ska tas bort när de inte längre behövs för det ändamål som de samlades in för och principen om uppgiftsminimering innebär att det inte är tillåtet att samla in personuppgifter för obestämda framtida behov.
Det är därför viktigt att gallra vad som skapats av anställda eller lämnats in till personal av barn och elever enligt dokumenthanteringsplanen. Om personuppgifter behövs, är det viktigt att uppgifts minimera.
Tänk på att vi får bara lagra/låna personuppgifter så länge som de behövs för att uppfylla ändamålet och den lagliga grunden. Det innebär att våra system behöver gallras enligt vissa tidsintervaller. Ibland har vi inbyggda gallringsfunktioner som när en elev slutar grundskolan, så plockas eleven ut ur Vklass eftersom vi inte längre har laglig grund att spara elevens uppgifter. Vissa uppgifter måste sparas enligt andra lagar som exempelvis betyg som ska sparas enligt arkivlagen.
Här finns tips och råd för hur jag som anställd ska tänka kring lagringsplatser och hur jag ska hantera olika typer av personuppgifter och sekretesshandlingar
Det arbetsmaterial som du har till grund för myndighetsutövningen ska inte lagras enligt arkivlagen. Arbetsmaterialet ska rensas eller avidentifieras när det inte längre behövs.
Personuppgifter får inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. När ändamålen med en viss behandling är uppfyllda är huvudregeln att uppgifterna i fråga ska avidentifieras eller utplånas.
Känsliga uppgifter får inte kommuniceras eller lagras i Googles tjänster. Enligt dataskyddsförordningen är känsliga personuppgifter information om hälsa, sexualliv, ras eller etniskt ursprung, religiös eller filosofisk övertygelse, politiska åsikter, genetiska uppgifter, medlemskap i fackförening och biometriska uppgifter som kan bidra till att identifiera en person.
Verktyg för dokumentation eller överföring av integritetskänsliga personuppgifter får inte användas i Google-miljön. Det är alltså inte en lagringsyta för exempelvis uppgifter om sociala förhållanden, information som rör någons privata sfär, beskrivningar av relationer mellan elever eller betyg .
Om du använder en digital tjänst som inte automatiskt synkroniserar med vårt källsystem Teito så måste elevernas uppgifter rensas ut med jämna mellanrum.
Varje gång vi upprättar ett nytt avtal med en leverantör tar vi också fram en gallringsrutin som skolan behöver implementera. Det kan vara att du vid terminens slut tar bort alla elevuppgifter i systemet eller efter ett annat tidsintervall. Det kan också innebära att nya elever läggs upp i systemet när de börjar mitt i terminen. På skolan kan ansvarig för detta vara en administratör eller en lärare. I stora system finns gallringsansvariga oftast centralt på förvaltningen.
Det finns två olika sätt att ta bort personuppgifter, antingen avidentifiera eller gallra dem:
Avidentifiera (anonymisera)
Att avidentifiera personuppgifterna innebär att avlägsna alla identifieringsmöjligheter så att de uppgifter som fortsättningsvis behandlas inte längre går att koppla samman med en fysisk person (inte heller med annan kompletterande information). Krypterade personuppgifter är inte avidentifierade så länge någon kan göra uppgifterna läsbara och därmed identifiera personen.
Gallra (förstöra)
Att förstöra personuppgifterna innebär att se till att de inte går att återskapa. Det är viktigt att känna till vad som krävs rent tekniskt för att uppgifterna verkligen ska förstöras. Det är till exempel inte tillräckligt att radera den fil som innehåller personuppgifterna. Det är nämligen inte säkert att ett sådant kommando verkligen raderar all information, filen kan exempelvis ligga kvar i datorns "papperskorg". I stället krävs säker omformatering av lagringsmediet eller total överskrivning så att personuppgifterna inte kan tolkas i efterhand. Det är däremot inte heller säkert att vanlig formatering raderar alla uppgifter utan det kan krävas särskild utrustning eller specialprogramvaror. Hur långtgående tekniska åtgärder som bör vidtas är bland annat beroende av informationens känslighet.
Pseudonymiserade personuppgifter är uppgifter som inte kan kopplas till en enskild individ utan kompletterande uppgifter. Exempelvis: kodning av uppgifter på olika sätt. Pseudonymiserade uppgifter räknas fortfarande som personuppgifter och ska följa dataskyddslagstiftningen.
Avidentifierade (anonymiserade) uppgifter är uppgifter som behandlas på ett sätt så att det inte går att identifiera enskilda (även om annan information tillförs), exempelvis statistik på aggregerad nivå. För att uppgifter verkligen ska räknas som avidentifierade ska det inte gå att ändra tillbaka uppgifterna så att enskilda på nytt kan identifieras. Även viktigt att komma ihåg att det inte räcker med att ta bort namn, personnummer eller annan direkt utpekande information för att avidentifiera personuppgifter. Beroende på vilka andra uppgifter som behandlas kan enskilda ändå identifieras. Uppgifter som är avidentifierade räknas inte som personuppgifter och då gäller inte dataskyddslagstiftning.
Krypteringen är en teknisk säkerhetsåtgärd men innebär inte att informationen är avidentifierad, reglerna för hur personuppgifter får hanteras gäller alltså för krypterade uppgifter. I Datainspektionens vägledning kring informationssäkerhet fastställs att känsliga personuppgifter ska vara krypterade vid överföring, exempelvis i mejlkommunikation.