(SUOMEKSI)

PERSONUPPGIFTSANSVARIGE

Med personuppgiftsansvarige avses den som samlar personuppgifterna.

DATASKYDDSOMBUD

Specialplanerare Juhani Kärki fungerar som dataskyddsombud inom utbildningstjänster (för- och grundskola och gymnasieutbildning). Ansvaret för lagligheten av behandling av personuppgifter är alltid personuppgiftsansvarige.

De viktigaste uppgifterna hos dataskyddsombud är att övervaka lagenligheten av att behandla personuppgifter och hjälpa regulatorn att följa lagstiftningen om skydd av personuppgifter. I praktiken bör dataskyddsombud samla information om att identifiera bearbetningsoperationer, analysera bearbetningsoperationer och kontrollera om de överensstämmer med kraven samt ge information, råd och rekommendationer till registraren. Dessutom fungerar dataskyddsombud som en gemensam person mellan handledaren och den registrerade i frågor som rör behandling av personuppgifter.

NÄR FÅR MAN SAMLA IN PERSONUPPGIFTER?

Enligt dataskyddsförordningen får personuppgifter behandlas enbart om och i den mån som det finns åtminstone ett särskilt, uttryckligt i lagen angivet ändamål för behandlingen. En av dataskyddsförordningens principer är principen av integritet och konfidentialitet, vilket förutsätter att personuppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna. För att säkerställa skyddet för och förhindra obehörig behandling av personuppgifterna ska den personuppgiftsansvarige evaluera behandlingen med hänsyn till de risker för datasekretess som behandlingen medför.

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER

Det är lagligt att behandla personuppgifter bara om behandlingen sker enligt alla de principer om behandling av personuppgifter som nämns i dataskyddsförordningen (laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering samt integritet och konfidentialitet). Den personuppgiftsansvarige ansvarar för att principerna följs och ska också kunna visa att de i facto efterlevs.

LAGLIGA GRUNDER FÖR BEHANDLING AV PERSONUPPGIFTER

I dataskyddsförordningen ges sex lagenliga grunder för behandling av personuppgifter. Enligt den får personuppgifter behandlas med den registrerades samtycke, för att fullgöra eller utarbeta ett avtal, för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, för att skydda intressen som är av grundläggande betydelse för en fysisk person, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning samt för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen.

BEHANDLING AV PERSONUPPGIFTER I EN LÄROANSTALT

En läroanstalt behandlar personuppgifter för att ordna undervisning eller utbildning. Dataskyddet påverkar tydligast läroanstaltens vardag i det att behandlingen av personuppgifter ska vara sakligt motiverad på grund av läroverkets verksamhet. Personuppgifter får inte behandlas i ett syfte som inte hör till en läroanstalts uppgifter. Därtill ska de personuppgifter som behandlas vara nödvändiga med tanke på syftet med behandlingen.

Personuppgifter får samlas och behandlas enbart om de förutsättningar som fastställs i dataskyddslagstiftningen uppfylls. Alla, även elever och studerande, har rätt till skydd av sina personuppgifter. Denna rätt till skydd av personuppgifter är dock inte en absolut rätt utan den ska från fall till fall granskas i förhållande till andra grundrättigheter och till riskerna.

Den personuppgiftsansvarige avgör själv vilken förutsättning för behandling av personuppgifter tillämpas i den egna verksamheten. Den förutsättning i dataskyddslagstiftningen som tillämpas ska identifieras och fastställas redan innan man börjar behandla personuppgifter.

PERSONUPPGIFTER SOM EN LÄROANSTALT BEHANDLAR

En viktig del av de uppgifter som behandlas i en läroanstalt är personuppgifter, för de kan förknippas med enskilda och identifierbara elever eller studerande. Personuppgifter är till exempel namn, personbeteckning och adress samt uppgifter om avlagda kurser, frånvaro och vitsord. Även uppgifter som uppstår när en individ arbetar i en elektronisk miljö kan vara personuppgifter. (Statistik och dylika sammanfattningar som gäller en hel grupp och i vilka uppgifterna inte kan avskiljas eller återställas till att avse en enskild person är inte personuppgifter.)

UPPGIFTSMINIMERING

Enligt dataskyddsförordningen avses det med uppgiftsminimering att personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Enligt dataskyddsförordningen kan personuppgifterna i princip avses behövliga enbart i det fall att det på ett annat sätt är omöjligt att uppnå ändamålet för behandlingen med skäliga ansträngningar. Om det eftersträvade ändamålet kan uppnås med en förminskad nivå av personuppgiftsbehandling eller helt utan den överskrids inte relevanskravet. Om personuppgifterna behandlas enbart för att göra det lättare att anordna undervisning eller utbildning är detta inte en skälig grund för att avvika från principen av uppgiftsminimering. Känsliga personuppgifter kräver en noggrannare behandling. Sekretessbelagda uppgifter är en klass för sig.

SKILLNADER TILL TIDIGARE BEHANDLING

Den behandling av personuppgifter som tidigare har förekommit i läroanstalterna och som har varit förknippad med ordnandet av undervisning har varit grundad på en saklig kontakt mellan elev eller studerande och läroanstalt. Läroanstalterna har enligt personuppgiftslagen haft rätt att behandla personuppgifter direkt på grund av den kontakt som funnits mellan läroanstalten och en elev eller studerande. I framtiden måste dock lagligheten av personuppgiftsbehandling i läroanstalterna kunna motiveras på ett annat sätt, för det ställs inga motsvarande krav på kontakt i dataskyddsförordningen.

MINIMERING AV RISKER

I dataskyddsförordningen anges en hel del åtgärder som den personuppgiftsansvarige kan genomföra och på så sätt minska riskerna. Dylika åtgärder är till exempel att man

• • pseudonymiserar och krypterar personuppgifterna,

  • garanterar en ständig konfidentialitet, helhet, användbarhet och feltolerans av hanteringssystem och -tjänster,

  • har förmågan att återställa tillgången till uppgifterna samt att man har tillgång till uppgifterna även om ett fysiskt eller tekniskt fel inträffar,

  • har ett förfarande för att testa, undersöka och utvärdera regelbundet effektiviteten av de tekniska och organisatoriska åtgärderna för att säkerställa säkerheten.

Med pseudonymiserade personuppgifter avses personuppgifter som kan kopplas till en viss fysisk person med hjälp av kompletterande uppgifter (så som studentnummer, alias, personbeteckning eller annan individuell beteckning).

Gemensamma användarnamn ska undvikas.

TRANSPARENS

Betydelsen av transparens och öppenhet i personuppgiftsbehandling betonas i dataskyddsförordningen. Det är således inte tillåtet att samla in eller utnyttja personuppgifter utan att man har informerat den registrerade i tillräckligt stor utsträckning om behandlingen om hans eller hennes personuppgifter. Det ska vara transparent för eleverna eller studeranden hur man samlar, använder och lagras deras personuppgifter. Därtill ska de informeras öppet om i vilken mån man behandlar eller har för avsikt att behandla personuppgifterna. Informationen ska vara lätt tillgänglig och den ska vid behov åskådliggöras enligt de behov respektive målgrupp har. När personuppgifter fås ska den registrerade informeras om minst de följande: den personuppgiftsansvariges namn och kontaktinformation, dataskyddsombudets kontaktinformation, syftet till vilket personuppgifter behandlas, rättslig grund för behandlingen samt de aktörer som tar emot personuppgifterna.

REGISTERBESKRIVNING

Enligt dataskyddsförordningen ska varje personuppgiftsansvarige och, i tillämpliga fall, dennes företrädare föra en beskrivning över behandling som utförts under dess ansvar. Att föra en beskrivning av behandlingen är en viktig del av ansvarsskyldigheten, för den personuppgiftsansvarige kan med sin dokumentation bevisa att behandlingen sker enligt de bestämmelser som nämns i dataskyddsförordningen.

En läroanstalt ska föra en beskrivning oberoende av om den agerar som den personuppgiftsansvarige själv eller om den endast är en företrädare för den personuppgiftsansvarige. Beskrivningen ska utan undantag innehålla följande uppgifter:

• • namn och kontaktinformation av den personuppgiftsansvarige och dess företrädare samt av respektive dataskyddsombudsmän,

  • syften i vilka behandlingen sker,

  • en beskrivning av hur de registrerade eller deras personuppgifter har kategoriserats i registret,

  • de grupper som personuppgifterna har utlämnas till eller ska utlämnas till

  • information om överföring av personuppgifterna till ett tredjeland eller till en internationell förening,

  • ifall möjligt, de planerade tidsfristerna för radering av respektive datagrupp,

  • enligt mån av möjlighet en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som har åtagits för att skydda behandlingen.

DEN REGISTRERADES RÄTTIGHETER

Varje personuppgiftsansvarig har enligt dataskyddsförordningen en direkt skyldighet att både underlätta utövandet av den registrerades rättigheter och inte vägra att tillmötesgå den registrerades begäran om att utöva sina rättigheter. I praktiken betyder detta att utövandet av sina rättigheter inte får vara för svårt eller komplicerat för den registrerade. Eleverna och studeranden ska informeras tydligt om de rättigheter de har gällande behandling av de personuppgifter som rör dem. De ska även få handledning i hur de kan utöva sina rättigheter. Ingen avgift får tas ut för att ta emot och tillmötesgå den registrerades begäran om att utöva sina rättigheter (om begäranden inte är ogrundade eller orimliga på grund av deras repetitiva art. I sådana fall får registerföraren ta ut en avgift. Då åligger den personuppgiftsansvarige att visa att begäran är ogrundad eller

orimlig.) Den registrerades rättigheter är inte beroende av den registrerades ålder utan hör både till vuxna och till barn.

Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits (t.ex. att uppgifterna som nämns i begäran rör en annan person).

PERSONUPPGIFTSINCIDENT

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Den personuppgiftsansvarige ska dokumentera samtliga personuppgiftsincidenter och deras konsekvenser samt vidtagna korrigerande åtgärder.

Dataskyddsförordningen medför en anmälningsskyldighet för samtliga personuppgiftsansvarige. Detta betyder att den personuppgiftsansvarige är, beroende om personuppgiftincidentens allvarlighet, skyldig att anmäla eventuella händelser antingen till den nationella tillsynsmyndigheten eller till både tillsynsmyndigheten och den registrerade.

FÖRVARING OCH RADERING AV UPPGIFTER

Den tid under vilken det är nödvändigt att lagra personuppgifterna beror i princip på användningsändamålet för personuppgifterna och när detta ändamål slutar att existera. När tidsfristen har löpt ut ska personuppgifterna raderas, om det inte finns ett annat motiverat skäl för att behålla uppgifterna. Identifierare i uppgifterna ska raderas oåterkalleligt, så att elever eller studerande inte ens själva kan identifiera sina egna uppgifter i materialet.

Om en elev eller studerande utövar sin rättighet att få sina personuppgifter raderade eller rättade eller begär att behandling av nämnda uppgifter ska begränsas, ska den personuppgiftsansvarige meddela om detta till alla de aktörer som behandlar personuppgifterna på den personuppgiftsansvariges vägnar och till vem uppgifterna i fråga har utlämnats. Därtill ska den personuppgiftsansvarige informera eleven eller studeranden om sådana mottagare, om han eller hon så begär.