Personuppgift

Integritetsskyddsmyndigheten Länk till annan webbplats, öppnas i nytt fönster. säger att personuppgifter avser varje upplysning från vilken man kan identifiera en fysisk person: Personnummer, namn, adress, bilder, video- och ljudupptagningar. Även elektroniska uppgifter som användarnamn och IP-nummer kan vara en personuppgift om informationen, enskilt eller i kombination med andra uppgifter, kan knytas till en fysisk person.

Exempel från skolan: För att kunna uppfylla skolans uppdrag:

Att främja lärande där individen stimuleras att inhämta och utveckla kunskaper och värden krävs olika typer av dokumentation som knyter verksamhetens olika aktiviteter till fysiska personer. Som samhällsinstitution är skolan därför bärare av många personuppgifter.

Personuppgiftsbehandling

Integritetsskyddsmyndigheten: Länk till annan webbplats, öppnas i nytt fönster. Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Exempel från skolan: En personuppgiftsbehandling kan till exempel vara klasslistor, elevlistor med specialkost, resultat och omdömen för prestationer inom utbildningen och förteckningar över anmälningar till tema- och friluftsdagar. Skolan som samhällsinstitution bär därför på många personuppgiftsbehandlingar.

Personuppgiftsbiträde och biträdesavtal

Integritetsskyddsmyndigheten: Länk till annan webbplats, öppnas i nytt fönster. Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ.

De biträden som den personuppgiftsansvarige anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas. Detta regleras genom ett biträdesavtal mellan de båda parterna.

Exempel från skolan: När delar av skolverksamheten digitaliseras ansluts både elever och pedagoger till olika digitala molntjänster, exempelvis Google. Google blir i detta exempel ett personuppgiftsbiträde eftersom företaget hanterar användaruppgifter och ett biträdesavtal reglerar vad Google får göra med denna information.

Personuppgiftsansvarig

Integritetsskyddsmyndigheten: Länk till annan webbplats, öppnas i nytt fönster. Personuppgiftsansvarig är normalt den juridiska person eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Det är alltså är inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig.

Exempel från skolan: Inom Falu kommun är det barn- och utbildningsnämnden som är personuppgiftsansvarig eftersom nämnden ansvarar för barnomsorgen och det offentliga skolväsendet i kommunen och därför också är ytterst ansvarig för hanteringen av personuppgifter.

Samtycke

Integritetsskyddsmyndigheten: Länk till annan webbplats, öppnas i nytt fönster. Personuppgifter får behandlas om man har ett samtycke från den som personuppgifterna avser. I dataskyddsförordningen ställs det särskilda krav på samtycket, bland annat att det ska vara frivilligt, att det ska lämnas genom ett uttalande eller en entydig bekräftande handling och att det ska ges efter att den registrerade har fått information om personuppgiftsbehandlingen. I vissa fall kan det vara lämpligt att överväga om någon annan rättslig grund är mer passande, till exempel ett avtal med den registrerade.

Exempel från skolan: Skolans uppgift att tillhandahålla, anordna, och bedriva utbildning är en uppgift av allmänt intresse eller som ett led i en myndighetsutövning och vanligen är det nödvändigt att behandla personuppgifter för att kunna följa skollagens bestämmelser. Därför är samtycke normalt inte nödvändig på denna nivå. Samtycke kan komma att bli aktuell när det gäller behandling av personuppgifter där syftet inte bedöms nödvändig för barnomsorgen eller utbildningen, exempelvis publiceringen av bilder i en skolkatalog.

Rättslig grund

Integritetsskyddsmyndigheten: Länk till annan webbplats, öppnas i nytt fönster. En av dataskyddsförordningens grundprinciper är att man ska ha rättslig grund för att kunna behandla personuppgifter. Utan en rättslig grund är personuppgiftsbehandlingen inte laglig. Det finns sex rättsliga grunder: samtycke, avtal, intresseavvägning, rättslig förpliktelse, myndighetsutövning och uppgift av allmänt intresse samt grundläggande intresse.

Exempel från skolan: Att tillhandahålla, anordna och bedriva skolverksamhet är en uppgift av allmänt intresse eftersom utbildning utgör en grundstomme i vårt samhälle. Som inrättning åberopar skolan därför den rättsliga grunden "allmänt intresse" när den samlar in och behandlar personuppgifter. Utan dessa uppgifter skulle skolverksamheten inte kunna upprätthållas. Vissa inslag, som upprättandet av åtgärdsprogram, är dessutom myndighetsutövande eftersom det är en uppgift som staten gett skolan i uppdrag.

Registerförteckning

Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att föra ett register eller en förteckning över behandlingar av personuppgifter. I detta register ska framgå hur behandlingar utförs och syftet med dem. Dessa register ska upprättas skriftligen, vara tillgängliga i elektronisk format och hållas uppdaterade. På begäran ska registret göras tillgängligt för Datainspektionen. Läs mer om registerförteckning på Integritetsskyddsmyndighetens webbplats. Länk till annan webbplats.

Gallring (Lagringsminimering)

Integritetsskyddsmyndigheten: Länk till annan webbplats, öppnas i nytt fönster. Personuppgifter får inte sparas, det vill säga. förvaras i en form som möjliggör identifiering av den registrerade, under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. När personuppgifterna inte längre behövs för de ändamålen ska de raderas eller avidentifieras. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den som behandlar personuppgifter införa tidsfrister och rutiner för radering eller avidentifiering.

Exempel från skolan: Barn- och utbildningsnämnden har antagit en dokumenthanteringsplan som i detalj beskriver livscykeln för olika handlingar; var de ska förvaras, huruvida handlingarna ska arkiveras och hur länge de ska bevaras. Ta del av dokumenthanteringsplanen här.