GDPR ersätter Personuppgiftslagen

  •  

Dataskyddsförordningen, eller GDPR som den också kallas, innehåller regler om hur man får behandla personuppgifter och ersätter Personuppgiftslagen, PuL. Dataskyddsförordningen gäller som lag i Sverige vilket innebär att den är överordnad skollagen i de delar som gäller just persondataskydd.

Vad är nytt med GDPR?

Mycket i dataskyddsförordningen liknar de regler som fanns i personuppgiftslagen. Det som är nytt med dataskyddsförordningen är att den enskilde individens integritet vid databehandling stärks. Principen är att individen själv äger de egna personuppgifterna. Med detta kommer rättigheter som att bland annat kunna bli borttagen ur databehandlingssystem och att få ut utdrag av sina egna personuppgifter.

Rättigheterna är dock relaterade till syftet med varför personuppgifterna behandlas. Om uppgifterna krävs för att det ska vara möjligt att fullgöra en tjänst gentemot den registrerade är det naturligtvis inte möjligt att bli borttagen.

Vad är en personuppgift?

En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Även krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer.

Det behöver inte röra sig om person- eller födelsenummer utan kan räcka med namn, skola, adress och andra till synes harmlösa uppgifter.

Hur ska personuppgifter hanteras?

Uppgifterna som ska användas måste vara relevanta och adekvata, man får inte samla in "bra-att-ha"-uppgifter.

När det gäller personuppgifter måste man fundera över vilka som ska ha tillgång till uppgifterna genom behörighetstilldelning.

Den som hanterar personuppgifter ska se till att behandlingen sker i enlighet med personuppgiftslagen. Det innebär bland annat att informera de registrerade om behandlingen och att när så krävs begära samtycke innan registrering sker. Innan en behandling påbörjas måste den som är ansvarig för behandlingen anmäla den till registerförteckningen (Draftit).

Du som arbetar på skola kan du få mer detaljer på stadens om hur detta påverkar skolan, på Stockholms stads intranäts sida GDPR för skolor - att tänka på. (länk till intranätet)

Vad kan hända om man inte följer personuppgiftslagen?

Datainspektionen kan besluta om varningar, reprimander, införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot behandling, återkalla en certifiering, förelägga om att flödet av uppgifter till en mottagare i tredje land eller en internationell organisation ska avbrytas samt administrativa sanktionsavgifter.

Det som är viktigt för en skola att veta är att det är utbildningsnämnden som är ansvarig, även om det är skolan som har brutit mot lagen. Nämnden har en skyldighet att informera skolorna om vilka regler som gäller. En rektor kan aldrig bli ansvarig.

It, personuppgifter och upphandling

Där skolorna själva upphandlar egna IT-lösningar där personuppgifter ingår måste ett personuppgiftsbiträdesavtal tecknas med leverantör. Innan avtal ingås måste också dessa informationssäkerhetsklassas. Kontakta IKT-enheten för att få hjälp med detta.

Senast uppdaterad 6 juli 2018