Personuppgiftslagen förkortas ofta PuL. Personuppgiftslagen kompletteras med personuppgiftsförordningen som är föreskrifter från regeringen. Dessutom utarbetar Datainspektionen egna författningar med generella föreskrifter (DIFS) på området.
Personuppgiftslagen (PuL) trädde i kraft 1998 och har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Begreppet "behandlas" är brett, det omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera. Personuppgiftslagen bygger på gemensamma regler som har beslutats inom EU, det så kallade dataskyddsdirektivet. Övriga EU-länder har alltså liknande skyddslagar vilket underlättar flödet av information inom unionen.
I personuppgiftslagen finns regler för hur personuppgifter får behandlas. Lagen bygger i hög grad på samtycke och information till de registrerade. Det finns också regler om säkerhet och rättelse av felaktiga uppgifter. Företag, myndigheter, föreningar, och andra kan utse personuppgiftsombud som självständigt kontrollerar att personuppgifter behandlas korrekt inom verksamheten.
http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/
Skolor
När Datainspektionen under 2008 inspekterade ett antal skolor fann myndigheten att samtliga skolor på ett eller annat sätt bröt mot personuppgiftslagen när det gäller hur uppgifter om eleverna hanteras i skolans IT-system. Även kameraövervakning som sker dagtid inomhus på skolor strider i många fall mot reglerna i personuppgiftslagen.
På dessa sidor finns värdefull information om hur skolor bör hantera personuppgifter och vilka bedömningar som ska göras hos skolor som överväger att införa kameraövervakning.
Hantering av personuppgifter i skolans IT-stöd
Datainspektionen har tagit fram en checklista som kort sammanfattar några av de viktigaste punkterna som skolor måste tänka på när de behandlar personuppgifter.
http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/skolor/
Checklista för skolor
Personuppgiftslagen (PuL) innehåller en rad bestämmelser som är viktiga att känna
till för skolor som använder sig av IT-stöd i elevadministrationen. Datainspektionen
har därför tagit fram denna checklista som kort sammanfattar några av de viktigaste
punkterna som skolor måste tänka på när de behandlar personuppgifter. För
enkelhetens skull talas här om ”skolan” – men vanligtvis är det skolans huvudman,
exempelvis en kommunal nämnd, ett bolag eller en förening, som har det yttersta
ansvaret enligt personuppgiftslagen för hur personuppgifterna behandlas.
-Fritextfält
Om ett IT-system som behandlar personuppgifter innehåller ett fritextfält måste det
finnas tydliga skriftliga instruktioner till användarna om vad som får skrivas i fritextfältet.
Detta gäller oavsett om elever och vårdnadshavare eller bara lärare kan skriva
i fritextfältet. Instruktionerna bör exempelvis ange hur värderande omdömen om
eleven ska formuleras och att kränkande uttalanden inte är tillåtna.
-”Sjuk” som frånvaroorsak
Om det i samband med närvarorapportering registreras att eleven är sjuk måste
vårdnadshavarens eller elevens samtycke till registreringen inhämtas. Detta gäller
även om inga symtom eller diagnoser registreras. Utan samtycke får skolan bara
registrera att eleven haft ogiltig frånvaro eller liknande. Det gäller dock inte för
journalföring inom skolhälsovården där hälsouppgifter får registreras utan samtycke.
-Inloggning via Internet
Om skolans IT-system är tillgängligt via Internet, och systemet innehåller integritetskänsliga
uppgifter, krävs det särskild god IT-säkerhet. Det innebär att skolan måste
försäkra sig om att det verkligen är rätt personer som får åtkomst till uppgifterna och
att överföringen sker på ett säkert sätt. Skolan måste använda sig av stark autentisering
(exempelvis engångslösenord eller e-legitimation) och uppgifterna måste förses med krypteringsskydd vid överföringen. Med integritetskänsliga uppgifter avses både känsliga uppgifter enligt 13 § personuppgiftslagen, men även uppgifter som omfattas av sekretess eller rör den enskildes personliga förhållanden.
-Avtal med dina systemleverantörer
Om en extern systemleverantör sköter driften och lagrar skolans personuppgifter
krävs det att man ingår ett avtal. Leverantören anses vara skolans personuppgiftsbiträde.
I avtalet ska det stå att leverantören får behandla personuppgifterna bara i
enlighet med instruktioner från skolan och att leverantören är skyldig att upprätthålla
god IT-säkerhet.
-Hur länge får uppgifterna sparas?
Det är viktigt att skolan bara sparar uppgifter som verkligen behövs för verksamheten
och man bör därför ta fram skriftliga riktlinjer och rutiner för bevarande och gallring.
Dessa bör även omfatta den behandling av personuppgifter som leverantörer
(personuppgiftsbiträden)
utför för skolans räkning. Det är skolans ansvar att se till att
leverantörerna gallrar uppgifterna i rätt tid.
-Information om vad skolan registrerar
Skolorna måste informera elever eller vårdnadshavare om hur deras personuppgifter
behandlas i IT-systemen. Skolan måste informera om vem som är ansvarig, vilka
personuppgifter som samlas in, vad uppgifterna ska användas till samt att den registrerade
har rätt att ansöka om information och begära rättelse av felaktiga uppgifter.
-Får alla lärare läsa om alla elever?
Bara den som behöver personuppgifterna i sitt arbete får ta del av dem. Det innebär
att skolan måste införa begränsningar i läs- och skrivmöjligheterna i sina IT-system.
Det är ofta lämpligt att både ha interna skriftliga regler i skolan för vilken anställd
som får läsa vad och att införa tekniska begränsningar av läs- och skrivmöjligheterna.
-Behörigheter inom skolhälsovården
Inom skolhälsovården gäller mycket stränga krav på att bara den som deltar i vården
av eleven eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och
sjukvården ska kunna ta del av uppgifter om en patient. Skolan har ansvaret för
att det inte finns möjlighet för obehöriga att ta del av uppgifter i skolhälsovårdens
elektroniska journalsystem. Exempelvis får det inte vara möjligt för en skolsköterska
att ta del av uppgifter om en elev vid en annan skola (som hör till samma huvudman), om sköterskan inte är inblandad i vården av eleven.
http://www.datainspektionen.se/Documents/faktablad-checklista-skolor.pdf
Angående kameraövervakning inomhus i skolor:
Det finns två lagar som reglerar användningen av kameraövervakning: lagen om allmän kameraövervakning och personuppgiftslagen. Enligt lagen om allmän kameraövervakning krävs det vanligtvis tillstånd från länsstyrelsen för att få sätta upp en kamera som registrerar en plats dit allmänheten har tillträde.
http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/skolor/kameraovervakning-inomhus-i-skolor/
Stora brister i hur skolor hanterar personuppgifter:
(9 september 2008)
Det finns stora brister i hur skolor hanterar personuppgifter om elever och föräldrar i sina IT-system. Det visar den omfattande kartläggning som Datainspektionen nu har slutfört. För att komma tillrätta med problemen har myndigheten tagit fram en checklista som riktas till skolor och som tar upp de vanligaste misstagen som begås.
http://www.datainspektionen.se/press/nyhetsarkiv/2008/stora-brister-i-hur-skolor-hanterar-personuppgifter/
Fortsatta brister i hur skolor hanterar personuppgifter:
(17 december 2009)
Skolorna fortsätter att brista i hur de hanterar personuppgifter om elever och föräldrar i sina IT-system. Det visar uppföljningen av den kartläggning som Datainspektionen utförde under förra året.
http://www.datainspektionen.se/press/nyhetsarkiv/2009/fortsatta-brister-i-hur-skolor-hanterar-personuppgifter/
Aktuella fall
Samrådsyttranden
Om du som är personuppgiftsombud är tveksam till hur PuL ska tolkas kan du skriva till Datainspektionen för att få råd. Detta kallas samråd. Svaret på din fråga kallas samrådsyttrande. Här har vi samlat ett antal frågor och yttranden som kan vara av allmänt intresse. Listan fylls på fortlöpande. Två förutsättningar gäller för alla samrådsyttranden:
• Yttrandet baseras på de uppgifter som ombudet lämnar. Det kan alltså finnas okända faktorer som - om de hade varit kända - hade lett till ett annat svar.
• Yttrandet är inte ett tillstånd från Datainspektionen. Det är alltid den personuppgiftsansvarige som självständigt och på eget ansvar ska se till att behandlingen av personuppgifter följer PuL.
http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/aktuella-fall/
Samtycke enligt personuppgiftslagen
På den här sidan får du veta mer om vad som menas med begreppet samtycke. I korthet är samtycke ett godkännande från den registrerade att någon behandlar personuppgifter om honom eller henne.
http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/samtycke/#2
Här finns svar från LAWLINE till föräldrar om privat fotografering på förskola:
http://lawline.se/answers/2634
Så här kan tex en förskola hantera PuL, genom att utforma ett dokument med förfrågan till föräldrar om deras tillåtelse att deras barn får delta i tex följande dokumentation:
http://www.ekero.se/upload/Stenhamra%20f%C3%B6rskola/blanketter/Personuppgifter%20PUL.pdf
Och här, lite mer om Personuppgiftslagen i skolan;
http://www.kungalv.se/Barn-och-utbildning/skolportalen/gemensam-information/om-skola/styrdokument/PUL-Personuppgiftslagen/pul_i_skolan/
