Dataskyddsförordn ing GDPR- ny lag som gäller Från 25 maj 2018 §
Gdpr och skolan skl Bra frågesida skl
Förordningen i korthet EU-förordning som gäller alla Europeiska företag, myndigheter, kommuner, organisationer etc. med samma principer som PuL men med skärpta krav och en del nyheter, är överordnad skollagen. Vissa möjligheter till avvikelser i nationell lag – kompletteringslag kommer i form av svensk dataskyddslag och ett betänkande SOU 2017:49 är på remiss för att komplettera skollagen med ett nytt kapitel. Den vars uppgifter vi behandlar ska veta om vad vi gör och varför, uppgifter om det ska finnas i en registerförteckning. Gäller alla– men undantag för behandling av privatpersoner av rent privat karaktär.
Syftet är att Stärka skyddet för fysiska personer vid behandling av personuppgifter. Särskild hänsyn tas till barn. Att uppgiftsminimera och ändamålsbegränsa, dvs inte ha fler uppgifter om en person än vad ändamålet kräver och att det är berättigat, samt att uppgifterna tas bort när behandlingen är klar.
Vad är en personuppgift? Personuppgift – varje uppgift varigenom en fysisk levande person direkt eller indirekt kan identifieras Detta är ex på personuppgifter marie.ahlander@tibro.se 83.248.106.125 (en IP- adress) En adressuppgift Skolsköterska på Smulebergsskolan Ett bilregistreringsnummer En bild
Känsliga personuppgifter Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Hälsa Biometriska och genetiska uppgifter Sexuell läggning/sexualliv Får endast behandlas enligt grunder som framgår av lagstiftningen (13-19 §§)
När är behandling tillåten? Nödvändigt för att ett avtal med den registrerade ska kunna fullgöras Nödvändigt för att fullgöra en rättslig skyldighet Myndighetsutövning En arbetsuppgift av allmänt intresse ska kunna utföras Samtycke Vissa regler ej möjliga att samtycka bort – t.ex. förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser (21 §). Viss begränsade undantag från denna regler, t.ex. forskning som godkänts. Kan ej heller samtycke bort rätt att få rättelse, rätt att få information, skyldighet att ha PuB-avtal etc. a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
När du ska starta en behandling tänk efter 4. Är allmänna principer tillgodosedda? För att en personuppgiftsbehandling ska få ske måste alla grundläggande principer vara uppfyllda. - Laglighet, korrekthet och öppenhet uppgifterna ska behandlas med stöd i lag, de ska vara korrekta och transparens ska föreligga. - Ändamålsbegränsning;. - Uppgiftsminimering; - Lagringsminimering; uppgifter får inte sparas längre tid än nödvändigt för ändamålen. - Integritet och konfidentialitet; krav på säkerhet, inbegripet skydd mot obehörig/otillåten behandling mot förlust. Tex genom skydd i tekniska system, verksamhetssystem eller behörigheter.
Det som krävs av mig är bla: Har koll på vilka personuppgiftsbehandlingar jag har, vilken typ av uppgifter och vem mer som har tillgång till dem ( gäller alla typer av register, både papper och i dator) Att jag har ett syfte till varför jag har uppgifterna och att det finns stöd i lagen. Att jag vet vad som är en personuppgift och vad som är en känslig personuppgift och hanterar säkerheten därefter. Att jag raderar uppgifterna när jag inte längre behöver dem. Att jag håller mig informerad om vad lagen innebär och att jag följer Tibros lokala riktlinjer och rutiner. .
Grundläggande principer Inte samla in mer personuppgifter än vad som krävs, relevant ändamål, behandlas sedan korrekt och lagligt Inte använda till annat än ursprungliga syftet Inte ha kvar längre än vad som krävs – gallra! Uppgifterna ska vara korrekta – annars raderas Krav på lämplig säkerhet och skydd mot obehörig åtkomst, skydd mot förlust/skada genom olyckshändelse)
Personuppgifter vi har Ska hanteras på säkert och bra sätt. Dess känsligare uppgiften är, dess säkrare system. Att tänka på när elev rapporteras frånvarande pga sjukdom, omdömen, bilder hemsida osv. Ska vi på ett enkelt sätt kunna: - rätta om de är felaktiga - lämna ut - ta bort, radera om personen så önskar.