Grundläggande utbildning i dataskyddsförordningen (GDPR) 2018-05-31 ?

Grundläggande utbildning i dataskyddsförordningen (GDPR) Den 25 maj fick vi en ny persondataskyddslagstiftning, dataskyddsförordningen (GDPR). Dataskyddsförordningen ersätter den tidigare Personuppgiftslagstiftningen (PUL).  Införandet av Dataskyddsförordningen innebär skärpta regler kring hur vi får behandla personuppgifter. Syftet med utbildningen är att ge dig en första grundläggande information om dataskyddsförordningen och de centrala begreppen i lagstiftningen. 5 december 2018

Vad innebär dataskyddsförordningen? Vi börjar med att titta på en kort film som sammanfattar vad den nya dataskyddsförordningen innebär. 5 december 2018

Vad är en personuppgift? All information som på något sätt kan kopplas till en identifierbar fysisk person som är i livet, både direkta och indirekta uppgifter. Exempelvis namn, personnummer, adress, mobilnummer, e-postadress, användar-ID, bild- och ljudupptagningar (digitalt), genetisk och biometrisk information, initialer, kombinationer av t.ex. födelsedatum och klass eller adress. 5 december 2018

Särskilda kategorier av personuppgifter Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd. Dessa kallas särskilda kategorier av personuppgifter och utgångspunkten är att det är förbjudet att behandla sådana personuppgifter. Det finns dock flera undantag från förbudet i vår verksamhet. Följande uppgifter inräknas i särskilda kategorier av personuppgifter:    Ras eller etniskt ursprung, exempelvis modersmål och tolkhjälp Politiska åsikter Religiös eller filosofisk övertygelse, exempelvis klädval och specialkost Medlemskap i fackförening Hälsa, exempelvis hjälpmedel, allergier, placering i särskolan Sexualliv, sexuell läggning Genetisk och biometrisk information 5 december 2018

Extra skyddsvärda personuppgifter Vissa personuppgifter är extra skyddsvärda trots att de inte tillhör särskilda kategorier av personuppgifter. Utgångspunkten är att dessa får registreras, men kräver extra varsamhet och skyddsåtgärder.  Följande uppgifter räknas till extra skyddsvärda personuppgifter: Personnummer Värderingar och omdömen Viss ekonomisk information Annan information som ligger nära privatlivet Information kring barn och unga 5 december 2018

Vad är en behandling? Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, är en behandling.  Exempel på behandlingar:    Insamling, registrering, lagring, bearbetning eller ändring, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning och radering. Det gäller såväl i verksamhetssystem, digitala plattformar och pedagogiska tjänster/appar som i Word, Excel, e-post och sociala medier. 5 december 2018

Vad är en behandling? Varje personuppgiftsbehandling ska: Vila på en laga grund.  Det finns sex grunder för laglig behandling av personuppgifter. För förskola och skola är det främst nedanstående som kan åberopas. Behandlingen är nödvändig för fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som led i den personuppgiftsansvariges myndighetsutövning. Den registrerades samtycke. 5 december 2018

Vad är en behandling? En rättslig förpliktelse, uppgift av allmänt intresse eller myndighetsutövning måste vara fastställt i unionsrätt eller nationell lag. För förskola och skola är det exempelvis skollagen, skolförordningen, gymnasieförordningen, patientdatalagen, offentlighets- och sekretesslagstiftningen och arkivlagen som styr men också de olika skolformernas läroplaner.  Generellt är samtycke något som ska undvikas, då ett samtycke alltid kan återkallas. Ett återkallande av ett samtycke innebär att de behandlingar av personuppgifter som görs kopplat till samtycket måste upphöra (exempelvis måste bild och film som publicerats med samtycke som laga grund plockas bort). 5 december 2018

Behandlingar av personuppgifter Vidare ska varje personuppgiftsbehandling: Ha ett tydligt och på förhand fastställt ändamål. Vara relevant och inte omfatta mer personuppgifter än vad ändamålet kräver. Inte sparas länge än vad ändamålet kräver. Skyddas mot obehörig åtkomst. Upptas i en registerförteckning. Lagras och kommuniceras på ett rättssäkert sätt. Delges den registrerade. Ingå i ett personuppgiftsbiträdesavtal, om behandlingen görs i IT-system eller som en del i ett uppdrag utfört av utomstående aktörer.    5 december 2018

Information till de registrerade Vi är skyldiga att lämna information till de registrerade om de personuppgiftsbehandlingar vi gör, deras rättigheter, vem som är personuppgiftsansvarig samt vem de kontaktar vid frågor.   Undantaget från informationsplikten är behandlingar av personuppgifter som är författningsreglerade, dvs. ingår i uppdrag ålagda oss i lag, förordning eller läroplan.  Information till de registrerade kommer att lämnas enligt följande: Allmän information till den registrerade lämnas via varberg.se.  Vid varje läsårsstart lämnas information till vårdnadshavare/myndig elev om deras rättigheter. I varje blankett eller e-tjänst där vi inhämtar personuppgifter lämnas information om vad personuppgifterna ska användas till. 5 december 2018

Om en registrerad begär ut sina uppgifter Om en registrerad begär ur ett registerutdrag är vi skyldiga att lämna ut de personuppgifter vi har registrerade om vederbörande. Förfrågan om registerutdrag hanteras av barn- och utbildningsförvaltningens kansli, som i sin tur kontaktar de medarbetare som i sitt uppdrag är ålagda att hantera personuppgifter om den registrerade.   5 december 2018

Om vi inte följer lagstiftningen Datainspektionen är tillsynsmyndighet och har i uppdrag att följa upp och granska hur myndigheter och andra organisationer följer dataskyddsförordningen. Vid en tillsyn kan Datainspektionen bland annat:   • Utdela varning, reprimand, förelägganden, exempelvis fatta beslut om att ett register inte får föras. • Tilldöma administrativa sanktionsavgifter, för svenska myndigheter mellan 5-10 miljoner kr Barn- och utbildningsnämnden är ytterst ansvarig för hur alla medarbetare behandlar personuppgifter. Om det vid en tillsyn framkommer oegentligheter är det barn- och utbildningsnämnden som blir tilldömd varning, reprimand, föreläggande eller sanktionsavgift. 5 december 2018

Information och vidare utbildning Vid läsårsstart kommer du som pedagog att få ytterligare information och utbildning i dataskyddsförordningen, då inom följande områden: Hantering av foto och film med ny samtyckesblankett Hantering av nya pedagogiska digitala tjänster/appar med checklista Gallring av dokumentation, bild och film Information om var du kan behandla och lagra personuppgifter på ett säkert sätt.  Yrkesgrupper och verksamheter som berörs extra av den nya lagstiftningen har också, eller kommer att få, ytterligare information och utbildning vid exempelvis APT.   5 december 2018

Information och vidare utbildning Information och utbildningsmaterial finns på Pedagog Varberg och kommer att uppdateras.  Nu har du genomfört den grundläggande utbildningen i dataskyddsförordningen.    Tack för din uppmärksamhet och på återseende! 5 december 2018