PUL-delen i processen att bli Federationsmedlem Peter Müller, PUO, Uppsala kommun
Startfunderingar Vi följer PUL. Varför just jag? Vad har detta med Taxi att göra?
Lova mer än PUL? Lagöverträdelse + avtalsbrott PUO:s roll Stödja, undervisa och råda verksamheten Se till att det finns en förteckning över kommunens alla personuppgiftsbehandlingar och övervaka att begärda registerutdrag genomförs Granska efterlevnaden av PUL
Kontakter Pål Axelsson, Uppsala universitet, Swamid Jeanna Thorslund, Stadsjurist Västerås kommun, Cesam-SKL Filippa Murath, jurist på .se
Vad vi kom fram till… En beskrivning av hur man förverkligar PUL:s krav i detta fallet? Skolfederationen bygger på ömsesidig tillit Vi skall visa att vi har ett strukturerat och dokumenterat arbetssätt i dessa frågor Annorlunda uttryckt: Nedskrivet och genomtänkt
Vad deklarationen bör innehålla Man skall visa att man känner till och har planerat för: Vilka krav och problem som finns att hantera. Vilka resurser som avsätts (redan finns) för att nå upp till kraven och lösa förmodade problem.
Detaljnivå-resurser Utbildning Till dokumentet Hur ser behovet av PUL-kunskaper ut? Vilka resurser är avsatta för olika utbildningsinsatser? Vid införandet och fortlöpande Hur ser möjligheterna ut att få kontinuerligt råd och stöd i PUL-frågor? Till dokumentet
Detaljnivå-beskrivningar/rutiner-1 Registervård Registervård är ofta ett problemområde i verksamheterna, mao att i nödvändig utsträckning hålla information både korrekt och aktuell Vilka dokumenterade rutiner med verifierbara mål kan hjälpa oss med problemet Vad skall kontrolleras? Hur ofta och av vem? Krav på kommunicerande IT-system
Detaljnivå-beskrivningar/rutiner-2 Behörighetsproblematik Att tillse att den som behöver viss behörighet för att kunna utföra sitt arbete också har rätt behörighet Att inga (eller så få möjligt) andra har behörighet Vilka dokumenterade rutiner med verifierbara mål kan hjälpa oss med problemet Vad skall kontrolleras? Hur ofta och av vem?
Val av tekniska/organisatoriska arbetsformer-Informering Det är t ex ett administrativt problem hur man säkerställer att alla registrerade blir informerade enligt PUL innan deras personuppgifter används i Skolfederationssammanhang. Frånvaro, olika kategorier av registrerade (elev-lärare-annan skolpersonal) Elev som är inskriven på skolan i senare skede Lärarvikarier Lagligt räcker det med en informering per registrerad förutsatt att inte t ex ändamålet ändrats
Informering Informeringen innehåller upplysning om Personuppgiftsansvarigs identitet och kontaktuppgifter Behandlingens ändamål och använda typer av personuppgifter Övrig information som den registrerade kan ha nytta av att känna till, som t ex Lagliga rättigheter (korrigera felaktigheter, årliga registerutdrag) Varifrån information hämtas och vart den kan lämnas ut (till annan än Personuppgiftsansvarig)
Genvägar? Finns många sätt att lösa Pul-efterlevnaden. En del är effektiva och smarta. En del är lite för effektiva och lite för smarta. Man får t ex inte begära samtycke gruppvis. Detta måste göras på individnivå.
Levande dokument Vår text för PUL-deklaration är visserligen godkänd för medlemskap, men det är ett öppet och levande dokument. Det visar bara att vi verkar vara OK i nuläget. Men allt kan ändras. Vi vet inte riktigt säkert vilka problem och krav vi kommer att utsättas för i framtiden då skolfederationen gått in i en produktionsfas.
Personuppgiftslagen (SFS 1998:204, PuL) Lagen bygger på ett EU-direktiv och ska hindra att enskildas personliga integritet kränks genom behandling av personuppgifter. Som personuppgift räknas sådan information som kan identifiera viss fysisk levande person. Detta innefattar även ljud, bild och film. (Reg nr, fastighetsbeteckningar osv, indirekta personuppgifter) Personuppgifterna skall vara digitalt lagrade Personuppgiftslagen, förkortat PuL, utgick från ett EU-direktiv och blev svensk lag 1998. Tidigare gällde gamla Datalagen, som ansågs vara omsprungen av teknikens utveckling. Lite ironiskt så hade EU-kommissionen tagit tydliga intryck av den svenska pionjärlagstiftningen från 1970-talet, vilket ur svensk synvinkel upplevdes som hämmande eller försvårande för moderniseringsarbetet. Lagens huvudsakliga syfte är att hindra att enskildas personliga integritet kränks genom behandling av personuppgifter. Låter kanske rättframt och enkelt, men räknas ändå som en av de snårigare lagstiftningarna att tillämpa. Till att börja så ingår det ett begrepp ”personuppgift”. Vad menas med det? Skydda personer (ej företag mm, ej döda) mot kränkning av personlig integritet. Det du inte vill att alla/många/någon skall känna till om dig Objektiv bedömning ej subjektivt upplevd kränkning: Det som de flesta kan dela åsikt om, domstolen bedömer i slutänden vad detta innebär Detta är de ende ”rena” paragraferna jag kommer att ta upp. Finns 51 st andra i PUL. Och några tusen i andra lagar…
PUL:s område PuL:s regler berör alla som behandlar personuppgifter professionellt Dvs gäller inte helt privat behandling PuL:s regler tillämpas inte om det finns avvikande regler i någon annan lagstiftning om samma sak. som t ex grundlagsregler om tryck-, yttrandefrihet eller offentlighetsprincipen, Arkivlagen m fl Varje annan lag som beskriver vad som skall eller inte får göras med personuppgifter gäller före PUL. Först måste man avgöra om någon annan lag är tillämplig eller ej, sedan måste man känna till PUL:s regelverk.
Personuppgiftsansvaret Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter I en kommun avser detta en nämnd. Personuppgiftsbiträdesavtal, PU-biträde
Grundläggande krav Den personuppgiftsansvarige skall se till att personuppgifter behandlas bara om: det är lagligt, alltid behandlas på ett korrekt sätt och i enlighet med god sed, samlas in för särskilda uttryckligt angivna och berättigade ändamål personuppgifter bara behandlas för just det ändamål de samlats in för. Personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Får inte använda dolda anordningar för att samla in informationen Branchöverenskommelser, hyresgäst-hyresvärd, arbetstagare-arbetsgivare Berättigad-täcks av tillräckligt preciserad ändamålsbeskrivning Lämna tillräckligt bidrag till ändamålsuppfyllelsen. T ex ej sidouppgifter, eller inte avskräcker vid kameraövervakning
Fler grundläggande krav Personuppgifterna ska vara riktiga och, om det är nödvändigt, aktuella alla rimliga åtgärder ska vidtas för att rätta och rensa personuppgifter som är felaktiga Personuppgifter ska inte bevaras under en längre tid än vad som är nödvändigt för att uppfylla ändamålet. (OBS arkivlagen) Parkeringsexemplet
Öppen fråga Ett av de uppräknade federationsgemensamma attributen på standardnivån är legalt kön på registrerad. Vad kan detta användas till i detta sammanhang?