Har du hört nyaste rön;?

Pul kommer ge vika för något som kallas GDPR, 2018 Maj. Det är den nya datalagen som kommer ersätta vår nuvarande PUL. Den störta skillnaden är i personlighetslagen att den nya kommer bli bättre för den privata personen. Det blir nu ett måste att informera var och en vart de personliga uppgifterna kommer användas till, etc.


PUL

Viktigt att veta vad man får och vad man inte får i digitala Världen här är en bra liten test av våra jurister under vår utbildning; Värt att dela;


 PUL del 2 DPP 15  Fråga ett

  1. Du arbetar som lärare och du har precis beviljats tjänstledigt på halvtid för att få mer tid att skriva digitala läromedel som du har hållit på med en tid. Du funderar på att skriva ner din metod som du själv har utvecklat för elever med dyslexi som en form av läromedel. Som en del i din planering börjar du att skriva ner vilka elever du skulle vilja intervjua och du börjar även samla in material som du har samlat på dig genom åren avseende elevers resultat, inlämningsuppgifter och noteringar om elevers utveckling. En annan lärare som du diskuterar dina planer med tycker att det är en lysande idé, men han rekommenderar att du upprättar ett digitalt register. Han erbjuder sig att hjälpa dig att skriva ner alla uppgifter i ett Excel ark. Om du registrerar alla uppgifter digitalt så är uppgifterna sökbara och mer användbara säger din lärarkollega. Det vore nog inte så dumt tänker du och du gärna ha hjälp av kollegan som börjar samma dag ´med att hjälpa dig att sammanställa informationen. Du har en hel del anteckningar som är bra att ha i ditt material och du vill att dessa anteckningar också registreras. En av dina elever har råkat höra samtalet med din kollega och blir mycket upprörd. Eleven söker upp dig senare under dagen och berättar vad hon har råkat höra och att hon är starkt emot att finnas med i ett sådant register. Du tycker att det är en överdriven reaktion. Resonera kring vad det är som gjort eleven så upprörd och vilka regler som gäller på området (du behöver inte ange några lagrum/paragrafer).


Svar:

Är det frågan om strukturerat eller ostrukturerat material? PuLs regler gäller fullt ut för strukturerat material, medan bara vissa bestämmelser gäller för ostrukturerat. Att ett material är strukturerat innebär att det är sökbart på minst två kriterier.

PuL gäller för alla register - både manuella respektive digitala register - så länge det är sökbart på två kriterier. Om läraren väljer att ha sina uppgifter och anteckningar huller om buller i en kartong så gäller alltså inte PuL fullt ut - det får dock fortfarande inte vara kränkande för den registrerade.

Vid behandling av personuppgifter är huvudregeln att samtycke ska inhämtas av den registrerade. Dock räknar PuL upp ett antal situationer där det inte är nödvändigt att inhämta samtycke utan att det istället finns en laglig grund som räknas upp i PuL. Här får alltså skyddet för den personliga integriteten stå tillbaka. Dock får du endast behandla insamlade uppgifter i enlighet med det syfte/ändamål som du hade när du samlade in uppgifterna första gången. Om du istället vill använda uppgifterna till något annat syfte måste du återigen inhämta samtycke alternativt hitta stöd för detta i PuL. Ett samtycke måste vara uttryckligt och självständigt. Om eleven är omyndig krävs ett samtycke från en vårdnadshavare. Den registrerade har en också en långtgående rätt till information. Det finns också personuppgifter som i lagens mening anses som känsliga personuppgifter och här gäller strängare regler. Vidare finns det uppgifter som endast myndigheter får behandla - nämligen uppgifter om brott och påföljder.


I aktuellt scenario måste alltså läraren vara tydlig med sitt ändamål för insamlingen och behandlingen av personuppgifter. Samtycke och information behöver inhämtas respektive ges till eleverna och/eller deras vårdnadshavare om inte det med stöd av PuL inklusive den s.k. intresseavvägningen finns ett stöd för aktuell behandling. Läraren måste också vara noga med vilka uppgifter hon behandlar. Inga värderingar som inte hänger ihop med ändamålet bör registreras och "nice- to- have"- uppgifter ska inte finnas med. Uppgifterna får förstås inte heller vara kränkande.

  1. Datainspektionen har granskat Malmös skolor användning av Google Apps for Education, se Datainspektionens ärende Dnr 358-2014. Vilket beslut kom Datainspektionen fram till och hur har de resonerat.

Svar:

Datainspektionen, DI, konstaterar att personuppgiftsbiträdesavtalet som Grundskolenämnden i Malmö Stad tecknat med molntjänstleverantören inte uppfyller kraven på instruktioner till personuppgiftsbiträdet vad avser ändamålen med behandlingen av personuppgifter. DI förelade därför nämnden att upphöra med behandlingen av personuppgifter i molntjänsten eller ta fram tydligt avgränsade instruktioner i personuppgiftsbiträdesavtalet avseende för vilka ändamål personuppgiftsbiträdet får behandla personuppgifter. Instruktionerna ska vara i linje med nämndens egna ändamål för behandling och förenliga med personuppgiftslagen, poängterar DI.


DI lyfte också fram att nämnden måste vidta åtgärder för att tilldela superadmin och skoladmin och individuella inloggningsuppgifter till respektive adminkonto.


Slutligen påpekade DI att de också förutsatte att nämnden omedelbar kan få tillgång till information om personuppgiftsbiträdets samtliga underleverantörer, var de är lokaliserade och vilken typ av uppdrag de utför.