FAQ - Vanliga frågor och svar om behandling av personuppgifter i skolan

Personuppgifter är all slags information som direkt eller indirekt kan knytas till en person som är i livet. Det kan röra sig om namn, adress och personnummer.

Även foton på personer klassas som personuppgifter. Ja, till och med ljudinspelningar som lagras digitalt kan vara personuppgifter även om det inte nämns några namn i inspelningen.

Exempel på personuppgifter är

- ditt namn
- din adress
- din e-postadress
- ditt personnummer
- ditt id-kortnummer
- ditt telefonnummer
- din IP-adress när du surfar på nätet
- ett foto av dig.

Exempel på uppgifter som inte räknas som personuppgifter är

- organisationsnummer (utom vid enskild firma, då anses det vara en personuppgift)
- e-postadresser som info@företag.se.

Med behandling av personuppgifter menas varje åtgärd eller serie av åtgärder som görs med personuppgifterna. Detta kan vara exempelvis: insamling av personuppgifter, registrering, läsning, överföring och lagring.

Exempel: kund- och leverantörsregister, besöksliggare, passersystem, verksamhetssystem, pensionslistor, medarbetarsamtal/lönesamtal, intern telefonkatalog, behörighetsadministration, loggar, hemsida/intranät och rekryteringsdatabas.

Vanligtvis rör det sig om behandling av personuppgifter i digitala verksamhetssystem, men även manuella register i exempelvis pärmar, kartotek eller annan strukturerad samling av personuppgifter ska anmälas.

Förteckningen är en förutsättning för att kommunen ska kunna fullgöra sin skyldighet att lämna registerutdrag till den som efterfrågar det. Förteckningen ger också viktig information över hur dataflödena ser ut i kommunen och hur kommunen efterlever lagstiftningen. Det är därför av stor vikt att alla nya behandlingar anmäls till personuppgiftsombudet.

Med känsliga personuppgifter avses uppgifter om

- ras eller etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i en fackförening
- hälsa
- en persons sexualliv eller sexuella läggning
- genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person (exempelvis fingeravtryck eller ansiktsigenkänning).

Det är enligt dataskyddsförordningen förbjudet att behandla känsliga personuppgifter om det inte finns ett undantag. Många av undantagen är tillämpliga i kommunal verksamhet. Det är exempelvis tillåtet att behandla känsliga personuppgifter om det är nödvändigt för handläggningen av ett ärenden, om uppgifterna lämnats in till myndigheten eller om det finns undantag i en speciallagstiftning, som socialtjänstlagen eller skollagen.

Läs mer om undantag för att behandla känsliga personuppgifter hos Integritetsskyddsmyndigheten.

Gör en inventering om er verksamhet behandlar känsliga personuppgifter. Säkerställ därefter att behandlingen ryms inom undantagen och dokumentera detta i registerförteckningen.

Extra skyddsvärda personuppgifter är uppgifter som är extra viktiga att skydda till exempel:

• personnummer
• information som omfattas av sekretess eller tystnadsplikt
• vissa uppgifter om ekonomiska förhållanden
• omdömen och värderingar av en person såsom social förmåga, inlärningsförmåga och liknande
• provresultat, resultat av personlighetstester och annan information som ligger nära den privata sfären.

Det finns inget förbud mot att behandla dessa, men de ska hanteras med extra försiktighet. Förordningen kräver att man vidtar säkerhetsåtgärder som reflekterar uppgifternas art och risken som behandlingen medför för den registrerade.

Exemepl på skydd kan vara flerfaktorsautentisering (BankID, sms-kod, inloggningskort eller liknande som identifierar användaren på ett säkert sätt) och behörighetsstyrning.

E-post som innehåller personuppgifter kan skickas så länge de inte innehåller:

- Känsliga personuppgifter, till exempel hälsoinformation

- Extra skyddsvärda personuppgifter, till exempel sekrtessbelagd information enligt offentlighets- och sekretesslagen eller personnummer

I de fall vi ändå behöver skicka e-post som innehåller känsliga personuppgifter eller sekretessbelagd information så krävs det att särskilda säkerhetsåtgärder vidtas. Nacka kommun erbjuder en tjänst som har en högre säkerhetsnivå än ordinarie e-postsystem. Tjänsten heter Säkra meddelanden och finns tillgänglig via Nackas hemsida.

Läs mer i guiden för säker e-posthantering (PDF-dokument, 358 kB (PDF-dokument, 358 kB))

I denna presentation finns en sammanfattning av kraven på personuppgiftsbehandling (PDF-dokument, 179 kB).

Vad gäller kring e-post och personnummer?
Personnumret är en uppgift som räknas som extra skyddsvärt. Detta gäller oavsett sammanhang och det ska därmed finnas en hög nivå på de tekniska lösningarna när personnummer hanteras. Vanlig e-post uppfyller i regel inte kraven på säkerhet för extra skyddsvärda uppgifter.

Kritik från justitieombudsmannen

I november 2017 kritiserar Justitieombudsmannen barn- och utbildningsförvaltningen i Luleå kommun för att e-postmeddelanden med känsliga personuppgifter skickats utan att särskilda säkerhetsåtgärder vidtagits och för dröjsmål med att besvara frågor.

Beslutet i korthet: Barn- och utbildningsförvaltningen skickade ett e-postmeddelande med en elevs läkarintyg mellan e-postservrar över internet till vårdnadshavarna och till flera befattningshavare. Det borde ha vidtagits särskilda säkerhetsåtgärder för att säkerställa att rätt person fick åtkomst till uppgifterna och att de överfördes på ett säkert sätt (t.ex. genom kryptering). Eftersom det inte gjordes fanns det risk för att obehöriga, dvs. andra än de avsedda mottagarna, kunde ta del av de känsliga personuppgifterna. Förvaltningen kritiseras för hanteringen. Dessutom kritiseras förvaltningen för att man dröjde nästan sju månader med att besvara frågor från elevens far som gällde bl.a. hantering av läkarintyg.

Du kan läsa beslutet i sin helhet på Justitieombudmannens hemsida.

Om någon skickar känsliga personuppgifter eller sekretessuppgifter så innebär det inte att hen gett sitt samtycke till att hantera personuppgifter per e-post. Den enskilde har ingen information om vilka säkerhetsåtgärder som kommunen har vidtagit för e-posthantering (t.ex. kryptering). Det är kommunens ansvar som personuppgiftsansvarig att säkerställa att lämpliga säkerhetsåtgärder vidtagits.

Tänk därför på att ta bort det ursprunliga meddelandet när du svarar och inte vidarebefordra e-postmeddelandet vidare, utan hantera det i ett verksamhetssystem eller liknande som kan hantera känslig och sekretessbelagd information.

Med hjälp av verktyget Säkra meddelanden kan du som är anställd i Nacka kommun skicka och svara på meddelanden med känslig information på ett säkert och lagenligt sätt.

Arbetssättet påminner om Mina meddelanden som används bland myndigheter och banker med flera. Det krävs inloggning både för att skicka och läsa meddelanden.

Här hittar du sidan med inloggning och en användarinstruktion.

Här kan du läsa mer om säker hantering av e-post. (PDF-dokument, 358 kB)

All verksamhetsrelaterad information ska lagras på för denna avsedda platser. Information som är klassad som känslig och omfattas av sekretess eller innehåller känsliga personuppgifter bör hanteras, delas och sparas i ett verksamhetssystem. Finns inget sådant alternativ bör en särskild lagringsytavsättas upp med bland annat åtkomstbegränsning och utökad spårbarhet. Använd alltså inga allmänna lagringsytor för ditt arbetsmaterial (till exempel Dropbox, Google drive eller liknande). Verksamehetsrelaterad information ska aldrig sparas på privat dator, surfplatta eller telefon. Det är också viktigt att komma ihåg ha gallringsrutiner samt att kommunens dokumenthanteringsplaner följs även för de dokument som lagras utanför verksamhetssystem.

Här hittar du en guide för lagringsalternativ (Lagringsguide (PDF-dokument, 506 kB)) som hjälp för att välja vilken lagringsplats är lämplig för vilken typ av personuppgifter.

Begränsningen av hur och var arbetsrelaterad information, inklusive personuppgifter, lagras är en del av Nackas informationssäkerhetsstrategi.

Du kan läsa mer om strategin samt ta del av stöd och riktlinjer här

Personuppgifter om enskilda får endast publiceras på hemsidan om det finns en rättslig grund för publiceringen och publicering följer dataskyddsprinciperna i övrigt. Samtycke är en av de rättsliga grunderna, läs mer om samtycke nedan.

Tänk på att personuppgifter som enskilt betraktas som harmlösa kan anses vara kränkande beroende på sammanhanget de publiceras i. Känsliga eller extra skyddsvärda personuppgifter får aldrig publiceras på webben.

Personuppgifter (inklusive fotografier och filmer) om tjänstemän och förtroendevalda som har anknytning till deras tjänsteutövning eller uppdrag som till exempel yrkestitel får i regel publiceras på webben utan samtycke.

Läs mer om publicering på internet på IMY:s hemsida.

Samtycke är ett alternativ, men begränsningar finns

Samtycke kan inhämtas för personuppgifter som inte kan publiceras utan samtycke, men tänk på att samtycke i offentlig verksamhet och mellan arbetsgivare/arbetstagare enbart kan användas i begränsade fall. Samtycke ska vara helt frivilligt och kunna dras tillbaka närsomhelst (då ska publiceringen upphöra).

Samtycket anses inte vara frivilligt om det råder ett ojämlikt maktförhållande i en situation, exempelvis mellan en kommun/medborgare där kommunen utövar myndighetsutövning och en arbetsgivare/arbetstagare. Det får inte ställas krav i samband med samtycket och den enskilde ska inte på något sätt påverkas negativt av att säga nej. Det ska också finnas dokumenterat att ett samtycke inhämtats.

Under guider och mallar - GDPR finns en mall till en samtyckesblankett.

På Integritetsskyddsmyndighetens hemsida finns mer information om samtycke.

Att publicera foton på anställda på hemsidan kräver samtycke från den anställde. Namn och arbetsrelaterade kontaktuppgifter är uppgifter som normalt kan publiceras på hemsidan utan samtycke. Inför publicering av fotografier ska alla medarbetare tillfrågas och ges möjlighet att samtycka eller inte samtycka. Man ska alltså inte bara behöva säga nej, utan uttryckligen säga ja till publiceringen. Samtycket ska också vara helt frivilligt och medarbetare ska inte känna att man "gör fel" genom att säga nej, vilket är viktigt i en relation mellan arbetsgivare och arbetstagare.

Inom skola, förskola och fritids måste vårdnadshavare samtycka innan en publicering av barn sker på hemsidan. Samtycket ska inhämtas från båda vårdnadshavarna. Om samtycket utformas på ett korrekt sätt behöver det bara inhämtas en gång för alla bilder som publiceras under hela skoltiden. Kontakta personuppgiftsombudet för att få hjälp med att ta fram en samtyckesblankett för dina ändamål.

Tänk på att det kan finnas enskilda med skyddade personuppgifter i skolan eller på arbetsplatsen och att sådana personuppgifter kräver extra försiktig hantering.

Se samtyckesblankett nedan för publicering av bild och film.

Samtyckesblankett för publicering av bild och film Reviderad 230302

Information om hur du ska hantera skyddade personuppgifter är samlad på en separat sida. Klicka på länkan för att komma till sidan och läsa mer.

När du arbetar med personuppgifter är det viktigt att tänka på säkerheten för dessa även när du arbetar på distans - vare sig det är hemma, på resan eller i offentlig miljö. För att minska risken för att obehöriga får åtkomst till personuppgifter som behandlas av kommunen kan du tänka på följande:

- Anslut inte till öppna nätverk om du inte behöver. Säkerheten kan inte garanteras och det finns en risk att din aktivitet på nätverket övervakas. Använd istället din mobil för att dela din internetanslutning med datorn.
- Anslut alltid till Nackas VPN på datorn, detta är extra viktigt om du kopplar upp dig på ett öppet nätverk.
- Utbyt aldrig känslig eller sekretessbelagd information via offentliga, trådlösa nätverk.
- Spara aldrig verksamhetsrelaterad information på privat dator, surfplatta eller telefon eller liknande. Tänk också på att inte använda din privata e-postadress när du kommunicerar med kollegor inom ramen för ditt arbete.

Här kan du läsa mer om distansarbete.

Nämnden är personuppgiftsansvarig och har det yttersta ansvaret för att personuppgiftsbehandlingar följer lagstiftningen.

Enheterna ansvarar för att personuppgifterna hanteras korrekt enligt dataskyddslagstiftningen och att övriga krav som följer av lagstiftningen följs.

Medarbetarna ansvarar för att behandla personuppgifter korrekt i sitt vardagliga arbete.

Dataskyddsombudet ska ge råd och stöd och övervaka Nacka kommuns efterlevnad av dataskyddsförordningen. Dataskyddsombudet rapporterar till högsta ledningsnivå och är även kontaktperson för Datainspektionen.

I dokumentet "Lagringsalternativ - guide (PDF-dokument, 506 kB)" finns beskrivning av vilka möjligheter som finns för lagring av information och dokument samt en gudie i hur valet kan göras.

Nacka kommun, Välfärd skola
Google Workspace for Education
Hypergene
Comaea - Koll
Anmälan skola - kränkande behandling
DigiExam
Skola24
Inläsningstjänst
Lexia Provia
Landguiden
Palms - Nacka Academy
DuoSTATION MDM
InfoMentor
Skolon

Nacka kommun, Serviceenheten
ProofX

Personuppgiftsincident

En personuppgiftsincident har uppstått när de personuppgifter vi behandlar:

- medvetet, omedvetet eller olagligt förstörs, förvanskas, förloras eller ändras
- när någon som inte har behörig tillgång till personuppgifterna får tillgång/åtkomst till dessa
- när personuppgifterna på ett obehörigt sätt röjs (obehörigt röjande)

Exempel på personuppgiftsincidenter

- Ett mejl med känsliga eller extra skyddsvärda personuppgifter skickas till fel mottagare.
- Ett glömt papper i skrivare som innehåller uppgifter om namn och sjukdomstillstånd.
- Uppgifter om en elev med skyddad identitet har felaktigt synktas vidare till andra verksamhetssystem
- En dator har fått skadlig kod som gör att obehörig skulle kunna komma åt personuppgifter.

Konsekvenser av en incident

En personuppgiftsincident kan leda till att en person förlorar kontrollen över sina uppgifter eller en individs rättigheter inskränks som i sin tur kan resultera i exempelvis diskriminering, identitetstöld, finansiell förlust, brott mot sekretess eller tystnadsplikt. Syftet med att rapportera och anmäla incidenter är att förhindra skada för den enskilda och förbättra skyddet för enskildas personuppgifter så att en incident inte upprepas.

När ska du rapportera en personuppgiftsincident?

Personuppgiftsincidenter rapporteras när medarbetare eller personuppgiftsbiträde (leverantör)

- vet att det inträffat en incident
- misstänker att det har inträffat en incident
- ser en risk för att det kan inträffa en incident.

Alla personuppgiftsincidenter ska rapporteras så snart som möjligt efter upptäckt. Det gäller även om incidenten hunnit bli åtgärdad.

Nacka kommun ska enligt lag anmäla vissa typer av incidenter till Integritetsskyddsmyndigheten (IMY). Medarbetaren/personuppgiftsbiträdet rapporterar incidenten i ovanstående e-tjänst, sedan fördelas incidenten till ansvarig enhet. Eventuell anmälan av incidenten till IMY ska ske inom 72 timmar från det att den upptäckts.

Instruktioner och rutiner

Instruktion för handläggning av personuppgiftsincidenter i Ciceron (PDF-dokument, 1 MB)

Guide för hantering av personuppgiftsincidenter (PDF-dokument, 262 kB)

Allt som på något sätt bär information: papper, digitala handlingar, fotografier, databaser, sms, bloggar, e-post, ljudfiler etc. och som förvaras i kommunen, har inkommit eller upprättats här, är en allmän handling och får inte slängas/gallras utan beslut. Besluten om detta hittar man i enhetens/verksamhetens informationshanteringsplan (ihp).

Se informationshanteringsplaner för Nackas kommunala skolor.

Enhet/verksamhet: Välfärd skola, Kommunala förskolor

Enhet/verksamhet: Välfärd skola, Kommunal förskoleklass, grundskola, fritidshem och gymnasium

Allt som på något sätt bär information: papper, digitala handlingar, fotografier, databaser, sms, bloggar, e-post, ljudfiler etc. och som förvaras i kommunen, har inkommit eller upprättats här, är en allmän handling och får inte slängas/gallras utan beslut. Besluten om detta hittar man i enhetens/verksamhetens informationshanteringsplan (ihp).

Se informationshanteringsplan för Barn och elevhälsan.

Enhet/verksamhet: Barn och elevhälsan