Behandling av personuppgifter (GDPR)

Dataskyddsförordningen är en lagstiftning som började gälla den 25 maj 2018 i alla EU-länder. Förordningen ersätter helt den tidigare personuppgiftslagen (PuL) och innehåller nya, mer detaljerade regler för samma område – behandling av personuppgifter. Syftet med dataskyddsförordningen är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Reglerna är likvärdiga i alla EU-länder.

Personuppgifter är uppgifter som kan identifiera en nu levande fysisk person. Exempelvis namn, personnummer, anställningsnummer eller annat identifikationsnummer, e-postadress, IP-adress, GPS-position samt en eller flera faktorer som är specifika för den fysiska personens ”fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet”.

Behandling av personuppgifter är en åtgärd eller en kombination av åtgärder rörande personuppgifter. Med behandling menas allt du gör med personuppgifter, vare sig det sker genom databehandling eller inte. Exempelvis insamling, registrering, strukturering, lagring, bearbetning, läsning, spridning, tillhandahållande och radering. Dataskyddsförordningen reglerar hur behandlingar får gå till, att endast relevanta personuppgifter får samlas in, behandlingens omfattning, tiden för lagring och tillgänglighet. Framför allt ska personuppgifter inte göras obegränsat tillgängliga.

Samtycke till behandling av personuppgifter ska ges av den som blir registrerad om samtycke är den lagliga grunden för behandlingen. Om vår lagliga grund är att behandlingen görs för att uppfylla vår myndighetsutövning (oftast kallat allmänt intresse) eller baseras på avtal behövs inget samtycke. Ett samtycke kan när som helst återkallas och då ska behandlingen av registrerades uppgifter upphöra. Som myndighet behöver vi bara samtycke när ändamålet för behandlingen är helt frivilligt från den registrerades sida.

Förteckning över behandling av personuppgifter
Alla behandlingar av personuppgifter ska dokumenteras enligt dataskyddsförordningen i en elektronisk förteckning över personuppgiftsbehandlingar. Där ska syfte med behandlingen listas, vilka som behandlingen avser, vilka personuppgifter som behandlas, vilken laglig grund som behandlingen baseras på och andra uppgifter. Inom skol- och fritidsförvaltningen listar varje skolenhet och förvaltningen inklusive stödfunktioner sina behandlingar. Det är viktigt att förteckningen är i god ordning, komplett och uppdaterad.

Känsliga personuppgifter är sådana som handlar om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök. Även biometriska data, som fingeravtryck, ansiktsigenkänning samt identifierande DNA-kod, räknas som känsliga personuppgifter.

Behandling av känsliga personuppgifter ställer krav på att dataskyddet är starkt, som exempelvis tvåfaktorsinloggning (till exempel BankID), behörighetsstyrning (alla får inte se allt), loggning av aktiviteter och andra administrativa åtgärder enligt dataskyddsförordningens artiklar. Det gör att många system, appar och tjänster samt en del lagringsplatser inte är tillåtna för behandling av känsliga personuppgifter. Exempel på detta är Teams i M365 eller Google Drive.

Personuppgiftsansvarig är formellt ansvarig för att behandlingar av personuppgifter sker enligt lag reglerad genom dataskyddsförordningen. I Helsingborgs stad är respektive nämnd personuppgiftsansvarig för sin förvaltnings behandling av personuppgifter, barn- och utbildningsnämnden och idrotts- och fritidsnämnden. Ansvarig ska genomföra tekniska och organisatoriska åtgärder som säkerställer att endast personuppgifter som är nödvändiga för varje specifikt ändamål behandlas. Båda nämnderna har delegerat det operativa ansvaret till utbildningsdirektören.

Dataskyddsombudet ska finnas för alla myndigheter och större företag. I Helsingborgs stad har vi ett gemensamt dataskyddsombud för alla förvaltningar. Dataskyddsombudet utför revision och tillsyn på våra rutiner runt personuppgiftsbehandling för att se att vi uppfyller alla villkor i dataskyddsförordningen. Dataskyddsombudet ska också kunna kontaktas av registrerade om de har frågor om våra behandlingar som är obesvarade.

Personuppgiftsbiträden är de som behandlar personuppgifter på vårt uppdrag och utanför vår organisation. Det är externa leverantörer av system, appar och tjänster som vi har försett med personuppgifter. Ett exempel på personuppgiftsbiträde kan vara ett företag som står bakom en tjänst på internet, en så kallad molnlösning. All sådan extern behandling av personuppgifter ska vara reglerad genom ett personuppgiftsbiträdesavtal som är ett komplement till tjänstens huvudavtal.

När det finns lagkrav som gör att vi måste behandla personuppgifter för att kunna uppfylla kravet, är behandlingen av de uppgifterna tillåten. Exempel på sådana krav kan komma från förordningar, läroplaner eller annan lagstiftning. Sådan behandling har sin grund i att det finns ett allmänt intresse, en rättslig förpliktelse, uppfyllande av avtal eller myndighetsutövning som vi utför.

Alla behandlingar av personuppgifter ska dokumenteras enligt dataskyddsförordningen i en elektronisk förteckning över personuppgiftsbehandlingar. Där ska syfte med behandlingen listas, vilka som behandlingen avser, vilka personuppgifter som behandlas, vilken laglig grund som behandlingen baseras på och andra uppgifter. Inom skol- och fritidsförvaltningen listar varje skolenhet och förvaltningen inklusive stödfunktioner sina behandlingar. Det är viktigt att förteckningen är i god ordning, komplett och uppdaterad. Här finns stödmaterial för att inventera personuppgiftsbehandlingar.

Vi måste informera elever, vårdnadshavare, besökare och personal om att vi behandlar deras personuppgifter och vilka rättigheter de har enligt dataskyddsförordningen. Informationen ska vi ge i anslutning till när vi samlar in eller registrerar uppgifter eller när någon enskild lämnar personuppgifter till oss, till exempel i e-tjänster och på blanketter.

Varje enhet ansvarar för att informera sina vårdnadshavare, elever, besökare och sin personal:

• Hänvisa alltid till stadens generella information om behandling av personuppgifter
• Dela ut vårt informationsblad (Pdf 88kB) till alla nya föräldrar och elever. Informationsbladet för elever och föräldrar finns också här i en engelskspråkig version (Pdf 88kB).
• Fritid Helsingborg har ett eget informationsblad för besökare. Det hittar du på stödsidan med rutiner för dig som arbetar på Fritid Helsingborg.

 

Skol- och fritidsförvaltningen stödfunktioner ansvarar för den information som vi måste ge till registrerade i e-tjänster och på blanketter. Lathund för blanketter och mallar

Här är ett exempel på vad som minst måste vara med i en sådan information:
De personuppgifter som du lämnar till oss på denna blankett registreras och behandlas av Helsingborgs stad i enlighet med bestämmelserna i den allmänna dataskyddsförordningen. Syftet med att behandla personuppgifterna är att kunna handlägga ditt aktuella ärende. Den rättsliga grunden för behandlingen är [fyll i vad den rättsliga grunden är för den aktuella tjänsten]. Personuppgiftsansvarig är [fyll i antingen barn- och utbildningsnämnden eller idrotts- och fritidsnämnden], Helsingborgs stad. Läs mer om hur vi behandlar dina personuppgifter: https://helsingborg.se/personuppgifter 

För en stor del av den personuppgiftsbehandling vi måste göra i tjänsten är den rättsliga grunden allmänt intresse och då behöver vi inget samtycke från den som registreras. Vi behöver inte heller samtycke när vi informerar om den dagliga verksamheten. Se rubrik Publicera personuppgifter i denna lista för att läsa mer om vad du ska tänka på då.

Det kan också finnas personuppgiftsbehandling som är helt frivillig och utanför vad vi allmänt har som uppdrag och som sker utifrån ett skriftligt samtycke från den registrerade. Exempel på detta kan vara vid marknadsföring, när vi vill använda film och bild på den registrerade upprepade gånger eller genom att dela ha materialet med andra förvaltningar i vår stadsgemensamma Mediebank.

Varje enhet ansvarar för att inhämta och bevara sina samtycken.

På Portalen hittar du vår stadsgemensamma mall för samtyckesavtal för bild och film.

På Portalen kan du också läsa mer om att använda samtyckesavtal vid personuppgiftsbehandling.

När du hanterar personuppgifter i arbetet måste det ske på ett säkert sätt. Det är viktigt att inte obehöriga ska få åtkomst till personuppgifterna och att du bara hanterar de uppgifter som behövs för ändamålet, så kallad uppgiftsminimering. Om du tar ut personuppgifter till listor för olika ändamål så gäller det att bara ta med absolut nödvändiga uppgifter och tänka på vilka som kan få tillgång till uppgifterna. Se till personuppgifterna inte ligger kvar på datorer, hårddiskar eller andra minnen när de inte längre behövs.

Skyddsvärda uppgifter som betyg, omdömen, anställning, lön och andra detaljerade uppgifter om de registrerade ska hanteras i avsedda verksamhetssystem. För våra större förvaltningsgemensamma system finns det utsedda ansvariga som arbetar aktivt med informationssäkerheten och det finns en fast struktur för vilka som ska kunna se uppgifterna.

Känsliga uppgifter ska bara hanteras i system som är avsedda för detta som journal- och elevakt-systemet Prorenata eller Unikums modul för stödinsatser. Där är uppgifterna säkert förvarade och kan bara ses av de som är behöriga och har fått åtkomst. Vi ska inte hantera känsliga uppgifter i Googles tjänster eller Teams i M365  eller andra system som är mer öppet tillgängliga för många användare.

Alla externa system och tjänster som hanterar personuppgifter måste uppfylla vissa grundläggande krav. Dessa krav regleras med leverantören i ett personuppgiftsbiträdesavtal. Frågor och svar om personuppgiftsbiträdesavtal

I matrisen sist på denna sida får du hjälp med hur du ska skydda olika typer av personuppgifter.

Om du beställer eller tecknar avtal om en extern tjänst där vi behandlar personuppgifter så måste ett så kallat personuppgiftsbiträdesavtal finnas med leverantören. I avtalet regleras hur personuppgifterna ska behandlas, vilket ansvar och annat som gäller mellan parterna enligt dataskyddsförordningen. Läs mer om personuppgiftsbiträdesavtal.

Skilj på rätten att behandla personuppgifter och att publicera dem, det vill säga göra dem mer allmänt tillgängliga. Vid publicering av personuppgifter på olika ställen gäller det att tänka till. Vi i får till exempel lov att publicera personuppgifter för att informerar om den dagliga verksamheten men känsliga personuppgifter får inte publiceras alls.

De personuppgifter som vi publicerar, oavsett om det är i textform, bild eller film ska väljas med omsorg och alltid följa gällande praxis och lagar, till exempel inte vara kränkande. Vid osäkerhet ska vi fråga den registrerade om man vill medverka innan vi publicerar. Tänk på att det både för förskola, fritidshem och skola finns regler om offentlighet och sekretess, som vi måste ta hänsyn till inför varje publicering. I matrisen sist på denna sida får du hjälp med hur du ska tänka innan du publicerar för att skydda olika typer av personuppgifter.

När du publicerar personuppgifter för att informera om den dagliga verksamheten behöver du vara extra försiktig vid sådan publicering då det ofta sker i sociala medier där exponeringen av personuppgifterna är stor. Det är också brukligt att registrerade kan välja om de vill medverka i en sådan publicering. Läs mer i på Portalen om personuppgiftsbehandling i sociala medier i stadens gemensamma instruktioner.

En personuppgiftsincident är när personuppgifter blir tillgängliga för dem som inte är berörda, till exempel att någon annan får veta dina lösenord eller att någon får se en hälsouppgift som borde vara skyddad.

Incidenter med personuppgifter ska du anmäla direkt till närmaste chef när du får kännedom om en sådan händelse.

Om det är sannolikt att incidenten medför en risk för fysiska personers fri- och rättigheter enligt dataskyddsförordningen (GDPR) måste skol- och fritidsförvaltningen anmäla händelsen till datainspektionen inom 72 timmar.

Läs mer om våra incidentrutiner för att veta hur du ska göra.

På sin webb ger Sveriges kommuner och regioner (SKR) svar på aktuella frågor om dataskyddsförordningen för skolan.

Tänk på att rekommendationerna är allmänna och att vi kan ha gjort andra ställningstaganden i vissa detaljer. Kontakta vår samordnare för personuppgiftsfrågor om du är osäker.