Lagring av personuppgifter - Dos and don’ts (1)
För en tid sedan blev jag, helt informellt, kontaktad av en skola som på grund av dålig kravställning satt fast i ett avtal med en mindre seriös IT-leverantör. Då nuvarande IT-lösning inte fungerar som tänkt och supporten fungerar ännu sämre undrade de om jag kunde ge förslag på sätt att arbeta runt avtalet. Eftersom jag i rollen som gymnasielärare arbetat med Google for Education var min första tanke att de kanske skulle kunna använda detta för delar av sin dokumenthantering.
Molntjänster och PUL, hur fungerar det?
Det fanns dock en gnagande oroskänsla som jag haft ända sedan jag själv tvingats börja använda Googles verktyg som pedagogisk plattform, hur förenliga är egentligen molntjänster med Personuppgiftslagen? Av ren nyfikenhet men även som en försiktighetsåtgärd mot dåliga råd valde jag att undersöka saken närmare. Jag spenderade lite tid åt dessa efterforskningar vid tillfället och det stod snabbt klart för mig att det är ganska komplext.
Arbetar man inom skola är det sannolikt att man på ett eller annat sätt hanterar personuppgifter av alla typer, icke känsliga, känsliga och integritetskänsliga. Som personuppgift räknas all information som kan kopplas direkt eller indirekt till en person, till känsliga uppgifter hör exempelvis facklig, religiös och politisk tillhörighet och uppgifter om hälsa. De integritetskänsliga uppgifterna är inte lika klart definierade men kan bland annat vara information om relationer, hemförhållanden eller lagöverträdelser.
Generellt gäller att behandling av personuppgifter endast får ske med den registrerades samtycke, dock finns ett stort antal undantag där andra lagar tar över, exempel på detta är Patientdatalagen och Lag (2001:558) om vägtrafikregister. För att samtycket ska vara giltigt måste informationen om vad som lagras och hur det används vara tydligt förmedlat till den samtyckande individen. För den som behandlar personuppgifter gäller att endast de uppgifter som är för särskilda, uttryckligt angivna och berättigade ändamål får behandlas, inget annat.
”Vidta lämpliga åtgärder”
Givetvis ställs det också krav på säkerhet gällande personuppgifter men dessa är som mycket annat vagt definierade, följande går att läsa i Datainspektionens allmänna råd – Säkerhet för personuppgifter: Den personuppgiftsansvarige ska enligt 31 § personuppgiftslagen vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av:
• De tekniska möjligheter som finns
• Vad det skulle kosta att genomföra åtgärderna
• De särskilda risker som finns med behandlingen av personuppgifterna
• Hur känsliga de behandlade personuppgifterna är
Som väl är ger Datainspektionen en mängd konkreta råd om hur man med både fysiska och tekniska hjälpmedel kan skydda dessa uppgifter. Dessa råd berör bland annat hur en säkerhetspolicy bör se ut, fysiskt skalskydd, brandskydd, UPS, krypterade anslutningar och loggning av ändringar i data. Det bör dock sägas att det endast är råd, det är inte detaljerade anvisningar om hur stor kapacitet UPS:en ska ha eller vilken form av kryptering det ska vara. Så i värsta fall vet man först efter domslut om man vidtagit tillräckliga åtgärder i relation till uppgifternas känslighet.
Den som ansvarar för allt det här är den personuppgiftsansvarige, vanligtvis den juridiska person som behandlar de aktuella personuppgifterna. Sker behandlingen i kommunal verksamhet innebär det att det är kommunstyrelsen eller en kommunal nämnd som är personuppgiftsansvarig. Om det är en privat organisation är det styrelsen som ansvarar för att behandlingen sker på rätt sätt och på statlig nivå är det myndigheter. Inom de olika organisationerna kan man, eller snarare bör, tillsätta ett personuppgiftsombud som har till uppgift att ge råd kring, och granska behandlingen av personuppgifter. Detta betyder dock inte att styrelsen eller motsvarande blir av med sitt ansvar som personuppgiftsansvarig.
Vill du läsa mer? Andra delen av mitt inlägg hittar du här: http://langate.se/blogg/645/lagring-av-personuppgifter-dos-and-donts-2/
Rickard Nilsson