Datainspektionen utdömer vite om 4 miljoner till kommun

Datainspektionen har granskat Skolplattformen, det it-system som används för bland annat elevadministration av skolor i Stockholm stad. Granskningen visar på brister i säkerheten som är så allvarliga att myndigheten utfärdar en administrativ sanktionsavgift på fyra miljoner kronor mot utbildningsnämnden i Stockholm stad.

Saxat från Datainspektionens pressmeddelande:

Systemet innehåller såväl känsliga och integritetskänsliga uppgifter som uppgifter om elever och lärare med sekretessmarkerade uppgifter eller skyddad identitet. 

– I ett it-system som detta hanteras stora mängder personuppgifter. Då är det oerhört viktigt att den personuppgiftsansvariga har vidtagit tillräckliga säkerhetsåtgärder för att skydda uppgifterna och löpande säkerställer skyddet, säger Ranja Bunni som är jurist på Datainspektionen och som deltagit i granskningen.

I sitt beslut konstaterar Datainspektionen att utbildningsnämnden inte har säkerställt en lämplig säkerhet för personuppgifterna. Nämnden har inte heller vidtagit tillräckliga lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, vilket bland annat inbegriper ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska säkerhetsåtgärderna.

………………………

De uppgifter som finns i mindre kommuners olika system kan naturligtvis inte mäta sig med mängden uppgifter som finns i en kommun av Stockholms storlek. Men kravet att vara noga med behandlingen av personuppgifter är densamma och att se till att det finns en hög säkerhetsnivå samt att tekniska och organisatoriska åtgärder finns på plats är av stor vikt.  

Viktigt meddelande angående Privacy Shield

Den 17 juli ogiltigförklarade EU-domstolen Privacy Shield. Det är en överenskommelse om hantering av personuppgifter i tredje land, land utanför EU/EES.

Det ursprungliga målet handlar om överföring av personuppgifter från EU till tredjeland, och i synnerhet tolkningen och giltigheten av två olika beslut av EU-kommissionen. Dels ett beslut om standardavtalsklausuler för överföring av personuppgifter, dels beslutet om Privacy Shield som har lägre krav än standardklausuler.

I domen konstaterar EU-domstolen att det inte finns anledning att ogiltigförklara beslutet om standardavtalsklausuler vilket möjliggör överföringar från en personuppgiftsansvarig inom EU till ett personuppgiftsbiträde i tredjeland. Standardavtalsklausuler förblir alltså en av flera möjliga sätt att göra en tredjelandsöverföring laglig. Dock de ganska komplicerade att använda.

Däremot ogiltigförklarar domstolen kommissionens beslut om Privacy Shield som de senaste åren gjort överföring av personuppgifter möjlig från EU till USA, och andra länder, under vissa förutsättningar. Det är klart att dagens dom kommer att innebära förändringar för många verksamheter som i dagsläget lutar sig mot just Privacy Shield i samband med överföring av personuppgifter till länder utanför EU/EES.

Datainspektionen har inte kommit med några direktiv hur vi ska förfara, dock är det klart att ni behöver inventera era biträdesavtal och se vilka som har underbiträden utanför EU/EES-länder. Detta gäller också information som delas i Teams eller lagras OneDrive. 

EU-domstolens pressmeddelande

Datainspektionens information

Att behandla personuppgifter i skola/förskola

Det uppstår många frågor i arbetet med personuppgifter. Barns uppgifter som behandlas i skola/förskola är, det man kallar för, särskilt skyddsvärda. Det betyder att det ställs högre krav på behandlingen än det gör med vuxnas personuppgifter.

Inte minst viktigt är att alla behandlingar registreras i den registerförteckning som ska finnas. Alla kommuner där jag är dataskyddsombud har valt Draftit för hantering av register. Se till att registerförteckningen hålls uppdaterad, lägg till användare som gör behandlingar och låt dem ta hand om sina egna register.

Skolfotografering

Ett omdebatterat ämne är skolfotograferingens vara eller icke vara. Är det skolans uppgift eller i skolans intresse att tillhandahålla separata fotoserier på eleverna? Nej, men det kan vara så att en klassuppsättning med bilder på klassens elever kan vara bra, inte minst för vikarier och annan skolpersonal än lärare.

Susanne Svanholm, digitaliserings- och dataskyddsjurist på avdelningen för digitalisering på SKR säger så här
– Det finns inget hinder i GDPR för skolfotografering av elever och lärare, men lagstiftningen
måste följas. När fotograferingen sker på skolans uppdrag för dess pedagogiska verksamhet
att användas i sina administrativa system för exempelvis identifiering till vikarier eller i andra
pedagogiska sammanhang stödjer sig skolan på den lagliga grunden att det är nödvändigt
för att utföra ett allmänt intresse i skolan; att tillhandahålla, anordna och bedriva
undervisning. Ett personuppgiftsbiträdesavtal upprättas då mellan parterna. De företag som
är anslutna till branschföreningen SER, Sveriges Elevfotografers Riksförbund, använder sig
av SKR:s mall för detta.

Vad måste skolfotoföretagen tänka på för att kunna ”sälja” bilder till
elever/vårdnadshavare?

– Att det är det ett avtalsförhållande mellan skolfotoföretaget och elev/vårdnadshavare, det
gäller såväl skolkatalog som individuella elevfotografier. Ett samtycke från vårdnadshavaren
ska inhämtas eftersom det då är något som inte är nödvändigt för utbildningen. Denna
administration görs vanligtvis av skolfotoföretagen. Skolan eller kommunens roll blir då
enbart att upplåta plats för själva fotograferingen och möjligen att lämna ut en klasslista eller
motsvarande med nödvändiga uppgifter. Ett utlämnande från kommunen till extern part faller
under offentlighetsprincipen.

– Skolfotoföretagen har rätt att behandla de personuppgifterna som är nödvändiga för att
kunna inhämta samtycke från elever/vårdnadshavare, det vill säga namn- och
adressuppgifter, detta med stöd av en intresseavvägning. Får skolfotoföretaget besked om
att något samtycke inte lämnas eller inget svar alls, ska personuppgifterna raderas.

Hur kan administrationen kring samtycke lösas på bästa sätt?
– Bland annat genom att eleven/vårdnadshavaren godkänner behandling i samband med
påseende och eventuellt köp av fotografier. Vill eleven av olika anledningar inte finnas med i
skolkatalogen på klassfoton eller dylikt, bör detta ha uppmärksammats tidigare, exempelvis i
samband med information om att fotografering ska ske.
Texten hämtad från SER skolfoto.org

Dock måste det ske en sortering då det kan finnas elever som inte ska vara på grund av sekretess eller elever som inte vill fotograferas av andra skäl. Detta ska respekteras. Informationen till föräldrarna inför fotograferingen är också viktig så att de kan ta ställning för deltagande.

Draftit – Behörigheter

Det finns fyra olika typer av behörighet i Records.

Produktadministratör
Produktadministratören har full behörighet och är en behörighet som vi på Draftit Privacy lägger till. När en produktadmin blivit tillagd så skickas det ut e-post till densamme innehållandes en aktiveringslänk. Genom att klicka på den länken så får produtadmin möjlighet att skapa ett lösenord för att ha möjlighet att kunna logga in i produkten. Produktadministratören har möjlighet att tilldela behörigheter och har full insyn i Records. Produktadministratören kan utnyttja all funktionalitet i produkten.

Formuläradministratör
Formuläradministratören erhåller egna inloggningsuppgifter till Records. Möjlighet att skapa inlogg skickas med e-post av systemet när användaren skapas. Observera att Formuläradministratören behöver vara behörig till minst ett formulär för att kunna arbeta i Records. Formuläradministratören kan:

  • Logga in i Records
  • Administrera och ändra de formulär som de har behörighet till.
  • Administrera och ändra de registreringar som kopplas till de formulär de har behörighet till
  • Skriva ut rapporter på behandlingar kopplade till deras formulär

För att ge denna behörighet går du in på kontakten och trycker på behörigheter där möjligheten finns att fylla i vilket eller vilka formulär användaren ska ha tillgång till.

Klicka på texten Användare och du ser vilka behörigheter personen har. Du ser även vilka formulär som kan användas.

Användare
En vanlig Användare är en registrant ute i organisationen som får möjlighet att skapa registreringar på begäran av produktadmin eller formuläradmin för Records. Användaren kan göra följande åtgärder i förhållande till Records:

  • Ta emot meddelanden som mottagare
  • Fylla i de formulär som produktadmin eller formuläradmin begärt registreringar genom

En vanlig Användare kan inte logga in i Records utan har enbart tillgång till det formulär som skickats till Kontakten samt de registreringar som kontakten själv skapat. Tillgången till dessa sker genom länkar som skickas ut via e-post.

Standardanvändare
En Standardanvändare är en registrant ute i organisationen som får möjlighet att skapa registreringar på begäran av produktadmin eller formuläradmin för Records. En standardanvändare skapas när man kräver inlogg vid begäran av en registrering. Tillsammans med länken till begäran så skickas även ett aktiverings e-post ut där standardanvändaren får möjlighet att skapa ett lösenord för att kunna logga in i Records. Som standardanvändare kan man göra följande:

  • Logga in i Records
  • Se de inbjudningslänkar man mottagit och från dem skapa registreingar
  • Redigera sina behandlingar
  • Se en översikt över de behandlingar som man är ansvarig för.
  • Skriva ut rapporter på de behandlingar som man är ansvarig för.

Sociala medier – vem har ansvar?

Det finns en mängd saker att ta hänsyn till i fråga om sociala medier. Det tar tid mycket tid att hålla ex Facebook uppdaterat och intressant. Dessutom har du ansvar för vad som skrivs, inte bara det du skriver själv utan även de kommentarer som läggs in. Om någon skriver något olämpligt eller namnger någon är det ditt ansvar att se till att det tas bort omgående.

I dagarna kom en fällande dom för en person som inte tagit bort kränkande inlägg på en Facebooksida där han var administratör. Han ansåg sig inte ha den möjligheten eftersom han har ett annat heltidsarbete. Domen blev relativt mild i första instans; villkorlig dom och 60 dagsböter. Dock visar det att även om det kan finnas andra omständigheter så kan den som är ansvrig för en sida inte underlåta att administrera och kontrollera det man har ansvar för. I det här fallet är det ganska uppenbart vad som har hänt, men en mediastorm kan bryta ut över en ”småsak” och plötsligt delas inlägg och kommenteras utan att man har direkt kontroll.

Om någon kommenterar och nämner en annan person vid namn eller lägger in bilder där personer är identifierbara så är det en personuppgift. Vad gäller då? Alla personuppgifter som behandlas ska ha en laglig grund. Vid publicering i sociala medier är det troligt att SAMTYCKE måste användas och det ska vara dokumenterat. Samtycket ska samlas in före behandlingen och personen i fråga har rätt att säga nej. Samtycket kan också återkallas när som helst.

Läs mer här – Samtycke som laglig grund
Lyssna på en pod – GDPR och sociala medier