Behandling av personuppgifter i läroanstalter

 

Vilka uppgifter är personuppgifter?

Definitionen av personuppgifter och behandling av personuppgifter enligt dataskyddsförordningen mot­svarar i stort definitionen enligt personuppgiftslagen.[1] Enligt den avses med personuppgifter varje upplysning som avser en identifierad eller identifierbar fysisk person. Eftersom begreppet fysisk person avser en människa gäller rätten till skydd av personuppgifter inte exempelvis företag. Den person som är föremål för personuppgifter kallas registrerad.

En identifierbar person är enligt dataskyddsförordningen en person som direkt eller indirekt kan identifieras med hänvisning till en identifierare. Som exempel på identifierare nämner förordningen ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för en viss persons fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.[2]

En betydande del av de uppgifter som läroanstalterna behandlar är personuppgifter, eftersom de hänför sig till en bestämd, identifierbar elev eller studerande. Personuppgifter är exempelvis namn, personbeteckning, adress, uppgifter om avlagda kurser, frånvaro och erhållna betyg. Också sådana uppgifter som samlas in när individen agerar i en elektronisk miljö kan vara personuppgifter. Statistik och sammanfattningar som gäller en grupp och där individuella uppgifter inte kan separeras är inte personuppgifter.

Lagringsformen saknar betydelse i fråga om begreppet personuppgift. Uppgifterna kan finnas i skriftlig eller elektronisk form, men det kan också vara fråga om fotografier, ljud- eller videoinspelningar. Dataskyddsförordningen tillämpas emellertid inte på personuppgifter som inte lagrats. Exempelvis står muntliga samtal mellan en lärare och en elev som inte spelas in i någon form utanför förordningens tillämpningsområde.

Enligt dataskyddsförordningen avses med behandling av personuppgifter en sådan åtgärd eller kombina­tion av åtgärder som hänför sig till personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte. Utgångsläget är att alla åtgärder som hänför sig till personuppgifter är behandling av personuppgifter som regleras i lag. Sådana åtgärder är exempelvis insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring av uppgifter.[3]

Personuppgifter som har pseudonymiserats och anonym information

Med personuppgifter som har pseudonymiserats avses personuppgifter som kan tillskrivas en fysisk person genom att kompletterande uppgifter används.[4] En sådan kompletterande uppgift kan vara exempelvis studerandenummer, signatur, personbeteckning eller någon annan individuell identifierare. Om de uppgifter som behandlas kan tillskrivas en fysisk person med hjälp av kompletterande uppgifter gäller de en identifierbar fysisk person. Personuppgifter som pseudonymiserats omfattas således av dataskyddsförordningens tillämpningsområde.

Uppgifter som inte hänför sig till en identifierad eller identifierbar fysisk person kallas för anonym information. Som anonym information betraktas också personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Dataskyddsförordningen berör inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller forskningsändamål.[5] Enbart radering av direkta identifierare, såsom namn, är ofta en otillräcklig åtgärd för anonymisering av uppgifter. Om uppgifterna kan avanonymiseras eller om de fortfarande indirekt kan knytas till en viss person exempelvis genom att kombinera uppgifter, ska bestämmelserna gällande skydd av personuppgifter tillämpas.

För att avgöra om uppgifterna gör det möjligt att identifiera en fysisk person, ska man beakta alla hjälpmedel, som rimligen kan komma att användas för att identifiera den fysiska personen. Identifieringen kan vara direkt eller indirekt, som t.ex. utgallring. Vid bedömningen av om en fysisk person kan identifieras på grundval av uppgifterna med rimlig sannolikhet eller inte, ska samtliga objektiva faktorer beaktas. Sådana faktorer kan vara exempelvis kostnader och tidsåtgång för identifiering samt tillgänglig teknik.[6] I detta sammanhang finns det skäl att beakta att teknik som gör det möjligt att upphäva anonymisering kan utvecklas snabbt. Även om uppgifterna en gång anonymiserats finns det skäl att tidvis på nytt granska anonymiseringens varaktighet och effektivitet.

Ansvar för behandling av personuppgifter

Den personuppgiftsansvarige ansvarar alltid för att behandlingen av personuppgifter är laglig. Den personuppgiftsansvarige ska vidta de tekniska och organisatoriska åtgärder som behövs för att säkerställa att behandlingen av personuppgifter är laglig och se till att sådana åtgärder uppdateras.[7] Den personuppgiftsansvarige ska före behandlingen av personuppgifter på eget initiativ bedöma hur personuppgifterna ska behandlas så att kraven i personuppgiftslagstiftningen uppfylls.

Den personuppgiftsansvarige kan vara en eller flera. Enligt dataskyddsförordningen avses med den personuppgiftsansvarige en person eller organisation som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.[8] Den personuppgiftsansvarige har med andra ord beslutanderätt om användningen av de personuppgifter som behandlas. Definitionen motsvarar definitionen av registeransvarig i personuppgiftslagen.[9]

I läroanstalterna är utbildningsanordnaren eller någon annan upprätthållare av läroanstalten den personuppgiftsansvarige. Om ändamålen och medlen för behandlingen av personuppgifter bestäms av den na­tionella rätten kan den personuppgiftsansvarige eller kriterierna för hur denne ska utses undantagsvis föreskrivas i enlighet med en sådan lag.[10] Exempelvis har utbildningsanordnaren i lagen om elev- och studerandevård[11] utsetts till registeransvarig med ansvar för elevhälsoregistret.[12]

I den kommunala grundläggande utbildningen, gymnasieutbildningen och yrkesutbildningen är den personuppgiftsansvarige i regel det organ som ansvarar för kommunens undervisningsväsen med stöd av lagar eller bestämmelser.[13] I annat fall är den personuppgiftsansvarige den aktör som med stöd av speciallagstiftning har beviljats tillstånd att anordna utbildningen. Utöver kommuner och samkommuner kan en registrerad sammanslutning eller stiftelse beviljas tillstånd att anordna utbildning.

Ofta har befogenheterna att behandla personuppgifter delegerats till läroanstalten. Den personuppgiftsansvarige kan emellertid inte lägga ut ansvaret för att behandlingen av personuppgifter är laglig. Däremot ankommer det på den personuppgiftsansvarige att fastställa och fördela ansvaret i anslutning till behandlingen av personuppgifter samt att se till att uppgifterna delegeras ändamålsenligt. Den personuppgiftsansvarige ansvarar i sista hand för att läroanstalten och dess personal har getts tillräckliga anvisningar för behandling av personuppgifter.[14] Det är viktigt att den personuppgiftsansvarige ser till att hela undervisningspersonalen känner till innehållet i dataskyddsreformen.

Dataskyddsförordningen ger möjlighet att utdöma administrativa sanktionsavgifter för överträdelser av dataskyddsförordningen. EU:s medlemsstater kan emellertid anta regler för huruvida myndigheter eller offentliga organ kan åläggas administrativa sanktionsavgifter i respektive medlemsstat. Avsnittet uppdateras när dataskyddslagen har antagits.

Utnämning av dataskyddsombud

Dataskyddsförordningen för med sig skyldigheten att utnämna ett dataskyddsombud när den personuppgiftsansvarige är någon annan myndighet eller något annat offentligt organ än en domstol eller den personuppgiftsansvariges kärnverksamhet består av behandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning.[15] Exempelvis ska en kommun eller samkommun som tillhandahåller grundläggande utbildning eller yrkes- eller gymnasieutbildning samt universiteten utnämna ett dataskyddsombud. Dataskyddsombudet kan också utnämnas frivilligt. Till dataskyddsombud kan utnämnas en person som ingår i den personuppgiftsansvariges eller läroanstaltens personal, eller också kan dataskyddsombudets tjänster köpas in utifrån.[16]

Dataskyddsombudets viktigaste uppgifter är att övervaka att behandlingen av personuppgifter är laglig och bistå den personuppgiftsansvarige vid efterlevnaden av lagstiftningen om skyddet av personuppgifter.[17] I praktiken ska dataskyddsombudet samla in information för att specificera behandlingen, analysera behandlingsåtgärderna och kontrollera att de motsvarar kraven samt informera och ge råd och rekommendationer till den personsuppgiftsansvarige.[18] Dessutom fungerar dataskyddsombudet som kontaktperson mellan tillsynsmyndigheten och den registrerade i frågor som rör behandling av personuppgifter.

Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra uppgifterna som dataskyddsombud.[19] Vid bedömningen av den nivå av sakkunskap som behövs ska man beakta behandlingens art och det skydd som krävs för de personuppgifter som behandlas.[20] En person vars övriga uppgifter och uppdrag kan leda till en intressekonflikt kan inte utnämnas till dataskyddsombud.[21] En person som deltar i fastställandet av ändamålen eller metoderna för behandlingen av personuppgifter kan inte fungera som dataskyddsombud.[22] Exempelvis kan sådana intressekonflikter som avses i dataskyddsförordningen lätt uppstå om rektorn eller någon annan person som hör till läroanstaltens högsta ledning utnämns till dataskyddsombud.

Dataskyddsombudet ansvarar inte personligen för att behandlingen av personuppgifter är laglig och är inte ansvarigt i händelse av bristande efterlevnad av dataskyddsförordningen.[23] Det är alltid den personuppgiftsansvarige som har ansvaret för att behandlingen av personuppgifter är laglig.[24]

För privata utbildningsanordnare eller upprätthållare av läroanstalter är skyldigheten att utnämna ett dataskyddsombud inte entydig. Det är oklart huruvida definitionen av myndighet eller offentligt organ kan anses omfatta privata aktörer som sköter myndighetsuppgifter. Samtidigt krävs regelbunden, systematisk och omfattande övervakning av de registrerade för att uppnå målen med anordnandet av undervisning eller utbildning, och behandlingen av personuppgifter utgör en oskiljaktig del av läroanstalternas verksamhet.[25] Undervisnings- och kulturministeriet rekommenderar att alla aktörer som med stöd av speciallagstiftning har beviljats tillstånd att anordna undervisning eller utbildning utnämner ett dataskyddsombud.

 

[1] Jfr 3 § 1 punkten i personuppgiftslagen.

[2] Artikel 4.1 i dataskyddsförordningen.

[3] Artikel 4.2 i dataskyddsförordningen.

[4] Skäl 26 i ingressen till dataskyddsförordningen.

[5] Skäl 26 i ingressen till dataskyddsförordningen.

[6] Skäl 26 i ingressen till dataskyddsförordningen.

[7] Artikel 24.1 i dataskyddsförordningen.

[8] Artikel 4.7 i dataskyddsförordningen.

[9] Jfr 3 § 4 punkten i personuppgiftslagen.

[10] Artikel 4.7 i dataskyddsförordningen.

[11] 1287/2013.

[12] 21 § i lagen om elev- och studerandevård.

[13] http://tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/6Jfpy6n8B/Kunnat_ja_henkilotietolaki.pdf (länken kommer att uppdateras).

[14] Artikel 32.4 i dataskyddsförordningen.

[15] Artikel 37.1 i dataskyddsförordningen.

[16] Artikel 37.6 i dataskyddsförordningen.

[17] Artikel 39.1 i dataskyddsförordningen.

[18] Yttrande 243 av arbetsgruppen (WP 29) som består av EU-medlemsländernas dataskyddsmyndigheter, Bilaga 1. Tillgänglig på nätet http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/Ut0FrVrqJ/Tietosuojavastaavia_koskeva_ohje_liite_wp243rev01_annex_fi.pdf (länken kommer att uppdateras).

[19] Artikel 37.5 i dataskyddsförordningen.

[20] Skäl 97 i ingressen till dataskyddsförordningen.

[21] Artikel 38.6 i dataskyddsförordningen.

[22] https://tietosuoja.fi/sv/dataskyddsombud.

[23] Yttrande 243 av arbetsgruppen (WP 29) som består av EU-medlemsländernas dataskyddsmyndigheter, Bilaga 1. Tillgänglig på nätet http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/Ut0FrVrqJ/Tietosuojavastaavia_koskeva_ohje_liite_wp243rev01_annex_fi.pdf (länken kommer att uppdateras).

[24] Artikel 24.1 i dataskyddsförordningen.

[25] Yttrande 243 av arbetsgruppen (WP 29) som består av EU-medlemsländernas dataskyddsmyndigheter, Bilaga 1. Tillgänglig på nätet http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/Ut0FrVrqJ/Tietosuojavastaavia_koskeva_ohje_liite_wp243rev01_annex_fi.pdf (länken kommer att uppdateras).