Elektroniska tjänster vid anordnandet av undervisning

Många läroanstalter har börjat använda olika elektroniska tjänster som stöd i undervisningen. Utbildningsanordnaren fattar beslut om vilken utrustning, vilka verktyg och vilka läromedel som används i undervisningen och avgör huruvida till exempel data- och kommunikationsteknik och digitala miljöer ska utnyttjas.[1]

När personuppgifter, inklusive pseudonymiserade personuppgifter, behandlas i samband med en elektronisk tjänst ska lagstiftningen om skyddet av personuppgifter alltid beaktas. I princip är det tillåtet att utnyttja data- och kommunikationsteknik i läroanstalternas verksamhet när det är fråga om elektroniska arbetsredskap som används i undervisningen.[2] Enbart en strävan efter digitalisering eller efter att underlätta fullgörandet av den personuppgiftsansvariges uppgifter berättigar inte behandling av personuppgifter.[3]

En tjänsteleverantör som behandlar personuppgifter för den personuppgiftsansvariges räkning kallas personuppgiftsbiträde.[4] Den personuppgiftsansvarige får endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i dataskyddsförordningen och tryggar den registrerades rättigheter.[5] Motsvarande krav finns redan i personuppgiftslagen.[6] Innan behandlingen av personuppgifter inleds ska tjänsteleverantören förse den personuppgiftsansvarige med lämpliga utredningar och andra garantier för att personuppgifterna skyddas.

När elektroniska tjänster införs ska man först bedöma huruvida tjänsten fullgör någon av läroanstaltens lagstadgade uppgifter. Även om den personuppgiftsansvarige anlitar en extern tjänsteleverantör för att producera de elektroniska tjänsterna sker behandlingen av personuppgifter fortsättningsvis för den personuppgiftsansvariges räkning. Den personuppgiftsansvarige får anlita personuppgiftsbiträden endast för att för sin räkning utföra sådana personuppgiftsrelaterade åtgärder som den personuppgiftsansvarige själv har rätt att utföra. Personuppgiftsbiträdet kan inte genom avtal ges mer omfattande rättigheter än den personuppgiftsansvarige har. Personuppgiftsbiträdet ska omedelbart meddela den personuppgiftsansvarige om biträdet anser att en instruktion strider mot dataskyddslagstiftningen.[7]

Personuppgifter som rör elever och studerande personuppgifter får endast behandlas i syfte att anordna undervisning eller utbildning. Ett personuppgiftsbiträde kan inte utnyttja ett avtal för sina egna externa intressen, till exempel för kommersiella ändamål, och får inte behandla personuppgifter i strid med den personuppgiftsansvariges instruktioner.[8]

Enligt dataskyddsförordningen får personuppgiftsbiträdet inte anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits, ska personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.[9] Tjänsteleverantören får med andra ord inte i fortsättningen lägga ut sina uppgifter i anslutning till behandlingen av personuppgifter på en annan tjänsteleverantör utan att informera den personuppgiftsansvarige.

När uppgifter behandlas av ett personuppgiftsbiträde ska enligt dataskyddsförordningen hanteringen alltid regleras genom ett avtal eller en annan rättsakt.[10] Personuppgiftsbiträdet ansvarar för att personuppgifterna behandlas enligt avtalet. Föremålet för behandlingen av personuppgifter, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade samt den personuppgiftsansvariges skyldigheter och rättigheter ska anges i avtalet. Avtalet ska dessutom innehålla vissa förpliktelser och skyldigheter för personuppgiftsbiträdet. I alla avtal om behandling av personuppgifter ska det uttryckligen föreskrivas att personuppgiftsbiträdet

  • endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, såvida inte något annat förutsätts i lagstiftningen,
  • säkerställer att personer som är anställda av personuppgiftsbiträdet och har behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller har lagstadgad tystnadsplikt,
  • ska vidta alla tekniska och organisatoriska åtgärder som krävs för att säkerställa en säker behandling,
  • ska respektera villkoren för anlitandet av ett annat personuppgiftsbiträde,
  • ska hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter,
  • ska bistå den personuppgiftsansvarige med att se till att skyldigheterna som gäller säkerhet i samband med behandlingen, anmälan av personuppgiftsincidenter samt konsekvensbedömning och förhandssamråd fullgörs,
  • beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänster har avslutats, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt lag,
  • ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att personuppgiftsbiträdets skyldigheter har fullgjorts samt möjliggöra och bidra till granskningar som genomförs av den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige.[11]

Om de gällande avtalen mellan utbildningsanordnaren och tjänsteleverantören inte kan lokaliseras eller endast har ingåtts muntligt ska detta korrigeras. Avtal som ingåtts tidigare behöver dock inte sägas upp utan kan uppdateras till exempel med hjälp av avtalsbilagor så att de överensstämmer med förordningen.

På grund av principen om uppgiftsminimering i all behandling av personuppgifter får läroanstalterna endast behandla sådana personuppgifter som behövs för att anordna undervisningen. Principen omfattar också elektroniska tjänster. Även om de digitala tjänsterna erbjuder allt mer omfattande och flexibla resurser för att anordna undervisningen ackumuleras i den elektroniska miljön också lätt fler uppgifter än tidigare om eleverna, de studerande och deras aktiviteter. Om målen för anordnandet av undervisningen tidigare har gått att uppnå på andra sätt ska den personuppgiftsansvarige vara beredd på att motivera varför det inte går att uppnå det önskade resultatet med mindre omfattande behandling eller kanske rentav helt utan behandling av personuppgifter.

Om en elev eller en studerande utövar sin rätt att kräva radering eller rättelse av personuppgifter eller begränsning av behandling ska den personuppgiftsansvarige underrätta varje personuppgiftsbiträde som behandlar personuppgifter för dennes räkning och till vilken personuppgifterna i fråga har lämnats ut. Dessutom ska den personuppgiftsansvarige på begäran informera eleven eller den studerande om sådana mottagare.[12]

 

[1] http://www.tietosuoja.fi/fi/index/ratkaisut/tietosuojavaltuutetunratkaisut/millaedellytyksillapilvipalveluitavoidaankayttaaopetuksenjarjestamisessa.html (länken kommer att uppdateras).

[2] http://www.tietosuoja.fi/fi/index/ratkaisut/tietosuojavaltuutetunratkaisut/millaedellytyksillapilvipalveluitavoidaankayttaaopetuksenjarjestamisessa.html (länken kommer att uppdateras).

[3] http://www.tietosuoja.fi/fi/index/ratkaisut/henkilotietojenkasittelyopiskelijoidenla.html (länken kommer att uppdateras).

[4] Artikel 4.8 i dataskyddsförordningen.

[5] Artikel 28.1 i dataskyddsförordningen.

[6] Jfr 32 § 2 mom. i personuppgiftslagen.

[7] Artikel 28.3 i dataskyddsförordningen.

[8] Artikel 29 i dataskyddsförordningen.

[9] Artikel 28.2 i dataskyddsförordningen.

[10] Artikel 28.3 i dataskyddsförordningen.

[11] Artikel 28.3 i dataskyddsförordningen.

[12] Artikel 19 i dataskyddsförordningen.