Planering av behandlingen av personuppgifter

 

Inbyggt dataskydd och dataskydd som standard

Enligt dataskyddsförordningen ska i all verksamhet som inbegriper behandling av personuppgifter säkerställas att dataskyddet tillämpas som standard och utgör en inbyggd del av behandlingen av personuppgifter. Det kan således inte enbart gälla sådana elever eller studerande som själva aktivt krävt utövandet av sina rättigheter eller vars föräldrar gjort det.

Med inbyggt dataskydd avses att den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, ska genomföra lämpliga tekniska och organisatoriska åtgärder vilka är utformade för ett effektivt genomförande av de dataskyddsprinciper som behandlas nedan – såsom uppgiftsminimering – och för integrering av skyddsåtgärderna i behandlingen.[1] Dataskyddet ska automatiskt beaktas i alla skeden av behandling av personuppgifter, och framför allt vid planeringen av behandlingen. Det ska i fortsättningen integreras som en fast del också vid utvecklingen och införandet av olika datasystem.

Dataskydd som standard innebär i sin tur att den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som behövs för varje specifikt ändamål behandlas. Skyldigheten gäller såväl mängden insamlade personuppgifter, tiden för deras lagring och deras tillgänglighet som behandlingens omfattning.[2] Dataskydd som standard kan i praktiken ta sig uttryck på olika sätt. Det innebär bland annat att om en åtgärd kunde vidtas utan behandling av personuppgifter, ska personuppgifter inte behandlas. Exempelvis ska i regel statistiska uppgifter användas vid planeringen av hur studieplatser besätts.[3]

Villkor för laglig behandling av personuppgifter

Enligt dataskyddsförordningen får personuppgifter endast behandlas om och i den mån som det finns en i lag särskilt föreskriven grund för behandling.[4] Det är fråga om en allmän laglighetsprincip som ska tillämpas vid all behandling av personuppgifter.[5] Utgångspunkten är densamma som i personuppgiftslagen.[6] Om ingen av grunderna för en laglig behandling av personuppgifter är tillämplig på den aktuella situationen kan personuppgifterna inte behandlas.

Den personuppgiftsansvarige bedömer själv vilket villkor för lagligheten av behandling av personuppgifter som tillämpas på behandlingen. Det villkor för laglighet som tillämpas ska identifieras och fastställas redan innan behandlingen av personuppgifter inleds. De grunder för behandling som är tillgängliga beror i hög grad på om den personuppgiftsansvarige är en myndighet eller inte. Valet av villkoret för lagligheten utgör en viktig del av planeringen av behandlingen av personuppgifter, eftersom det inte kan ändras i efterhand.

Läroanstalternas behandling av personuppgifter i samband med anordnandet av utbildning har tidigare baserat sig på elevens eller den studerandes sakliga anknytning till läroanstalten.[7] Läroanstalterna har med stöd av personuppgiftslagen kunnat behandla personuppgifter direkt på grundval av sakförhållandet mellan anstalten och eleven eller den studerande. I fortsättningen måste emellertid lagligheten av läroanstalternas behandling av personuppgifter motiveras med någon annan grund, eftersom dataskyddsförordningen inte innehåller krav på anknytning med motsvarande innehåll.

Dataskyddsförordningen innehåller sex rättsliga grunder för behandling av personuppgifter. Enligt förordningen får personuppgifter behandlas med den registrerades samtycke, för att fullgöra ett avtal eller för att vidta åtgärder innan ett avtal ingås, för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, för att skydda intressen som är av grundläggande betydelse för en fysisk person, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning samt för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen.[8] Av dessa kommer ändamål som rör berättigade intressen inte i fråga som rättslig grund för behandling av personuppgifter när den personuppgiftsansvarige är en myndighet.[9]

Samtycke kan i princip inte utgöra en giltig rättslig grund för behandling av personuppgifter när det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Detta gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.[10] Samtycke kan inte heller betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.[11] Elever eller studerande har sällan faktisk möjlighet att välja om läroanstalten behandlar deras personuppgifter eller inte. Därför kan samtycke av en elev, elevens vårdnadshavare eller en studerande i allmänhet inte användas som villkor för laglig behandling av personuppgifter i läroanstaltens verksamhet.

Den registrerades samtycke som rättsligt villkor för behandling av personuppgifter kan i undantagsfall komma i fråga när eleven eller den studerande erbjuds någon form av tilläggstjänster för fritidsbruk. Då ska användningen av tjänsten de facto omfattas av elevens eller den studerandes självbestämmanderätt.[12] Tillstånd ska inte i onödan begäras för behandling av personuppgifter som görs för att fullgöra utbildningsanordnarens lagstadgade uppgifter.

I medlemsstaternas nationella lagstiftning får det ingå bestämmelser om den rättsliga grunden för behandling av personuppgifter i sådana situationer där behandlingen av personuppgifter behövs för att fullgöra den personuppgiftsansvariges rättsliga förpliktelse eller behandlingen behövs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Eftersom den nationella dataskyddslagen ännu inte har antagits är det inte ändamålsenligt att mer ingående behandla de ur läroanstalternas synvinkel mest relevanta villkoren för laglighet (uppdaterad 23.5.2018). Avsnittet kompletteras när den nationella dataskyddslagen har antagits.

Läroanstalterna kan behandla personuppgifter för anordnande av undervisning eller utbildning

Utbildningsanordnaren eller annan upprätthållare av läroanstalten som fungerar som personuppgiftsansvarig bedömer självständigt vilka uppgifter den kan begära om eleverna, de studerande eller deras familjer vid utförandet av sina uppgifter enligt lagen om undervisningsväsendet. För efterlevnaden av dataskyddsförordningens princip om korrekthet ska personuppgifterna ha skaffats på ett korrekt sätt och insamlingen av uppgifterna sakligt kunna motiveras.[13]

Före behandlingen ska ett ändamål fastställas för personuppgifterna och de får inte behandlas på ett sätt som strider mot detta. Principen kallas för ändamålsbegränsning och den är bekant redan från personuppgiftslagen.[14] Med ändamålsbegränsning avses enligt dataskyddsförordningen att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.[15] I läroanstalternas verksamhet är ändamålet med behandlingen av personuppgifter att anordna undervisning eller utbildning.

Det ändamål som fastställts för personuppgifterna ställer med hänsyn till principen om uppgiftsminimering gränser för den tillåtna dimensionen av behandling av personuppgifter. Enligt dataskyddsförordningen avses med uppgiftsminimering att de personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.[16] Motsvarande princip ingår också i personuppgiftslagen.[17] Behovet av de personuppgifter som läroanstalterna behandlar ska bedömas mot bakgrunden av anordnandet av undervisning eller utbildning. Det innebär att personuppgifter inte ska behandlas i större omfattning än vad som behövs eller är nödvändigt för att anordna utbildningen eller undervisningen.

I princip kan personuppgifter enligt dataskyddsförordningen anses behövliga endast i det fallet att ändamålet med behandlingen inte rimligen kan uppnås genom andra medel.[18] Om det är möjligt att uppnå det eftersträvade resultatet med mindre behandling av personuppgifter eller helt utan behandling överskrids inte behovströskeln. Enbart underlättandet av utbildningsanordnarens uppgifter berättigar inte till att avvika från principen om uppgiftsminimering.[19]

Behandling av känsliga personuppgifter och personbeteckning

Enligt dataskyddsförordningen ska behandling av sådana personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, eller uppgifter om individens hälsa, sexualliv eller sexuella läggning vara förbjuden. Detsamma gäller behandling av genetiska eller biometriska uppgifter för att entydigt identifiera en person.[20] Sådana uppgifter som i personuppgiftslagen benämndes känsliga personuppgifter[21], benämns i dataskyddsförordningen särskilda kategorier av personuppgifter. Avvikande från tidigare omfattar förbudet mot behandling inte längre uppgifter som gäller en persons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som personen erhållit. Dataskyddsförordningen inverkar inte på offentligheten eller konfidentialiteten avseende material som läroanstalterna har i sin besittning, vilket innebär att exempelvis uppgifter om en klientrelation i socialvården också i fortsättningen är sekretessbelagda.[22]

Behandling av särskilda kategorier av personuppgifter är emellertid inte förbjuden när det föreligger ett särskilt villkor för laglighet. Enligt dataskyddsförordningen kan undantag göras från förbudet mot behandling exempelvis med den registrerades uttryckliga samtycke eller när behandlingen är behövlig med hänsyn till ett viktigt allmänt intresse med stöd av lagstiftning. Förbudet mot behandling gäller heller inte sådana personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.[23] Läroanstalterna kan ha behov av att behandla särskilda kategorier av personuppgifter exempelvis för att anordna reli­gionsundervisning, särskilt stöd eller skolbespisning.

Dataskyddsförordningen ger möjlighet att avvika från förbudet mot behandling av särskilda kategorier av personuppgifter med stöd av medlemsstatens lagstiftning, om behandlingen är behövlig med hänsyn till ett viktigt allmänt intresse.[24] Den nationella dataskyddslagen kan med stöd av detta handlingsutrymme innehålla föreskrifter om undantag från förbudet mot behandling. Avsnittet uppdateras när dataskyddslagen har antagits.

Öppenhet som en del av insamlingen och behandlingen av personuppgifter

Dataskyddsförordningen betonar betydelsen av transparens och öppenhet vid behandlingen av personuppgifter och framhäver öppenheten som en specifik princip som ska iakttas vid all behandling av personuppgifter.[25] För efterlevnaden av öppenhetsprincipen ska personuppgifter behandlas på ett öppet sätt i förhållande till den registrerade.[26] Personuppgifter kan således inte samlas in eller användas utan att den registrerade har fått tillräcklig information om behandlingen av sina personuppgifter.

För eleverna eller de studerande ska det vara klart och tydligt hur personuppgifter som rör dem insamlas, används och lagras. Dessutom ska de öppet informeras om i vilken utsträckning personuppgifter behandlas eller kommer att behandlas.[27] Informationen om behandlingen av personuppgifter samt övrig kommunikation som rör behandling av personuppgifter ska vara kortfattad, lättbegriplig samt utformad på ett tydligt och enkelt språk. Informationen ska vara lättåtkomlig och vid behov ska visualisering användas. När de personuppgifter som behandlas rör ett barn ska all information och kommunikation utformas på ett tydligt och enkelt språk som barnet lätt kan förstå.[28] I praktiken innebär det att man vid planeringen av uppfyllandet av informationsskyldigheten alltid måste beakta särdragen hos olika målgrupper.

Öppenhetsprincipen är av betydelse redan vid insamlingen av personuppgifter. Den personuppgiftsansvarige är skyldig att tillhandahålla eleven eller den studerande information om behandlingen av personuppgifter utan att personen behöver be om den separat.[29] Informationen ska tillhandahållas redan när behandlingen av personuppgifter är avsedd att börja. Rätt tillfälle att tillhandahålla informationen kan sålunda vara exempelvis när man begär elevens adressuppgifter i början av läsåret eller i samband med den första inloggningen i en elektronisk inlärningsmiljö. Att enbart ställa informationen till förfogande i efterskott exempelvis i form av en registerbeskrivning räcker inte, utan informationen ska uttryckligen ges till den registrerade. Sådan informationsförmedling kan kallas dataskyddsmeddelande.

Avvikande från personuppgiftslagen finns det i dataskyddsförordningen inte längre bestämmelser om formbundna registerbeskrivningar, utan den personuppgiftsansvarige ska själv planera hur informationsskyldigheten uppfylls.[30] I stället för en registerbeskrivning ska den personuppgiftsansvarige föra ett register över den behandling som utförts under dess ansvar. Registret över behandling har emellertid inte i egentlig mening något samband med öppenheten i behandlingen av personuppgifter eller tillhandahållandet av information till de registrerade. Därför behandlas upprättandet av register över behandling i ett eget avsnitt.

När personuppgifter erhålls ska till den registrerade lämnas åtminstone följande information[31]: namn och kontaktuppgifter för den personuppgiftsansvarige, kontaktuppgifter för dataskyddsombudet, ändamålen med den behandling för vilken personuppgifterna är avsedda, den rättsliga grunden för behandlingen samt de mottagare som ska ta del av personuppgifterna.[32] I princip ska de registrerade också göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på sådan behandling.[33] Om det krävs för att garantera en rättvis och öppen behandling, ska till den registrerade också tillhandahållas information om den period under vilken personuppgifterna kommer att lagras eller de kriterier som används för att fastställa denna period, information om den registrerades rättigheter, rätten att lämna in klagomål till en tillsynsmyndighet samt information om eventuell profilering och dess förekomst.[34]

De ändamål som personuppgifterna behandlas för och de medel med vilka behandlingen utförs ska vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in.[35] Ändamålet får inte uttryckas vagt eller mångtydigt, utan det ska fastställas så exakt att personuppgifter inte kan behandlas på ett ur den registrerades synvinkel oförutsägbart sätt.[36] I läroanstalterna är ändamålet med behandlingen av personuppgifter anordnande av undervisning eller utbildning. För att en elev eller studerande ska kunna bedöma vilka effekter behandlingen av personuppgifter kan ha för hans eller hennes ställning finns det skäl att precisera ändamålet med anordnandet av undervisningen eller utbildningen i det dataskyddsmeddelande som skickas till den registrerade och i annan information. Ur öppenhetsperspektivet kunde ändamål som fastställts med tillräcklig noggrannhet vara exempelvis ”anordnande av studentskrivningar”, ”uppföljning av frånvaro” eller ”genomförande av självvärdering enligt studieplanen”.

Lagring av personuppgifter och kvalitetskontroll

Elever och studerande har rätt att bli bedömda på grundval av uppgifter som är korrekta och lämpliga för ändamålet. I dataskyddsförordningens tidsålder ska principen om korrekthet iakttas i all behandling av personuppgifter.[37] Den innebär att personuppgifterna ska vara korrekta och vid behov också uppdaterade. Den personuppgiftsansvarige måste dessutom vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.[38] Detsamma gäller också ofullständiga personuppgifter.

Personuppgifter får inte heller lagras längre än nödvändigt. Enligt dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som behövs för de ändamål för vilka personuppgifterna behandlas.[39] Detta kallas principen om lagringsminimering.

För att principerna om korrekthet och lagringsminimering för personuppgifter ska kunna iakttas förutsätts i praktiken att den personuppgiftsansvarige inför tidsfrister för radering eller regelbunden kontroll av personuppgifter.[40] Utan sådana åtgärder är det svårt för den personuppgiftsansvarige att säkerställa och visa att personuppgifterna inte lagras längre än vad som behövs.

Hur länge personuppgifter behöver lagras beror i princip på ändamålet för behandlingen och när det upphör. I vissa fall är emellertid lagringstiderna fastställda i lag eller bestäms med stöd av en förordning eller ett bindande beslut av en myndighet. När tidsfristen löpt ut ska personuppgifterna raderas, om det inte finns några andra berättigade skäl för att fortsätta lagra uppgifterna.

När personuppgifterna inte längre behövs för det ursprungliga ändamålet ska de förstöras, arkiveras eller anonymiseras. Med arkivering avses i detta sammanhang[41] ett förfarande enligt arkivlagen, och inte till exempel att handlingarna flyttas till ett förrådsrum. Om man av någon orsak inte vill förstöra personuppgifterna, även om det inte längre finns någon grund för att lagra dem, kan de modifieras så att de inte längre går att förknippa med någon enskild person. Detta kallas anonymisering. Personuppgifter ska anonymiseras oåterkalleligt så att en elev eller en studerande inte ens kan identifiera sig själv i materialet.[42]

Säkerhet i samband med behandlingen

En av principerna i dataskyddsförordningen är principen om integritet och konfidentialitet, som förutsätter att personuppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet. Med säkerhet avses att personuppgifterna med användning av lämpliga tekniska och organisatoriska åtgärder ska skyddas mot obehörig och otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse.[43] Även personuppgiftslagen har förutsatt motsvarande åtgärder.[44]

För att upprätthålla säkerheten för personuppgifterna och förhindra otillåten behandling ska den personuppgiftsansvarige utvärdera behandlingen utifrån datasäkerhetsriskerna. Säkerhetsnivån ska vara lämplig i förhållande till de risker som behandlingen av personuppgifter kan innebära för fysiska personers rättigheter och friheter.[45] Riskernas allvar och sannolikhetsgrad ska beaktas. I riskbedömningen ska man också ta hänsyn till fysiska, materiella eller immateriella skador som missbruk av personuppgifterna kan medföra.[46]

Vid bedömningen av de tekniska och organisatoriska åtgärder som behövs för att uppnå en lämplig säkerhetsnivå ska man beakta den senaste tekniska utvecklingen och genomförandekostnaderna samt behandlingens art, omfattning, sammanhang och ändamål. I detta sammanhang gäller det emellertid att komma ihåg proportionalitetsprincipen: åtgärderna ska ställas i förhållande till riskerna med behandlingen av uppgifter och typen av personuppgifter som ska skyddas.[47] Särskild uppmärksamhet ska fästas vid skyddet av personuppgifter som hör till särskilda kategorier eller som är konfidentiella.

Den personuppgiftsansvarige ska särskilt säkerställa att personer som arbetar under dennes överinseende och får tillgång till personuppgifter, till exempel lärare, endast behandlar uppgifterna på instruktion från den personuppgiftsansvarige.[48] Datasäkerhetskraven ska också beaktas när personuppgifter eller datasystem som innehåller personuppgifter förstörs.

I motsats till vad som tidigare varit fallet anges i dataskyddsförordningen en rad åtgärder som den personuppgiftsansvarige kan vidta för att begränsa riskerna. Enligt förordningen kan åtgärderna inbegripa

  • pseudonymisering och kryptering av personuppgifter,
  • att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,
  • förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
  • ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.[49]

Den personuppgiftsansvarige ska utifrån riskerna i anslutning till behandlingen bedöma en lämplig säkerhetsnivå och de åtgärder som behövs för att garantera säkerheten. Listan är riktgivande och de åtgärder som ingår i den är inte nödvändigtvis behövliga eller tillräckliga i alla situationer.

Personuppgifternas konfidentialitet innebär bland annat att de ska skyddas från utomstående till exempel genom förvaltning av användarrättigheter. Som utomstående betraktas också läroanstaltens andra elever och studerande samt sådan personal som inte behöver uppgifterna i sina arbetsuppgifter vid läroanstalten. Läroanstaltens personal får endast behandla personuppgifter i den utsträckning som deras arbetsuppgifter förutsätter. Behovet av att behandla personuppgifter ska bedömas separat för varje anställd när användarrättigheter till datasystem beviljas.[50] Gemensamma användarnamn ska därför undvikas.

Ansvarsskyldighet

Personuppgifter får behandlas endast om man kontinuerligt iakttar alla ovannämnda principer som dataskyddsförordningen anger för behandling av personuppgifter (laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering samt integritet och konfidentialitet). Den personuppgiftsansvarige ansvarar för att principerna efterlevs.

Den personuppgiftsansvarige ska förutom att ansvara för efterlevnaden också kunna visa att principerna verkligen följs.[51] Den personuppgiftsansvarige ska vidta alla lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i överensstämmelse med dataskyddsförordningen.[52] Dessutom ska den personuppgiftsansvariga kunna visa att åtgärderna varit tillräckligt effektiva.[53] Ansvarsskyldigheten är ny och innebär en betydande förändring jämfört med det tidigare rättsläget.[54]

För att kunna bedöma och motivera att behandlingen av personuppgifter och skyddsåtgärderna är proportionerliga måste den personuppgiftsansvarige ha en klar bild av vilka personuppgifter den förfogar över och varför. Med tanke på den behandling av personuppgifter som sker vid läroanstalterna gäller det att fästa särskild vikt vid att den personuppgiftsansvarige kan visa att det finns en laglig grund för behandlingen. Samtidigt finns det skäl att vara beredd på att motivera varför en viss uppgift måste behandlas för att undervisningen eller utbildningen ska kunna anordnas. Också de risker som är förknippade med behandlingen ska kartläggas, bedömas och fastställas. Sådana omständigheter ska beskrivas öppet och transparent.

Register över behandling

Enligt dataskyddsförordningen ska varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare föra ett register över behandling som utförts under dess ansvar.[55] En viktig del av den personuppgiftsansvariges ansvarsskyldighet är att föra ett register över behandlingen, eftersom den personuppgiftsansvarige med hjälp av sin dokumentation kan visa att behandlingen har skett i enlighet med dataskyddsförordningen.[56] Registret ska upprättas skriftligen eller i elektronisk form och på begäran göras tillgängligt för tillsynsmyndigheten. [57]

Enligt personuppgiftslagen skulle den registeransvarige göra upp en registerbeskrivning.[58] Innehållet i det register över behandling som avses i dataskyddsförordningen motsvarar till stor del registerbeskrivningen. Registret över behandling är emellertid mer övergripande än registerbeskrivningen, eftersom avsikten är att beskriva behandlingen av personuppgifter som helhet ur den personuppgiftsansvariges perspektiv. Registret och beskrivningen har också delvis olika ändamål. Då registerbeskrivningen i regel skulle hållas tillgänglig för alla behöver inte registret över behandling finnas allmänt tillgängligt.

En läroanstalt ska föra ett register över behandling oavsett om den själv är personuppgiftsansvarig eller endast företräder den personuppgiftsansvarige. Registret ska alltid innehålla följande uppgifter:

  • namn och kontaktuppgifter för den personuppgiftsansvarige, den personuppgiftsansvariges företrädare samt deras dataskyddsombud,
  • ändamålen med behandlingen,
  • en beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter,
  • de kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut,
  • överföringar av personuppgifter till ett tredjeland eller en internationell organisation,
  • om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter samt
  • om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som vidtagits för att säkerställa en säker behandling.[59]

I detta sammanhang finns det skäl att betona att separata bestämmelser utfärdats om informationen till de registrerade. Skyldigheten att föra ett register över behandlingen är inte förknippad med uppfyllandet av principen om öppenhet eller fullgörandet av informationsskyldigheten enligt dataskyddsförordningen.

Enligt dataskyddsförordningen kan man avvika från skyldigheten att föra ett register över behandlingen om den personuppgiftsansvarige är ett företag eller en organisation med färre än 250 anställda. Då förutsätts emellertid att behandlingen av personuppgifter är tillfällig.[60] Eftersom behandlingen av elevers eller studerandes personuppgifter är nödvändig och regelbunden också vid läroanstalter som ägs av företag eller organisationer kan skyldigheten anses gälla även dem.

 

[1] Artikel 25.1 i dataskyddsförordningen.

[2] Artikel 25.2 i dataskyddsförordningen.

[3] http://tietosuoja.fi/fi/index/ratkaisut/koulupsykologienkouluvalmiusasiakkuuksie.html (länken kommer att uppdateras).

[4] Artikel 6.1 i dataskyddsförordningen.

[5] Artikel 5.1 a i dataskyddsförordningen.

[6] Jfr 8 § i personuppgiftslagen.

[7] 8 § 1 punkten underpunkt 5 i personuppgiftslagen.

[8] Artikel 6.1 i dataskyddsförordningen.

[9] Artikel 6.1 i dataskyddsförordningen.

[10] Skäl 43 i ingressen till dataskyddsförordningen.

[11] Skäl 42 i ingressen till dataskyddsförordningen.

[12] http://tietosuoja.fi/fi/index/ratkaisut/tietosuojavaltuutetunratkaisut/millaedellytyksillapilvipalveluitavoidaankayttaaopetuksenjarjestamisessa.html (länken kommer att uppdateras).

[13] Artikel 5.1 a i dataskyddsförordningen.

[14] Jfr 7 § i personuppgiftslagen.

[15] Artikel 5.1 b i dataskyddsförordningen. Ett undantag utgör behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

[16] Artikel 5.1 c i dataskyddsförordningen.

[17] Jfr 9 § i personuppgiftslagen.

[18] Skäl 39 i ingressen till dataskyddsförordningen.

[19] http://www.tietosuoja.fi/fi/index/ratkaisut/henkilotietojenkasittelyopiskelijoidenla.html (länken kommer att uppdateras).

[20] Artikel 9.1 i dataskyddsförordningen.

[21] Jfr 11 § i personuppgiftslagen.

[22] 24 § 1 mom. 25 punkten i lagen om offentlighet i myndigheternas verksamhet (621/1999).

[23] Artikel 9.2 i dataskyddsförordningen.

[24] Artikel 9.2 g i dataskyddsförordningen.

[25] Jfr t.ex. 24 § i personuppgiftslagen.

[26] Artikel 5.1 a i dataskyddsförordningen.

[27] Skäl 39 i ingressen till dataskyddsförordningen.

[28] Skäl 58 i ingressen till dataskyddsförordningen.

[29] Artikel 13 och 14 i dataskyddsförordningen.

[30] Jfr 10 § i personuppgiftslagen.

[31] Se uttömmande förteckning i bilaga 1.

[32] Artikel 13 och 14 i dataskyddsförordningen.

[33] Skäl 39 i ingressen till dataskyddsförordningen.

[34] Artikel 13 och 14 i dataskyddsförordningen.

[35] Skäl 39 i ingressen till dataskyddsförordningen.

[36] Yttrande 203 av arbetsgruppen (WP 29) som består av EU-medlemsländernas dataskyddsmyndigheter, s. 11 och 15–16.

[37] Jfr 9 § i personuppgiftslagen.

[38] Artikel 5.1 d i dataskyddsförordningen.

[39] Artikel 5.1 e i dataskyddsförordningen.

[40] Skäl 39 i ingressen till dataskyddsförordningen.

[41] 831/1994.

[42] http://tietosuoja.fi/fi/index/ajankohtaista/tiedotteet/2017/03/avoimentieteenvaatimukseteivatsaavaarantaahenkilotietojensuojaa.html (länken kommer att uppdateras).

[43] Artikel 5.1 f i dataskyddsförordningen.

[44] Jfr 32 § i personuppgiftslagen.

[45] Artikel 32.1 och 32.2 i dataskyddsförordningen.

[46] Skäl 83 i ingressen till dataskyddsförordningen.

[47] Skäl 83 och artikel 32.1 och 32.2 i dataskyddsförordningen.

[48] Artikel 32.4 i dataskyddsförordningen.

[49] Artikel 32.1 i dataskyddsförordningen.

[50] http://www.tietosuoja.fi/fi/index/ratkaisut/kayttooikeuksienmyontaminenlukionhenkilo.html (länken kommer att uppdateras).

[51] Artikel 5.2 i dataskyddsförordningen.

[52] Artikel 24.1 i dataskyddsförordningen.

[53] Skäl 74 i ingressen till dataskyddsförordningen.

[54] Jfr artikel 6.2 i personuppgiftsdirektivet.

[55] Artikel 30.1 i dataskyddsförordningen.

[56] Skäl 82 i ingressen till dataskyddsförordningen.

[57] Artikel 30.3 och 30.4 i dataskyddsförordningen.

[58] Jfr 10 § i personuppgiftslagen.

[59] Artikel 30.1 i dataskyddsförordningen.

[60] Artikel 30.2 i dataskyddsförordningen.