Dataskydd

Biträdande dataombudsmannens beslut inom sektorn för fostran och utbildning

Biträdande dataombudsmannen gav i början av 2023 två beslut gällande undervisning och småbarnspedagogik. Det första gäller skyldigheten för en anordnare av grundläggande utbildning att begränsa elevuppgifternas synlighet. Beslutet visar tydligt att utbildningsanordnaren inte kan motivera lagligheten i behandlingen av elevernas personuppgifter med informationssystemets egenskaper.

I det senare avgörandet var det fråga om skyldigheten för en anordnare av småbarnspedagogik att på ett begripligt och tydligt sätt informera kunderna om syftet med och grunden för behandlingen av personuppgifter – ärendet gällde informationen om att det var frivilligt att svara på en enkät. Samtidigt visar beslutet att anordnaren av småbarnspedagogik också ska kunna påvisa att kraven i dataskyddsförordningen har iakttagits i anordnarens verksamhet.

Anordnaren av grundläggande utbildning följde inte dataskyddsförordningen i sitt e-postsystem

Biträdande dataombudsmannens beslut 21.3.2023 (5618/163/20) – Anordnaren av grundläggande utbildning följde inte dataskyddsförordningen när personuppgifterna om eleverna i adressboken i det e-postsystem som anordnaren använde syntes i alla stadens grundskolor och gymnasier. (Finlex, på finska)

Ärendet handlade om att elevernas personuppgifter, som fanns i adressboken i det e-postsystem som en anordnare av grundläggande utbildning (den personuppgiftsansvarige) använde, syntes för andra användare av samma e-postsystem. I adressboken fanns elevens namn, e-postadress, skola, skolans adress och elevens klass. Elevuppgifterna i adressboken syntes förutom i den egna skolan också för eleverna, studerandena och arbetstagarna i alla andra grundskolor och gymnasier i kommunen. Den personuppgiftsansvarige kunde inte påvisa att det för ordnandet av den grundläggande utbildningen varit ändamålsenligt och nödvändigt att elevuppgifterna varit synliga i en så här omfattande utsträckning. 

Biträdande dataombudsmannen ansåg att den personuppgiftsansvarige vid behandlingen av elevernas personuppgifter inte hade iakttagit kraven på laglighet, korrekthet och uppgiftsminimering samt konfidentialitet i artikel 5 i dataskyddsförordningen. Därför gavs den personuppgiftsansvarige en anmärkning och ett åläggande att begränsa elevuppgifternas synlighet. Den personuppgiftsansvarige förutsattes säkerställa att elevuppgifterna inte längre behandlas så att de syns utanför elevens egen skola, om det inte finns grunder för större synlighet som anknyter till ordnandet av undervisningen. Även inom den egna skolan ska elevuppgifternas synlighet vara nödvändig och motiverad med tanke på ordnandet av den grundläggande utbildningen.  

Biträdande dataombudsmannens beslut visar att en anordnare av grundläggande utbildning vid ordnandet av undervisningen ska använda ett sådant e-postsystem och andra datatekniska lösningar som lämpar sig för verksamhetens art och som gör det möjligt att iaktta dataskyddslagstiftningen vid behandlingen av elevernas personuppgifter. Den personuppgiftsansvarige kan inte motivera lagligheten i behandlingen av elevernas personuppgifter utifrån informationssystemens egenskaper.

Anordnaren av småbarnspedagogik skötte inte sin informationsskyldighet

Biträdande dataombudsmannens beslut 18.1.2023 (3116/163/20) – Anordnaren av småbarnspedagogik hade inte informerat kunderna på det sätt som dataskyddsförordningen förutsätter om syftet med och den rättsliga grunden för behandlingen av personuppgifter, i detta fall om att det var frivilligt att svara på en enkät. (Finlex, på finska)

När coronapandemin började hade anordnaren av småbarnspedagogik (den personuppgiftsansvarige) sänt kunderna en enkät och ett meddelande om ordnandet av barnets vård hemma.

Utifrån det material som lämnats in till dataombudsmannens byrå kan det i ärendet ha blivit oklart vilket syftet med behandlingen av personuppgifter var, samt under vilka förutsättningar barnet kunde fortsätta att delta i småbarnspedagogiken. I enkäten eller det medföljande meddelandet har man inte på ett transparent sätt informerat om att personuppgifterna behandlas för att kartlägga hur många barn som behöver dagvård. Enligt den personuppgiftsansvarige behövdes frånvarouppgifterna för behandlingen av gottgörelser.

I det meddelande som skickades med enkäten hade kunderna getts anvisningar om att om möjligt ordna vården av sina barn hemma. I meddelandet angavs dock inte uttryckligen vilken betydelse svaret hade, det vill säga om barndagvården kan förvägras på basis av svaren. Utifrån det material som lämnats in till dataombudsmannens byrå var det inte klart om syftet med behandlingen av personuppgifterna i enkäten varit att utreda ordnandet av barnets vård hemma, behandlingen av gottgörelser eller båda.

I enkätformuläret som lämnats in till dataombudsmannens byrå sägs det att behandlingen av de personuppgifter som begärs i enkäten grundar sig på samtycke, vilket personen ger genom att besvara enkäten. Enligt den personuppgiftsansvariges svar har grunden för behandlingen av personuppgifterna varit en lagstadgad skyldighet som inte har preciserats i utredningen. Enligt den personuppgiftsansvariges svar har det varit frivilligt att besvara enkäten, men samtidigt konstaterar den personuppgiftsansvarige att det har varit nödvändigt för anordnaren av småbarnspedagogiken att få uppgifterna.

Enligt den som kontaktat dataombudsmannens byrå skulle det på daghemmet ha sagts att enkäten måste skickas tillbaka till dagvården.

För kundfamiljer inom småbarnspedagogiken kan frivilligheten i enkäten ha varit oklar

Biträdande dataombudsmannen ansåg att det i den rådande situationen kan ha varit svårt för kunden att bedöma om han eller hon kan låta bli att besvara enkäten trots att mottagaren har informerats om att svaret är frivilligt. Det kan ha varit oklart för kunderna inom småbarnspedagogiken huruvida behandlingen av personuppgifterna baserades på samtycke eller på en lagstadgad skyldighet.

Biträdande dataombudsmannen ansåg att informationen om syftet med och den rättsliga grunden för behandlingen av personuppgifterna inte hade getts på ett tillräckligt transparent sätt i enlighet med dataskyddsförordningen. Den personuppgiftsansvarige fick därför en anmärkning i ärendet.

Biträdande dataombudsmannens beslut visar att en anordnare av småbarnspedagogik är skyldig att se till att kunderna informeras om behandlingen av personuppgifter på ett lättbegripligt och tydligt sätt. Beslutet beskriver också väl den personuppgiftsansvariges skyldighet att kunna påvisa att kraven i dataskyddsförordningen har uppfyllts.

 

Läs mer

Biträdande dataombudsmannens beslut

På Kommunförbundets webbplats

Kommunförbundets sakkunniga som kan ge mer information

Läs mer om dessa teman

Mallar för anvisningar om sökande av ändring inom småbarnspedagogik, undervisning och utbildning

Bestämmelserna om sökande av ändring i speciallagstiftningen är överordnade det ändringssökande som föreskrivs i kommunallagen. Läs mer

Ett nätverk för dig som jobbar med språk och översättning i kommunsektorn

Kommunförbundet samordnar ett nätverk för översättare i kommunsektorn. Nätverket har också ett diskussions- och mötesforum på Teams.

Kaffe med Uffe

En gång per månad bjuder Ulf Stenman, direktör för Kommunförbundet svenska verksamhet på ett virtuellt, aktuellt och spirituellt morgonkaffe på Teams.  
Läs mera: Kaffe med Uffe

Digifika - nätverk för digitalisering

Kommunförbundet arrangerar korta sessioner med presentationer och diskussioner om digitalisering på svenska i nätverket för Digifika.

Mer info om nätverket för digifika.