Vi betjänar kommunernas personal och förtroendevalda i frågor som gäller deras uppgifter. Om du behöver rådgivning rekommenderar vi att du i första hand skickar din förfrågan via formuläret i vår rådgivningstjänst.
12.6.2023
Dataskydd
Biträdande dataombudsmannens beslut inom sektorn för fostran och utbildning
Biträdande dataombudsmannen gav i början av 2023 två beslut gällande undervisning och småbarnspedagogik. Det första gäller skyldigheten för en anordnare av grundläggande utbildning att begränsa elevuppgifternas synlighet. Beslutet visar tydligt att utbildningsanordnaren inte kan motivera lagligheten i behandlingen av elevernas personuppgifter med informationssystemets egenskaper.
I det senare avgörandet var det fråga om skyldigheten för en anordnare av småbarnspedagogik att på ett begripligt och tydligt sätt informera kunderna om syftet med och grunden för behandlingen av personuppgifter – ärendet gällde informationen om att det var frivilligt att svara på en enkät. Samtidigt visar beslutet att anordnaren av småbarnspedagogik också ska kunna påvisa att kraven i dataskyddsförordningen har iakttagits i anordnarens verksamhet.
Anordnaren av grundläggande utbildning följde inte dataskyddsförordningen i sitt e-postsystem
Ärendet handlade om att elevernas personuppgifter, som fanns i adressboken i det e-postsystem som en anordnare av grundläggande utbildning (den personuppgiftsansvarige) använde, syntes för andra användare av samma e-postsystem. I adressboken fanns elevens namn, e-postadress, skola, skolans adress och elevens klass. Elevuppgifterna i adressboken syntes förutom i den egna skolan också för eleverna, studerandena och arbetstagarna i alla andra grundskolor och gymnasier i kommunen. Den personuppgiftsansvarige kunde inte påvisa att det för ordnandet av den grundläggande utbildningen varit ändamålsenligt och nödvändigt att elevuppgifterna varit synliga i en så här omfattande utsträckning.
Biträdande dataombudsmannen ansåg att den personuppgiftsansvarige vid behandlingen av elevernas personuppgifter inte hade iakttagit kraven på laglighet, korrekthet och uppgiftsminimering samt konfidentialitet i artikel 5 i dataskyddsförordningen. Därför gavs den personuppgiftsansvarige en anmärkning och ett åläggande att begränsa elevuppgifternas synlighet. Den personuppgiftsansvarige förutsattes säkerställa att elevuppgifterna inte längre behandlas så att de syns utanför elevens egen skola, om det inte finns grunder för större synlighet som anknyter till ordnandet av undervisningen. Även inom den egna skolan ska elevuppgifternas synlighet vara nödvändig och motiverad med tanke på ordnandet av den grundläggande utbildningen.
Biträdande dataombudsmannens beslut visar att en anordnare av grundläggande utbildning vid ordnandet av undervisningen ska använda ett sådant e-postsystem och andra datatekniska lösningar som lämpar sig för verksamhetens art och som gör det möjligt att iaktta dataskyddslagstiftningen vid behandlingen av elevernas personuppgifter. Den personuppgiftsansvarige kan inte motivera lagligheten i behandlingen av elevernas personuppgifter utifrån informationssystemens egenskaper.
Anordnaren av småbarnspedagogik skötte inte sin informationsskyldighet
När coronapandemin började hade anordnaren av småbarnspedagogik (den personuppgiftsansvarige) sänt kunderna en enkät och ett meddelande om ordnandet av barnets vård hemma.
Utifrån det material som lämnats in till dataombudsmannens byrå kan det i ärendet ha blivit oklart vilket syftet med behandlingen av personuppgifter var, samt under vilka förutsättningar barnet kunde fortsätta att delta i småbarnspedagogiken. I enkäten eller det medföljande meddelandet har man inte på ett transparent sätt informerat om att personuppgifterna behandlas för att kartlägga hur många barn som behöver dagvård. Enligt den personuppgiftsansvarige behövdes frånvarouppgifterna för behandlingen av gottgörelser.
I det meddelande som skickades med enkäten hade kunderna getts anvisningar om att om möjligt ordna vården av sina barn hemma. I meddelandet angavs dock inte uttryckligen vilken betydelse svaret hade, det vill säga om barndagvården kan förvägras på basis av svaren. Utifrån det material som lämnats in till dataombudsmannens byrå var det inte klart om syftet med behandlingen av personuppgifterna i enkäten varit att utreda ordnandet av barnets vård hemma, behandlingen av gottgörelser eller båda.
I enkätformuläret som lämnats in till dataombudsmannens byrå sägs det att behandlingen av de personuppgifter som begärs i enkäten grundar sig på samtycke, vilket personen ger genom att besvara enkäten. Enligt den personuppgiftsansvariges svar har grunden för behandlingen av personuppgifterna varit en lagstadgad skyldighet som inte har preciserats i utredningen. Enligt den personuppgiftsansvariges svar har det varit frivilligt att besvara enkäten, men samtidigt konstaterar den personuppgiftsansvarige att det har varit nödvändigt för anordnaren av småbarnspedagogiken att få uppgifterna.
Enligt den som kontaktat dataombudsmannens byrå skulle det på daghemmet ha sagts att enkäten måste skickas tillbaka till dagvården.
För kundfamiljer inom småbarnspedagogiken kan frivilligheten i enkäten ha varit oklar
Biträdande dataombudsmannen ansåg att det i den rådande situationen kan ha varit svårt för kunden att bedöma om han eller hon kan låta bli att besvara enkäten trots att mottagaren har informerats om att svaret är frivilligt. Det kan ha varit oklart för kunderna inom småbarnspedagogiken huruvida behandlingen av personuppgifterna baserades på samtycke eller på en lagstadgad skyldighet.
Biträdande dataombudsmannen ansåg att informationen om syftet med och den rättsliga grunden för behandlingen av personuppgifterna inte hade getts på ett tillräckligt transparent sätt i enlighet med dataskyddsförordningen. Den personuppgiftsansvarige fick därför en anmärkning i ärendet.
Biträdande dataombudsmannens beslut visar att en anordnare av småbarnspedagogik är skyldig att se till att kunderna informeras om behandlingen av personuppgifter på ett lättbegripligt och tydligt sätt. Beslutet beskriver också väl den personuppgiftsansvariges skyldighet att kunna påvisa att kraven i dataskyddsförordningen har uppfyllts.
Läs mer
Biträdande dataombudsmannens beslut
- Oppilaiden henkilötietojen näkyvyys opetuksen järjestäjän käyttämän sähköpostijärjestelmän osoitekirjassa
TSV 21.3.2023. FINLEX - Varhaiskasvatuksen asiakkaiden informointi henkilötietojen käsittelyn tarkoituksesta ja käsittelyn oikeusperusteesta
TSV 18.1.2023. FINLEX
På Kommunförbundets webbplats
Kommunförbundets sakkunniga som kan ge mer information
Ansvarsområden
- juridiska frågor inom undervisnings- och kulturväsendet
Ett nätverk för dig som jobbar med språk och översättning i kommunsektorn
Kommunförbundet samordnar ett nätverk för översättare i kommunsektorn. Nätverket har också ett diskussions- och mötesforum på Teams.
Mindre byråkrati, mer fungerande tjänster
Men vilka normer kunde avvecklas? Samla in onödiga normer nu i november och december 2023! Kommunförbundet manar alla städer och kommuner till insamling av normer som kunde avvecklas. Läs mera.
Förändringar i kommunernas anvisningar för sökande av ändring
I kommunernas besvärsanvisningar ska två förändringar som skett sommaren 2023 beaktas.
Kaffe med Uffe
En gång per månad bjuder Ulf Stenman, direktör för Kommunförbundet svenska verksamhet på ett virtuellt, aktuellt och spirituellt morgonkaffe på Teams.
Läs mera: Kaffe med Uffe
Digifika - nätverk för digitalisering
Kommunförbundet arrangerar korta sessioner med presentationer och diskussioner om digitalisering på svenska i nätverket för Digifika.