PULdelen i processen att bli Federationsmedlem Peter Mller
PUL-delen i processen att bli Federationsmedlem Peter Müller, PUO, Uppsala kommun 1
Startfunderingar • Vi följer PUL. • Varför just jag? • Vad har detta med Taxi att göra? 2
Lova mer än PUL? • Lagöverträdelse + avtalsbrott • PUO: s roll – Stödja, undervisa och råda verksamheten – Se till att det finns en förteckning över kommunens alla personuppgiftsbehandlingar och övervaka att begärda registerutdrag genomförs – Granska efterlevnaden av PUL 3
Kontakter • Pål Axelsson, Uppsala universitet, Swamid • Jeanna Thorslund, Stadsjurist Västerås kommun, Cesam-SKL • Filippa Murath, jurist på. se 4
Vad vi kom fram till… • En beskrivning av hur man förverkligar PUL: s krav i detta fallet? • Skolfederationen bygger på ömsesidig tillit • Vi skall visa att vi har ett strukturerat och dokumenterat arbetssätt i dessa frågor – Annorlunda uttryckt: Nedskrivet och genomtänkt 5
Vad deklarationen bör innehålla • Man skall visa att man känner till och har planerat för: – Vilka krav och problem som finns att hantera. – Vilka resurser som avsätts (redan finns) för att nå upp till kraven och lösa förmodade problem. 6
Detaljnivå-resurser • Utbildning – Hur ser behovet av PUL-kunskaper ut? – Vilka resurser är avsatta för olika utbildningsinsatser? • Vid införandet och fortlöpande – Hur ser möjligheterna ut att få kontinuerligt råd och stöd i PUL-frågor? • Till dokumentet 7
Detaljnivå-beskrivningar/rutiner-1 • Registervård – Registervård är ofta ett problemområde i verksamheterna, mao att i nödvändig utsträckning hålla information både korrekt och aktuell – Vilka dokumenterade rutiner med verifierbara mål kan hjälpa oss med problemet • Vad skall kontrolleras? • Hur ofta och av vem? • Krav på kommunicerande IT-system 8
Detaljnivå-beskrivningar/rutiner-2 • Behörighetsproblematik – Att tillse att den som behöver viss behörighet för att kunna utföra sitt arbete också har rätt behörighet – Att inga (eller så få möjligt) andra har behörighet – Vilka dokumenterade rutiner med verifierbara mål kan hjälpa oss med problemet • Vad skall kontrolleras? • Hur ofta och av vem? 9
Val av tekniska/organisatoriska arbetsformer-Informering – Det är t ex ett administrativt problem hur man säkerställer att alla registrerade blir informerade enligt PUL innan deras personuppgifter används i Skolfederationssammanhang. – Frånvaro, olika kategorier av registrerade (elev-lärareannan skolpersonal) • Elev som är inskriven på skolan i senare skede • Lärarvikarier – Lagligt räcker det med en informering per registrerad förutsatt inte t ex ändamålet ändrats 10
Informering • Informeringen innehåller upplysning om – Personuppgiftsansvarigs identitet och kontaktuppgifter – Behandlingens ändamål och använda typer av personuppgifter – Övrig information som den registrerade kan ha nytta av att känna till, som t ex • Lagliga rättigheter (korrigera felaktigheter, årliga registerutdrag) • Varifrån information hämtas och vart den kan lämnas ut (till annan än Personuppgiftsansvarig) 11
Genvägar? • Finns många sätt att lösa Pulefterlevnaden. En del är effektiva och smarta. En del är lite för effektiva och lite för smarta. • Man får t ex inte begära samtycke gruppvis. Detta måste göras på individnivå. 12
Levande dokument Vår text för PUL-deklaration är visserligen godkänd för medlemskap, men det är ett öppet och levande dokument. Det visar bara att vi verkar vara OK i nuläget. Men allt kan ändras. Vi vet inte riktigt säkert vilka problem och krav vi kommer att utsättas för i framtiden då skolfederationen gått in i en produktionsfas. 13
Personuppgiftslagen (SFS 1998: 204, Pu. L) • Lagen bygger på ett EU-direktiv och ska hindra att enskildas personliga integritet kränks genom behandling av personuppgifter. • Som personuppgift räknas sådan information som kan identifiera viss fysisk levande person. Detta innefattar även ljud, bild och film. (Reg nr, fastighetsbeteckningar osv, indirekta personuppgifter) • Personuppgifterna skall vara digitalt lagrade 14
PUL: s område • Pu. L: s regler berör alla som behandlar personuppgifter professionellt – Dvs gäller inte helt privat behandling • Pu. L: s regler tillämpas inte om det finns avvikande regler i någon annan lagstiftning om samma sak. – som t ex grundlagsregler om tryck-, yttrandefrihet eller offentlighetsprincipen, Arkivlagen m fl 15
Personuppgiftsansvaret • Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter • I en kommun avser detta en nämnd. – Personuppgiftsbiträdesavtal, PU-biträde 16
Grundläggande krav Den personuppgiftsansvarige skall se till att personuppgifter behandlas bara om: • det är lagligt, alltid behandlas på ett korrekt sätt och i enlighet med god sed, samlas in för särskilda uttryckligt angivna och berättigade ändamål • personuppgifter bara behandlas för just det ändamål de samlats in för. • Personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. 17
Fler grundläggande krav • Personuppgifterna ska vara riktiga och, om det är nödvändigt, aktuella • alla rimliga åtgärder ska vidtas för att rätta och rensa personuppgifter som är felaktiga • Personuppgifter ska inte bevaras under en längre tid än vad som är nödvändigt för att uppfylla ändamålet. (OBS arkivlagen) 18
Öppen fråga • Ett av de uppräknade federationsgemensamma attributen på standardnivån är legalt kön på registrerad. Vad kan detta användas till i detta sammanhang? 19
- Slides: 19