PUL-delen i processen att bli Federationsmedlem

1. PUL-delen i processen att bli Federationsmedlem Peter Müller, PUO, Uppsala kommun

2. Startfunderingar • Vi följer PUL. • Varför just jag? • Vad har detta med Taxi att göra?

3. Lova mer än PUL? • Lagöverträdelse + avtalsbrott • PUO:s roll • Stödja, undervisa och råda verksamheten • Se till att det finns en förteckning över kommunens alla personuppgiftsbehandlingar och övervaka att begärda registerutdrag genomförs • Granska efterlevnaden av PUL

4. Kontakter • Pål Axelsson, Uppsala universitet, Swamid • Jeanna Thorslund, Stadsjurist Västerås kommun, Cesam-SKL • Filippa Murath, jurist på .se

5. Vad vi kom fram till… • En beskrivning av hur man förverkligar PUL:s krav i detta fallet? • Skolfederationen bygger på ömsesidig tillit • Vi skall visa att vi har ett strukturerat och dokumenterat arbetssätt i dessa frågor • Annorlunda uttryckt: Nedskrivet och genomtänkt

6. Vad deklarationen bör innehålla • Man skall visa att man känner till och har planerat för: • Vilka krav och problem som finns att hantera. • Vilka resurser som avsätts (redan finns) för att nå upp till kraven och lösa förmodade problem.

7. Detaljnivå-resurser • Utbildning • Hur ser behovet av PUL-kunskaper ut? • Vilka resurser är avsatta för olika utbildningsinsatser? • Vid införandet och fortlöpande • Hur ser möjligheterna ut att få kontinuerligt råd och stöd i PUL-frågor? • Till dokumentet

8. Detaljnivå-beskrivningar/rutiner-1 • Registervård • Registervård är ofta ett problemområde i verksamheterna, mao att i nödvändig utsträckning hålla information både korrekt och aktuell • Vilka dokumenterade rutiner med verifierbara mål kan hjälpa oss med problemet • Vad skall kontrolleras? • Hur ofta och av vem? • Krav på kommunicerande IT-system

9. Detaljnivå-beskrivningar/rutiner-2 • Behörighetsproblematik • Att tillse att den som behöver viss behörighet för att kunna utföra sitt arbete också har rätt behörighet • Att inga (eller så få möjligt) andra har behörighet • Vilka dokumenterade rutiner med verifierbara mål kan hjälpa oss med problemet • Vad skall kontrolleras? • Hur ofta och av vem?

10. Val av tekniska/organisatoriska arbetsformer-Informering • Det är t ex ett administrativt problem hur man säkerställer att alla registrerade blir informerade enligt PUL innan deras personuppgifter används i Skolfederationssammanhang. • Frånvaro, olika kategorier av registrerade (elev-lärare-annan skolpersonal) • Elev som är inskriven på skolan i senare skede • Lärarvikarier • Lagligt räcker det med en informering per registrerad förutsatt att inte t ex ändamålet ändrats

11. Informering • Informeringen innehåller upplysning om • Personuppgiftsansvarigs identitet och kontaktuppgifter • Behandlingens ändamål och använda typer av personuppgifter • Övrig information som den registrerade kan ha nytta av att känna till, som t ex • Lagliga rättigheter (korrigera felaktigheter, årliga registerutdrag) • Varifrån information hämtas och vart den kan lämnas ut (till annan än Personuppgiftsansvarig)

12. Genvägar? • Finns många sätt att lösa Pul-efterlevnaden. En del är effektiva och smarta. En del är lite för effektiva och lite för smarta. • Man får t ex inte begära samtycke gruppvis. Detta måste göras på individnivå.

13. Levande dokument Vår text för PUL-deklaration är visserligen godkänd för medlemskap, men det är ett öppet och levande dokument. Det visar bara att vi verkar vara OK i nuläget. Men allt kan ändras. Vi vet inte riktigt säkert vilka problem och krav vi kommer att utsättas för i framtiden då skolfederationen gått in i en produktionsfas.

14. Personuppgiftslagen (SFS 1998:204, PuL) • Lagen bygger på ett EU-direktiv och ska hindra att enskildas personliga integritet kränks genom behandling av personuppgifter. • Som personuppgift räknas sådan information som kan identifiera viss fysisk levande person. Detta innefattar även ljud, bild och film. (Reg nr, fastighetsbeteckningar osv, indirekta personuppgifter) • Personuppgifterna skall vara digitalt lagrade

15. PUL:s område • PuL:s regler berör alla som behandlar personuppgifter professionellt • Dvs gäller inte helt privat behandling • PuL:s regler tillämpas inte om det finns avvikande regler i någon annan lagstiftning om samma sak. • som t ex grundlagsregler om tryck-, yttrandefrihet eller offentlighetsprincipen, Arkivlagen m fl

16. Personuppgiftsansvaret • Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter • I en kommun avser detta en nämnd. • Personuppgiftsbiträdesavtal, PU-biträde

17. Grundläggande krav Den personuppgiftsansvarige skall se till att personuppgifter behandlas bara om: • det är lagligt, alltid behandlas på ett korrekt sätt och i enlighet med god sed, samlas in för särskilda uttryckligt angivna och berättigade ändamål • personuppgifter bara behandlas för just det ändamål de samlats in för. • Personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen.

18. Fler grundläggande krav • Personuppgifterna ska vara riktiga och, om det är nödvändigt, aktuella • alla rimliga åtgärder ska vidtas för att rätta och rensa personuppgifter som är felaktiga • Personuppgifter ska intebevarasunder enlängre tid än vad som är nödvändigtför att uppfylla ändamålet. (OBS arkivlagen)

19. Öppen fråga • Ett av de uppräknade federationsgemensamma attributen på standardnivån är legalt kön på registrerad. Vad kan detta användas till i detta sammanhang?