Vi arbetar för att skydda alla dina personuppgifter, till exempel om hälsa och ekonomi, så att de
hanteras korrekt och inte hamnar
i orätta händer.
GDPR och
utbildningsverksamhet
Den 27 januari 2021
Salli Fanaei och Linn Sandmark
Agenda
• Att tänka på vid digital undervisning och examination
▪ Vem är personuppgiftsansvarig?
▪ Grundläggande principer för personuppgiftsbehandling
▪ När är det lagligt att behandla personuppgifter?
▪ Information till studenterna, säkerhet och tredjelandsfrågor
• Förhandssamråd Chalmers behandling av personuppgifter vid examination på distans
▪ Konsekvensbedömning
▪ Förhandssamråd
• Frågestund
Vem är personuppgiftsansvarig?
• Personuppgiftsansvarig – Vem är det och vad innebär ansvaret?
• En enskild medarbetare har inte personuppgiftsansvaret
• Viktigt med riktlinjer till både studenter och medarbetare för deltagande och genomförande av digital undervisning eller examination
Grundläggande principer för personuppgiftsbehandling
• Laglighet, korrekthet och öppenhet
• Ändamålsbegränsning
• Uppgiftsminimering
• Riktiga uppgifter
• Lagringsminimering
• Integritet och konfidentialitet
• Ansvarsskyldighet
När är det lagligt att behandla personuppgifter?
• När det finns en rättslig grund
• Rättsliga grunder är bland annat:
▪ Uppgift av allmänt intresse
▪ Uppgiften ska vara fastställd i författning – t.ex. anordna och bedriva högskoleutbildning
▪ Myndighetsutövning
▪ Myndighetsutövningen ska vara fastställd i författning – t.ex. beslut om antagning, examination och disciplinära åtgärder
Information till studenterna, säkerhet och tredjelandsfrågor
• Information om personuppgiftsbehandling ska vara:
▪ Klar och tydlig
▪ Lätt att hitta och förstå
• Vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå.
• Överföring av personuppgifter till tredje land = När personuppgifter blir tillgängliga utanför EU/EES
Att tänka på vid digital undervisning och examination
• Den personuppgiftsansvariga ska ta fram riktlinjer för personuppgiftsbehandlingen
• Involvera nyckelpersoner såsom jurister och informationssäkerhetsspecialister i tid
• Använd inte mer personuppgifter än vad som är nödvändigt
• Utred rättslig grund
• Undersök om det finns mindre integritetsingripande åtgärder för behandlingen
Att tänka på vid digital undervisning och examination
• Dokumentera bedömningar och slutsatser gällande personuppgiftsbehandlingen
• Utred om personuppgiftsbehandlingen kommer innebära en tredjelandsöverföring
• Diskutera personuppgiftsfrågor med ert dataskyddsombud
Förhandssamråd om behandling av personuppgifter vid examination på distans
• När kan man begära ett förhandssamråd?
▪ Konsekvensbedömning
▪ Förhandssamråd
• Frågeställningarna som behandlades i samrådet
▪ Innebär ansiktsigenkänning behandling av känsliga personuppgifter?
▪ Rättsligt stöd för att behandla personuppgifter vid examination på distans
Innebär ansiktsigenkänning behandling av känsliga
personuppgifter?
• Syftet med behandlingen var säker identifiering
• Ansiktsigenkänning = biometriska uppgifter
• IMY ansåg att det var fråga om behandling av känsliga personuppgifter
Rättsligt stöd för att behandla
personuppgifter vid examination på distans
• Generellt stöd att behandla personuppgifter vid examination genom grunden uppgift av allmänt intresse
• Vilken personuppgiftsbehandling kan anses rymmas inom skolans uppdrag?
• Faktorer som bland annat vägdes in i bedömningen:
▪ Hemmamiljö (privat sfär), ansiktsigenkänning,
kamerabevakning, ljudupptagning, loggning m.m.
Rättsligt stöd för att behandla
personuppgifter vid examination på distans
• Tveksamt om rättsligt stöd fanns för att examinera på det tilltänka sättet
• Alternativa åtgärder för identifiering som inte är lika integritetskänsliga