GDPR på Prion

av Eskil Andreen Rydberg på Prion - CTO, CIPP/E

GDPR är namnet på den EU-förordning som reglerar skyddet av personuppgifter. På svenska heter detta dataskydd och är av central betydelse i vår vision om en bättre förskoleplattform. Vi vill att alla som använder Prion ska känna sig säkra med att dela material genom oss. Därför vill vi här ge en inblick i hur vi ser på dataskydd inom förskolan, visa hur vi arbetar och svara på vanliga frågor om dataskyddet på Prion.

Vad innebär dataskydd?

Lite förenklat kan man säga att begreppet dataskydd handlar om hur organisationer ska hantera personuppgifter som de av ett eller annat skäl samlar in och använder i sin verksamhet. Sedan en tid tillbaka regleras denna hantering inom hela EU av en gemensam dataskyddsförordning som ofta kallas för GDPR, en förkortning av det engelska namnet. Dataskyddsförordningen beskriver vilka rättigheter som personer har som får sina personuppgifter behandlade. Den slår också fast vilka ansvar och vilka skyldigheter organisationer som behandlar personuppgifterna har.

Några exempel på rättigheterna som omnämns i dataskyddsförordningen är rätten till information (om hur personuppgifterna behandlas och i vilket syfte), rätten till rättelse (ifall man upptäcker att de behandlade personuppgifterna är fel) och rätten till radering (ifall personuppgifterna inte längre behövs för behandlingen). Bland skyldigheterna för den som behandlar personuppgifter finns att möjliggöra för de nyss nämnda rättigheterna, att se till att uppgifterna omfattas av en tillräcklig nivå av säkerhet och att samarbeta med den lokala tillsynsmyndigheten. I Sverige är det Datainspektionen som är den lokala tillsynsmyndigheten och som granskar hur organisationer efterlever dataskyddsförordningen.

Vad innebär informationssäkerhet?

Begreppen datasäkerhet, informationssäkerhet och IT-säkerhet används alla för att beteckna någon form av säkerhet i digitala verksamheter, men begreppet informationssäkerhet är kanske det mest etablerade av de tre i dataskyddssammanhang. Om dataskydd handlar om rättigheter och skyldigheter i samband med behandling av personuppgifter, så handlar informationssäkerhet om de tekniska och organisatoriska förutsättningarna som krävs för att databehandling - inte bara begränsat till personuppgifter - ska ske utan att den berörda datan sprids eller förstörs på ett för ändamålen olämpligt vis. Det går inte att ha ordentligt dataskydd utan ordentlig informationssäkerhet, men det är inte heller tillräckligt med god informationssäkerhet om man inte också tar hänsyn till dataskyddet.

Dataskyddsförordningen slår fast att den som vill behandla personuppgifter är skyldig att “… vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken …”. Den anger dock inte om vad som är en lämplig nivå av säkerhet, eftersom vad som är lämpligt skiljer sig mellan olika verksamheter och vilka personuppgifter det rör sig om, bland annat. Organisationer som behandlar personuppgifter måste själva bedöma vilka risker som finns, hur stora de är och vilken nivå av informationssäkerhet som är lämplig i just deras fall.

Personuppgiftsansvarig och personuppgiftsbiträde

Enligt dataskyddsförordningen kallas den som beslutar om hur en behandling ska utföras för personuppgiftsansvarig. Den ansvarige är skyldig att se till att behandlingen följer dataskyddsförordningens regelverk och att personerna som omfattas av den får sina rättigheter tillgodosedda. En personuppgiftsansvarig kan delegera delar av behandlingen till en underleverantör som då agerar personuppgiftsbiträde. Biträdet får enbara behandla personuppgifterna i enlighet med den ansvariges instruktioner. Den ansvarige ska teckna ett personuppgiftsbiträdesavtal med biträdet där instruktionerna ska framgå. Det är den ansvarige som ytterst ansvarar för behandlingen och det är dit som personer kan höra av sig för information och om de har invändningar.

Prion är både personuppgiftsansvarig och -biträde. Vi är personuppgiftsansvarig gentemot våra egna användare, alltså alla användare som själva använder vår hemsida, våra webbappar eller mobilappar. Vi informerar om våra åtaganden som personuppgiftsansvarig i våra personuppgiftsvillkor.

Du hittar våra personuppgiftsvillkor här.

När en verksamhet använder Prion, till exempel är personalen på en förskola laddar upp material, är det verksamheten som är personuppgiftsansvarig och Prion är ett biträde till dem. Vi har tagit fram ett personuppgiftsbiträdesavtal för förskoleverksamheter som vill använda Prion och som kan användas som det är eller som kan utökas med specifika önskemål från verksamheten. Avtalet är särskilt framtaget för att uppfylla regelverket i dataskyddsförordningen. Kontakta oss för att få en kopia av avtalet.

På Prion tar vi i vår tur hjälp av biträden för att tillhandahålla våra tjänster. När vi anlitar ett biträde är vi noga med att försäkra oss om att det handlar om ett välrenommerat bolag som kan erbjuda en dataskyddsnivå som uppfyller samma förväntningar som våra användare och kunder har på oss. Vi anlitar enbart underleverantörer som kan genomföra våra behandlingar inom EU/EES eller som kan ge garantier om att de kommer att omfattas av samma hårda krav som gäller inom EU/EES.