Framsida » Avgöranden » E-post vid behandling av en studerandes personuppgifter

E-post vid behandling av en studerandes personuppgifter

Dataombudsmannens anvisning 16.8.2007
Dnr 1325/41/2007

Ärende
En förfrågan om sändande av en studerandes personuppgifter i ett oskyddat e-postmeddelande.

Ställningstagande
Till dataombudsmannens behörighet hör inte att i enstaka fall ge bindande lösningar om tillräckligheten av skyddet. Dataombudsmannen rekommenderar dock inte att vanlig e-post används vid behandling av känsliga eller sekretessbelagda personuppgifter. Även om personnumret inte är en sekretessbelagd uppgift, är sändning av det i ett oskyddat e-postmeddelande inte rekommenderbart.

Motiveringar
Alla uppgifter, som kan sammankopplas med studeranden, är personuppgifter, på vilkas behandling tillämpas personuppgiftslagen, om inte annat stadgas i lag. Vid ordnandet av undervisningen kan även behandlas sådana känsliga uppgifter som avses i personuppgiftslagens 11 §. I undervisningsväsendet finns enskilda bestämmelser angående sekretessbelagda uppgifter, t.ex. 42 § i lagen om yrkesutbildning och 16 § 4 punkten i lagen om yrkesinriktad vuxenutbildning. Dessutom stadgas det om myndigheters verksamhet i 24 § i lagen om offentlighet vid myndighets verksamhet (offentlighetslagen), i vilken det finns flera sekretessbestämmelser.

Enligt dataombudsmannen är det i ärendet frågan om att utlämna studerandes personuppgifter till en annan läroanstalt och om att skydda uppgifterna under förflyttningen. Studerandes personuppgifter kan utlämnas till andra läroanstalter endast på grunder som nämns i lagen. Om utlämnandet av offentliga personuppgifter från en myndighets personregister, stadgas i offentlighetslagens 16 § 3 moment. Om saken berättas mera i dataombudsmannens guide "Om utlämnande av personuppgifter ur myndigheternas personregister". Förutsättningarna för utlämnande av sekretessbelagda uppgifter framgår ur offentlighetslagens 7 kapitel.

Enligt 32 § i personuppgiftslagen skall den registeransvarige genomföra de tekniska och organisatoriska åtgärder som behövs för att skydda personuppgifterna mot obehörig åtkomst och mot behandling som sker av misstag eller i strid med lag. Olaglig behandling kan till exempel vara förstöring, ändring, utlämnande och översändande.

I lagens förarbeten (RP 96/1998 s. 69) konstateras om skyddandet av uppgifter, bland annat följande. " Vid bedömningen av skyddsnivån kan man sålunda å ena sidan beakta de tillgängliga tekniska möjligheterna och de kostnader som föranleds av dessa. Å sidan inverkar även uppgifternas art på vilken skyddsnivå är att betrakta som tillräcklig. Till exempel skyddet av ett register som innehåller känsliga uppgifter förutsätter att man fäster särskild uppmärksamhet vid skyddet av registret. Vid bedömningen av skyddsnivån skall utöver uppgifternas art även beaktas uppgifternas mängd och ålder."

Vidare konstateras det i lagens förarbeten följande: "Den registeransvarige skall definiera vem som har rätt att behandla uppgifterna och de sätt på vilka uppgifterna får behandlas, såsom registrering ändring, sökning och utplåning. Genom ett system med lösenord eller motsvarande skyddsarrangemang skall man försäkra sig om att uppgifterna behandlas endast av sådana personer som har rätt att behandla uppgifter." "Överföringen av personuppgifter skall säkerställas genom särskilda åtgärder, t.ex. så att överföringen inte förändrar uppgifterna till innehållet och att uppgifterna inte försvinner i samband med överföringen."

De uppgifter som skall flyttas bör också skyddas från utomstående. Skyddandet är särskilt viktigt då känsliga eller sekretessbelagda uppgifter behandlas.

Personuppgiftslagens skyldigheter riktas mot den registeransvarige. Den registeransvarige svarar därmed för skyddet av personuppgifterna. Skyddet skall vara sådant att det fyller lagens krav, om vilka har berättats tidigare. Användningen av e-post skall planeras som en del av behandlingen av personuppgifter.

Dataombudsmannens uppgift är att ge anvisningar och råd, d.v.s. berätta om de krav som har uppställts i lag. Till ombudsmannens behörighet hör inte att i enskilda fall ge bindande lösningar om skyddets tillräcklighet. Dataombudsmannen rekommenderar dock inte att vanlig e-post används, specielt vid behandlingen av känsliga eller sekretessbelagda uppgifter. Även om personnumret inte är en sekretessbelagd uppgift, är det inte rekommenderbart att sända det per oskyddad e-post. Dataskyddsproblemen vid e-post skall alltid beaktas när det funderas på att utlämna personuppgifter per e-post.

Om användningen av e-post behandlas i guiden "Användning av e-post i socialvården". Guiden kan även utnyttjas till tillämpliga delar på förvaltningens andra områden.

Tillämpade lagbestämmelser
Personuppgiftslagen 3 § 1 och 4 punkten, 11 §, 32 §, 38 §

 
Publicerad 6.2.2014