Sida 2 (11)
Behov av konsekvensbedömning utifrån
dataskyddsförordningen artikel 35
Kriterier
Ja Nej
En systematisk och omfattande bedömning av fysiska personers
☐ ☒
personliga aspekter som grundar sig på automatisk behandling, inbegripet
profilering, och på vilken beslut grundar sig som har rättsliga följder för
fysiska personer el er på liknande sätt i betydande grad påverkar fysiska
personer.
Behandling i stor omfattning av särskilda kategorier av uppgifter, som
☐ ☒
avses i artikel 9.1, el er av personuppgifter som rör fäl ande domar i
brottmål och lagöverträdelser som innefattar brott, som avses i artikel 10.
(art. 9.1 avser ras el er etniskt ursprung, politiska åsikter, religiös el er
filosofisk övertygelse el er medlemskap i fackförening och behandling av
genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en
fysisk person, uppgifter om hälsa el er uppgifter om en fysisk persons
sexual iv el er sexuel a läggning.)
Systematisk övervakning av en al män plats i stor omfattning.
☐ ☒
Behov av konsekvensbedömning utifrån
Integritetsskyddsmyndighetens förteckning
[Bedöm al a kriterier. Ta bort den här instruktionen när du är klar.]
Kriterier
Ja Nej
Utvärderar el er poängsätter människor, til exempel ett företag som
☐ ☒
erbjuder genetiska tester til konsumenter för att bedöma och förutse
risker för sjukdomar, ett kreditupplysningsföretag el er ett företag som
profilerar internetanvändare.
Behandlar personuppgifter i syfte att fatta automatiserade beslut som har ☐ ☒
rättsliga följder el er liknande betydande följder för den registrerade.
Systematiskt övervakar människor, til exempel genom
☐ ☒
kameraövervakning av en al män plats el er genom att samla in
personuppgifter från internetanvändning i offentliga miljöer.
Behandlar känsliga personuppgifter enligt artikel 9 el er uppgifter som är
☒ ☐
av mycket personlig karaktär, til exempel ett sjukhus som lagrar
patientjournaler, ett företag som samlar in lokaliseringsuppgifter el er en
bank som hanterar finansiel a uppgifter. (Med känsliga uppgifter avses
enligt artikel 9 bland annat biometriska uppgifter som behandlas för att
entydigt identifiera en fysisk person.)
Behandlar personuppgifter i stor omfattning.
☒ ☐
Kombinerar personuppgifter från två el er flera behandlingar på ett sätt
☐ ☒
som avviker från vad de registrerade rimligen kunnat förvänta sig, til
exempel när man samkör register.
Behandlar personuppgifter om personer som av något skäl befinner sig i
☒ ☐
ett underläge el er i beroendestäl ning och därför är sårbara, til exempel
barn, anstäl da, asylsökande, äldre och patienter.
Sida 3 (11)
Kriterier
Ja Nej
Använder ny teknik el er nya organisatoriska lösningar, til exempel en
☐ ☒
sakernas internet-applikation (Internet of things, IoT).
Behandlar personuppgifter i syfte att hindra registrerade från att få til gång ☐ ☒
til en tjänst el er ingå ett avtal, til exempel när en bank granskar sina
kunder mot en databas för kreditupplysning för att besluta om de ska
erbjudas lån.
Riskanalys
Händelse
Risk som behandlingen medför
-4)
ycket allvarlig
Liten konsekvens
Betydande
Allvarlig
M
Sannolikhet (1
Obehörig får del av
Personuppgifter sprids utanför den
☐ ☐ ☒ ☐ 1
personuppgifter
personuppgiftsansvariges verksamhet och används i
annat syfte än det ursprungliga. Ev. skadestånd til
registrerade. Gäl er spridning hos PuB.
Obehörig får del av
Personuppgifter sprids utanför den
☐ ☐ ☒ ☐ 2
personuppgifter
personuppgiftsansvariges verksamhet och används i
annat syfte än det ursprungliga. Gäl er spridning hos
PuA.
Leverantören visar sig inte
Krav i dataskyddsförordningen kan inte uppfyl as.
☐ ☐ ☒ ☐ 1
kunna etablera el er
Hävning kan ske.
upprätthål a til räcklig
informationssäkerhet.
Behörighet är felaktig utifrån Medarbetare har til gång til personuppgifter som inte är ☐ ☒ ☐ ☐ 2
rol i systemet el er ges til
nödvändiga för dennes arbetsuppgifter.
felaktig person
Utökad behörighet kan ges til Medarbetare har til gång til personuppgifter som inte är ☐ ☐ ☒ ☐ 3
fler personer på samma nivå
nödvändiga för dennes arbetsuppgifter.
Personer med skyddat ID
Manuel registrering av personer med skyddat ID sker
☐ ☐ ☐ ☒ 2
manuel t på respektive skolenhet. Centraliserad
administration är ej möjlig.
Lärlogg för enskild person
Förekomsten av känsliga och integritetskränkande
☐ ☐ ☐ ☒ 1
uppgifter. Beskrivning av person istäl et för beskrivning
av relevant information. Spridning av personuppgifter
til obehöriga.
Kommentarer och reflektioner Förekomsten av känsliga och integritetskränkande
☐ ☐ ☐ ☒ 1
kopplad til enskild person
uppgifter. Beskrivning av person istäl et för beskrivning
av relevant information. Spridning av personuppgifter
til obehöriga.
Skriftliga omdömen
Förekomsten av känsliga och integritetskränkande
☐ ☐ ☐ ☒ 1
uppgifter. Beskrivning av person istäl et för beskrivning
av relevant information. Spridning av personuppgifter
til obehöriga.
Sida 4 (11)
Händelse
Risk som behandlingen medför
-4)
ycket allvarlig
Liten konsekvens
Betydande
Allvarlig
M
Sannolikhet (1
Extra anpassningar
Förekomsten av känsliga och integritetskränkande
☐ ☐ ☒ ☐ 2
uppgifter. Beskrivning av person istäl et för beskrivning
av relevant information. Spridning av personuppgifter
til obehöriga.
Säkra anteckningar
Förekomsten av känsliga och integritetskränkande
☐ ☐ ☒ ☐ 3
uppgifter. Beskrivning av person istäl et för beskrivning
av relevant information. Spridning av personuppgifter
til obehöriga.
Utvecklingssamtal
Förekomsten av känsliga och integritetskränkande
☐ ☐ ☐ ☒ 2
uppgifter. Beskrivning av person istäl et för beskrivning
av relevant information. Spridning av personuppgifter
til obehöriga.
Manuel a hantering av grupper Manuel hantering av vem/vilka som ingår i grupp. Risk ☐ ☒ ☐ ☐ 3
och konton, både skapade
att fel person får ta del av information i gruppen.
grupper och til ägg i synkade
grupper.
Elevers historik, uppgifter i
Risk att nya personer i relation til elev får ta del av
☐ ☐ ☒ ☐ 3
arkivet
sekretessreglerad information.
Meddelanden från systemet
Risk för personuppgiftsincident.
☐ ☒ ☐ ☐ 1
skickas til fel person/rol
Uppgift om placering i
Risk att känslig personuppgift sprids i fritextfält. Gäl er
☐ ☐ ☒ ☐ 1
grundsärskola/anpassad skola flera stäl en i Unikum.
räknas som en känslig
personuppgift
☐ ☐ ☐ ☐
☐ ☐ ☐ ☐
Behov av fortsatt konsekvensbedömning
☒ Ja, fortsatt konsekvensbedömning behövs.
☐ Nej, fortsatt konsekvensbedömning behövs inte.
Del 2: Fortsatt konsekvensbedömning
Systematisk beskrivning av behandlingarna
Följande information finns i UBN Uppsala kommun, artikel 30 register kring de
behandlingar som är i fokus för denna konsekvensbedömning:
Pedagogiskt stöd för lärandet i förskola, grundskola och gymnasieskola. Stöd för att
planera, genomföra och följa upp undervisning och utvecklingssamtal. Stöd för
Sida 5 (11)
bedömning, extra anpassningar, underlag för utvecklingssamtal och betygsättning,
samt kommunikation kring detta.
Organisera, planera och följa upp läsår. Lokalt register för planering, genomförande och
utvärdering av undervisning i form av planeringar, elevuppgifter, anteckningar, listor,
informationsbrev, verksamhetsplaner för grundskola, gymnasieskola, anpassad
grundskola och gymnasieskola, fritidshem, resursundervisning och
modersmålsundervisning.
Unikums e-tjänst med til hörande digitala verktyg har upphandlats för att underlätta
processerna kring lärande och kvalitet som de uttrycks i lagar, läroplaner, al männa råd
och andra styrdokument för utbildningsväsendet.
Tjänsten ska stödja följande processer:
Pedagogisk planering
Pedagogisk bedömning
Utvecklingssamtal inklusive den individuel a utvecklingsplanen
Stödinsatser med Extra anpassningar
Statistik och uppföljning för det systematiska kvalitetsarbetet
Övergångar inom och mel an skolformer
Dialog med hemmet
Behandlingarna berör elever, vårdnadshavare och anstäl da i Uppsala kommun.
Personuppgifter som hanteras delas in i följande kategorier: Kontoinformation,
Personlig information, Personlig dokumentation, Formativ dokumentation samt
Gruppdokumentation. Personuppgifterna finns mer utförligt beskrivna i
personuppgiftsbiträdesavtalet mel an Uppsala kommun och Unikum.
Känsliga personuppgifter kan förekomma i form av: Uppgift om hälsa dels utifrån
placering på grundsärskola el er resursenhet. Dels i förekommande fal i den personliga
dokumentationen el er i den formel a dokumentationen.
Leverantören Unikum - Unikt lärande AB til handahål er de digitala verktygen helt och
hål et som en molntjänst och driften av al a servrar förvaltas av leverantören. En
integration är uppsatt mel an Uppsala kommuns tjänst för skol- och
elevadministration, IST Administration och Unikum.
Användarbehörighet til rol erna; administratör för skolenhet, kommunadministratör,
kommunobservatör och systemförvaltare söks och administreras via Uppsala
kommuns system för behörigheter, Iris. Behörigheter och relationskopplingar för
personal i Uppsala kommun, elever och vårdnadshavare administreras via den
uppsatta integrationen. Vissa behörigheter som observatör på skolenhet administreras
av utsedda administratörer på skolnivå. Behörigheter bygger på principen att
användare enbart ska komma åt och kunna hantera de personer som ingår i
användarens anstäl ningsuppdrag (personal). Elever och vårdnadshavare kommer
enbart åt dokumentation som berör den egna personen/barnet.
Sida 6 (11)
Bedömning av behovet och proportionalitet
Behovet av behandlingen och proportionaliteten i förhållande till dess ändamål
Behovet består i att stödja den kommunala grundskolans och gymnasieskolans
processer för lärande och undervisning kopplat til dokumentationskrav för det
systematiska kvalitetsarbetet. I enlighet med Skol agen, Grundskoleförordningen,
Gymnasieförordningen, Skolverkets Al männa råd och Skolverkets författningssamling
(SKOLFS).
Rättslig grund för behandlingen
Behandlingen grundar sig på de rättsliga grunderna: Rättslig förpliktelse samt uppgift
av Al mänt intresse
Information och kommunikation med de registrerade
Inga särskilda personuppgifter behöver hämtas in utöver de som kommer med
kopplingen til IST Administration. För al män information hänvisas til Uppsala
kommuns hemsida
, Behandling av personuppgifter - Uppsala kommun
Personuppgiftsbiträden
Personuppgiftsbiträdesavtal finns upprättat med Unikum – Unikt lärande AB
Överföring av personuppgifter till tredjeländer eller internationella
organisationer
Ingen överföring av personuppgifter sker til tredje land.
Sida 7 (11)
Hantering av risker för de registrerades rättigheter och friheter
-4)
Risk som behandlingen
ycket allvarlig
Åtgärd – vad som nämnden/kommunen ska
Händelse
medför
Liten konsekvens
Betydande
Allvarlig
M
Sannolikhet (1 göra för att ta bort eller minska risken
Ansvarig för åtgärd
Obehörig får del av
Personuppgifter sprids utanför ☐ ☐ ☒ ☐ 1
Leverantören ska etablera och upprätthål a en
Förvaltningsobjektet
personuppgifter
den personuppgiftsansvariges
informationssäkerhet som skyddar mot intrång
pedagogiska system
verksamhet och används i
(se KLASSA). Riskanalysen utgår från att systemen
annat syfte än det
driftas av leverantören (Unikum)
ursprungliga. Ev. skadestånd
Personuppgiftsansvarig ska etablera och
Dataskyddsamordnare
til registrerade. Gäl er
upprätthål a en informationssäkerhet som
spridning hos PuB.
skyddar mot intrång. Hänvisning til kommunens
rutiner och riktlinjer.
Obehöriga får del av
Personuppgifter sprids utanför ☐ ☐ ☒ ☐ 2
Utbildning och
rutiner för användare av systemen UBF ledning til sammans
personuppgifter
den personuppgiftsansvariges
behöver formaliseras.
med rektor och i samarbete
verksamhet och används i
med förvaltningsobjektet
annat syfte än det
ursprungliga. Gäl er spridning
hos PuA.
Leverantören visar sig inte
Krav i dataskyddsförordningen ☐ ☐ ☒ ☐ 1
Leverantören ska etablera och upprätthål a en
Förvaltningsobjektet
kunna etablera el er
kan inte uppfyl as. Hävning kan
informationssäkerhet som kan kontrol eras
pedagogiska system
upprätthål a til räcklig
ske.
fortlöpande. Ingår i KLASSA.
informationssäkerhet.
Behörighet är felaktig utifrån Medarbetare har til gång til
☐ ☒ ☐ ☐ 2
Översyn av behörighetssystem och revisioner av Förvaltningsobjektet
rol i systemet el er ges til
personuppgifter som inte är
behörigheter ses över kontinuerligt.
Rutin för
pedagogiska system
felaktig person
nödvändiga för dennes
extra kontrol att behörighetsansökan i Iris är
arbetsuppgifter.
korrekt.
Sida 8 (11)
-4)
Risk som behandlingen
ycket allvarlig
Åtgärd – vad som nämnden/kommunen ska
Händelse
medför
Liten konsekvens
Betydande
Allvarlig
M
Sannolikhet (1 göra för att ta bort eller minska risken
Ansvarig för åtgärd
Utökad behörighet kan ges til Medarbetare har til gång til
☐ ☐ ☒ ☐ 3
Del av en årlig lokal checklista. Behörighet måste Rektor ansvarar att
fler personer på samma nivå
personuppgifter som inte är
sökas i Iris för rol en administratör och observatör åtgärden utförs med
nödvändiga för dennes
i Unikum.
centralt stöd
arbetsuppgifter.
Vissa beslutade rol er på skolan ges utökad
(verksamhetsutvecklare +
behörighet som inkluderar
objektet)
introduktion/utbildning.
Översyn av rutiner för ansökningsprocessen för
godkännande i Iris.
Personer med skyddat ID
Manuel registrering av
☐ ☐ ☐ ☒ 2
Rutin för skapande och revision av manuel t
Rektor med stöd av UBF
personer med skyddat ID sker
skapade konton. Placering av elev med skyddat ID Grundskola/Gymnasieskola
manuel t på respektive
i särskild undervisningsgrupp/klass.
och HUB
skolenhet. Centraliserad
administration är ej möjlig.
Lärlogg för enskild person
Förekomsten av känsliga och
☐ ☐ ☐ ☒ 1
Rutin om användningen av fritextfält.
Rektor med stöd av UBF
integritetskränkande uppgifter.
Grundskola/Gymnasieskola
Beskrivning av person istäl et
för beskrivning av relevant
information. Spridning av
personuppgifter til obehöriga.
Kommentarer och reflektioner Förekomsten av känsliga och
☐ ☐ ☐ ☒ 1
Rutin om användningen av fritextfält.
Rektor med stöd av UBF
kopplad til enskild person
integritetskränkande uppgifter.
Grundskola/Gymnasieskola
Beskrivning av person istäl et
för beskrivning av relevant
information. Spridning av
personuppgifter til obehöriga.
Sida 9 (11)
-4)
Risk som behandlingen
ycket allvarlig
Åtgärd – vad som nämnden/kommunen ska
Händelse
medför
Liten konsekvens
Betydande
Allvarlig
M
Sannolikhet (1 göra för att ta bort eller minska risken
Ansvarig för åtgärd
Skriftliga omdömen
Förekomsten av känsliga och
☐ ☐ ☐ ☒ 1
Implementering av Al männa råd från Skolverket Rektor med stöd av UBF
integritetskränkande uppgifter.
om utvecklingssamtalet och den skriftliga
Grundskola/Gymnasieskola
Beskrivning av person istäl et
individuel a utvecklingsplanen.
för kunskapsutveckling.
Spridning av personuppgifter
til obehöriga.
Extra anpassningar
Förekomsten av känsliga och
☐ ☐ ☒ ☐ 2
Ta fram särskild rutin för användande och gal ring UBF
integritetskränkande uppgifter.
av funktionen ’Säkra anteckningar och Extra
Grundskola/Gymnasieskola
Beskrivning av person istäl et
anpassningar’.
för beskrivning av
Uppföljning av införandet av rutinen.
anpassningen. Spridning av
personuppgifter til obehöriga.
Säkra anteckningar
Förekomsten av känsliga och
☐ ☐ ☒ ☐ 3
Ta fram särskild rutin för användande och gal ring UBF
integritetskränkande uppgifter.
av funktionen ’Säkra anteckningar och Extra
Grundskola/Gymnasieskola
Beskrivning av person istäl et
anpassningar’.
för beskrivning av relevant
Uppföljning av införandet av rutinen.
information. Spridning av
Multifaktorsinloggning obligatoriskt. Hanteras av
personuppgifter til obehöriga.
leverantören.
Utvecklingssamtal
Förekomsten av känsliga och
☐ ☐ ☐ ☒ 2
Implementering av Al männa råd från Skolverket Rektor med stöd av UBF
integritetskränkande uppgifter.
om utvecklingssamtalet och den skriftliga
Grundskola/Gymnasieskola
Beskrivning av person istäl et
individuel a utvecklingsplanen
för beskrivning av
kunskapsutveckling. Spridning
av personuppgifter til
obehöriga.
Sida 10 (11)
-4)
Risk som behandlingen
ycket allvarlig
Åtgärd – vad som nämnden/kommunen ska
Händelse
medför
Liten konsekvens
Betydande
Allvarlig
M
Sannolikhet (1 göra för att ta bort eller minska risken
Ansvarig för åtgärd
Manuel a hantering av grupper Manuel hantering av vem/vilka ☐ ☒ ☐ ☐ 3
Årlig översyn av al a manuel a grupper. Även
Rektor med stöd av UBF
och konton, både skapade
som ingår i grupp. Risk att fel
översyn av om personer har lagts til manuel t i
Grundskola/Gymnasieskola
grupper och til ägg i synkade person får ta del av information
klasser/grupper.
och HUB
grupper.
i gruppen.
Elevers historik, uppgifter i
Risk att nya personer i relation ☐ ☐ ☒ ☐ 3
Översyn av rutiner til sammans med jurister.
UBF
arkivet.
til elev får ta del av
Förvaltningsobjektsaktivitet att driva med
Grundskola/Gymnasieskola,
sekretessreglerad information.
leverantör.
HUB och förvaltningsobjekt.
Meddelanden från systemet
Risk för
☐ ☒ ☐ ☐ 1
Utbildning och
rutiner för användare av systemen Rektor med stöd av UBF
skickas til fel person/rol
personuppgiftsincident.
behöver formaliseras.
Grundskola/Gymnasieskola
Uppgift om placering i
Risk att känslig personuppgift ☐ ☐ ☒ ☐ 1
Rutin om användningen av fritextfält.
Rektor med stöd av UBF
grundsärskola/anpassad skola sprids i fritextfält. Gäl er flera
Grundskola/Gymnasieskola
räknas som en känslig
stäl en i Unikum.
personuppgift
☐ ☐ ☐ ☐
☐ ☐ ☐ ☐
☐ ☐ ☐ ☐
☐ ☐ ☐ ☐
☐ ☐ ☐ ☐
☐ ☐ ☐ ☐
☐ ☐ ☐ ☐
Sida 11 (11)
Document Outline