Webbpublicering av kursutvärderingar

Internet/Utbildning

Fråga:

Du undrar om Datainspektionen har några synpunkter på att sammanställningar av kursutvärderingar ska publiceras på ett universitets webbplats.

Svar:

För behandling av personuppgifter i ostrukturerat material gäller enligt 5 a § personuppgiftslagen att många av hanteringsreglerna i lagen inte behöver tillämpas. Exempel på ostrukturerad behandling av personuppgifter är löpande text i ordbehandlingssystem och på Internet samt korrespondens per e-post. Undantaget kan också omfatta enkla strukturer som listor över anställda – om inte materialet ingår i eller ska infogas i en databas med en personuppgiftsanknuten struktur, till exempel ett ärendehanteringssystem.

Detta innebär att vardaglig ostrukturerad behandling i princip får utföras fritt så länge man inte kränker den uppgifterna avser. För att avgöra om en behandling är kränkande måste man göra en samlad bedömning av hur känsliga uppgifterna är, i vilket sammanhang de förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller riskerar att få, samt vad behandlingen kan leda till. En spridning av personuppgifter som innebär förtal eller förolämpning är ett självklart exempel på vad som är kränkande enligt denna regel. Se närmare information om vad som kan utgöra en kränkning av den personliga integriteten i prop. 2005/06:173 s. 26-29.

För att kunna göra en kränkningsbedömning måste universitetet således göra en analys utifrån hur publiceringen är tänkt att gå till och vilka personuppgifter respektive omdömen som ska publiceras.

Om uppgifterna är strukturerade i en databas som gör det påtagligt enklare att söka efter eller sammanställa uppgifter, är hanteringsreglerna i personuppgiftslagen tillämpliga. Det innebär bland annat att behandlingen måste uppfylla kraven i 9 och 10 §§ personuppgiftslagen. Av 9 § framgår att personuppgifter bara får behandlas i enlighet med god sed och bara får samlas in for särskilda, uttryckligt angivna och berättigade ändamål. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Enligt huvudregeln i 10 § personuppgiftslagen krävs den enskildes samtycke för att det ska vara tillåtet att behandla personuppgifter. Undantag från kravet på samtycke har gjorts för behandlingar som är nödvändiga för vissa i lagen angivna ändamål. Exempelvis kan en behandling av personuppgifter vara tillåten efter en intresseavvägning enligt 10 § f) personuppgiftslagen. Datainspektionen har i ett tidigare samrådsyttrande uttalat att det är tveksamt om det är förenligt med personuppgiftslagen att utan samtycke göra personuppgifter i kursutvärderingar tillgängliga inom ett så kallat institutionsadministrativt system.

(Oktober 2007)

Personuppgiftsombudet

Kontaktperson

Datainspektionens kontaktperson Patrik Sundström är till för dig som är personuppgiftsombud. Han kan bland annat svara på frågor om anmälan, utbildningar och samrådsyttranden.
Patrik Sundström
Tel 08-657 61 47
E-post patrik.sundstrom
@datainspektionen.se


Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.