Publicerad: 5 oktober 2018

Frågor och svar dataskyddsförordningen för skolan

Ansvar som lärare

Hur ser mitt ansvar som lärare ut?

Svar

Som lärare behöver du känna till den nya lagstiftningen och följa de riktlinjer som kommunen/skolhuvudmannen tagit fram gällande hantering av personuppgifter.

Du behöver också veta hur du ska agera när du till exempel hittar en ny app eller annan digital resurs som du vill använda, hur du gör för att bedöma om och vilka sorts personuppgifter som hanteras samt vilka riktlinjer som gäller då.

Får jag lämna information om elevers frånvaro?

Fråga

Får SFI-lärare lämna information om elevers frånvaro över till Arbetsförmedlingen?

Svar

Om Arbetsförmedlingen begär uppgifter från skolan om en elevs frånvaro får ni ta ställning till om dessa uppgifter förvaras hos er i en allmän handling och om de kan lämnas ut. Om uppgifterna ska lämnas ut med stöd av offentlighetsprincipen eller annan lagreglerad uppgiftsskyldighet, så finns det laglig grund för behandlingen genom utlämnandet.

Hur uppgifterna kan lämnas ut beror på om uppgifterna som sådana är särskilt skyddsvärda ur ett dataskyddsperspektiv. 

Hur länge får jag spara listor med elever?

Svar

Hur länge man får spara listor över elever och andra klasslistor är inte i första hand en GDPR-fråga, utan styrs av hur de interna riktlinjerna och dokumenthanteringsplanerna ser ut. Om handlingarna ska arkiveras finns laglig grund för behandlingen (arkivändamål) enligt dataskyddsförordningen. 

Får jag lämna ut uppgifter till Försäkringskassan?

Fråga

Om Försäkringskassan begär uppgifter från särskolan om hur elever fungerar (som grund för beräkning av rätt till personlig assistans). Ska dessa lämnas ut? Samtycke från vårdnadshavare finns. Uppgifterna är integritetskänsliga och har inte med undervisning att göra.

Svar

Här får ni göra en sekretessprövning för att kunna bedöma om uppgifterna kan lämnas ut. Samtycke är en grund för att bryta sekretess, men om det finns en lagreglerad skyldighet att lämna ut uppgifterna till en annan myndighet behöver ni inte samtycke för att kunna lämna ut begärda uppgifter.

När det gäller en särskola med kommunal huvudman, som ju är en myndighet, finns denna skyldighet eftersom det står framgår av socialförsäkringsbalken att Försäkringskassan har rätt att få de uppgifter som de behöver från bland annat myndigheter.

Får jag ha ansiktsbilder på “lärväggar” på förskolan?

Fråga

Är det okej att ha ansiktsbilder på “lärväggar” på förskoleavdelningars väggar?

Svar

Om ni bedömer att det finns ett pedagogiskt syfte med lärväggar och det sker inom ramen för utbildningen i förskolan har ni laglig grund enligt dataskyddsförordningen för behandlingen i form av ansiktsbilder.

Om det finns några hinder mot bildhantering på detta sätt eller inte beror snarare på vilka som kan se lärväggarna och om lärväggarna kan innehålla uppgifter som omfattas av sekretess eller annan känslig information.

Får vårdnadshavare skicka sms till läraren när elev är sjuk?

Svar

Det finns förmodligen inte laglig grund för att utforma frånvaroanmälan eller frånvaroregistrering på ett sådant sätt att man ska ange att det handlar om sjukfrånvaro eller liknande, eftersom det innebär en behandling av uppgift om hälsa. Det gäller oavsett om uppgiften lämnas via sms eller e-post.

Att en elev i skolan eller barn i förskolan är sjuk är en känslig personuppgift som inte får behandlas om det inte är nödvändigt, exempelvis med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades integritet eller vid handläggning av ett ärende. En annan sak är om vårdnadshavare frivilligt på eget bevåg lämnar den typen av information.

Ansvar som rektor

Hur ser mitt ansvar som rektor ut?

Svar

Som rektor behöver du säkerställa att dina medarbetare är förtrogna med den nya lagstiftningen och följer kommunens/skolhuvudmannens framtagna riktlinjer för hantering av personuppgifter.

Det behövs säkerligen också rutiner och eventuella fortbildningsinsatser för hur ni arbetar dels med dataskydd/informationssäkerhet och dels hur ni agerar när ni vill använda nya it-tjänster i verksamheten där personuppgifter hanteras.

Vad bör jag som skolsköterska tänka på?

Svar

Den medicinska delen av elevhälsan anses som en självständig verksamhetsgren i förhållande till övrig skolpersonal när det gäller sekretess.

Hälso- och sjukvårdspersonal inom elevhälsan har även andra lagar att förhålla sig till vad gäller de medicinska insatserna, exempelvis hälso- och sjukvårdslagen och patientdatalagen vilket kan påverka vad man får och inte får göra ur ett GDPR-perspektiv.

Behandla personuppgifter

Vad är en personuppgift? 

Svar

En personuppgift är varje upplysning som avser en identifierad eller identifierbar fysisk person. En fysisk person är identifierbar direkt eller indirekt genom uppgifter som exempelvis namn, personnummer, adress, telefonnummer, IP-adress eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. 

Vad är känsliga personuppgifter? 

Svar

Känsliga personuppgifter är uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa, sexualliv eller sexuella läggning. Känsliga personuppgifter får bara behandlas i vissa fall.

När känsliga personuppgifter får behandlas, Datainspektionen

Får skolan upprätta och dela ut klasslistor?

Fråga

Får skolan upprätta klasslistor och i så fall även dela ut dessa?

Svar

Ja, att upprätta klasslistor är absolut tillåtet. Skolförvaltningen behöver ha klasslistor för att kunna bedriva sin verksamhet, och då finns det rättsligt stöd. Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 6 1 e) och 2 kap 4 § dataskyddslagen). Något samtycke för detta är alltså inte nödvändigt, men hanteringen ska finnas med i registerförteckning och informeras om.

Det ska inte heller vara något hinder att dela ut klasslistor till vårdnadshavare, givetvis beroende på vad klasslistan innehåller. Eftersom det finns rättsligt stöd för att ha listan i den egna verksamheten, är den också en allmän handling som skulle kunna begäras ut. Det är bara de som har skyddade folkbokföringsuppgifter, eller om det föreligger annan specifik sekretess för viss elev, som gör att uppgifter om den eleven inte ska finnas med i klasslistan. Det bör anses som en del i verksamheten att föräldrarna vet vilka barn som går i klassen och därför ska det inte vara något hinder att lämna ut dessa listor. Men tänk ”uppgiftsminimering”, vilka uppgifter är relevanta att dela ut? Hela personnummer bör inte finnas med, men födelsedatum kan vara ok, men behövs det i sammanhanget?

Är det tillåtet för en lärare att ha egna digitala adresslistor?

Fråga

Vid sidan om skolornas gemensamma system för att registrera eleverna använder många lärare program som Excel på sina datorer. Är det tillåtet för en lärare att ha egna digitala adresslistor till eleverna?

Svar

I princip ja, men det beror på innehållet i adresslistorna och vilka riktlinjer kommunen har i frågan.

Hanteringen ska finnas med i den registerförteckning som ska tas fram centralt, eftersom det handlar om en digital hantering. Sen beror det så klart på vilken sorts personuppgifter som hanteras, var den sparas (på kommunens nätverksplatser, lokalt på datorn) och om det är en privat dator eller tillhandahållen av kommunen. Vilket då även handlar om data/informationssäkerhetsfrågor och inte enbart GDPR. 

Spara personuppgifter på en lokal dator eller i en molntjänst?

Fråga

Är det någon skillnad om informationen, så som personuppgifter, är sparade på en lokal dator eller i en molntjänster exempelvis Google Drive?

Svar

Ja, det kan det vara skillnad. Det beror främst på vilka personuppgifter som hanteras och hur man klassar informationen, vilka krav som finns på den utifrån till exempel riktighet, tillgänglighet och konfidentialitet - hur skyddsvärdig den är. Det här handlar alltså om mer än dataskyddsförordningen, det handlar om hur vi hanterar information i våra olika it-tjänster och det är viktigt att det finns tydliga riktlinjer för var man får och kan spara samt var informationen ska sparas.

Enkelt uttryckt kan man säga att ju högre skyddsvärde informationen har, desto viktigare är det att it-tjänsten är "tillräckligt" säker, så att information inte försvinner, läcker ut osv. När det gäller just personuppgifter är leverantörer som till exempel Google s.k. personuppgiftsbiträden och ansvariga för att hantera personuppgifterna på ett visst sätt och här finns speciella personuppgiftsbiträdesavtal. 

Uppgifter om vem som äter vad

Fråga

Får man lägga in uppgifter om vem som äter vad (exempelvis "vegetariskt" eller "inte fläskkött") i klasslistorna man har?

Svar

All hantering av personuppgifter som sker digitalt ska finnas med i en registerförteckning där du bland annat talar om ändamålet med behandlingen. Det kan vara både nödvändigt och relevant för de som lagar och serverar skolmaten att ha koll på detta, så svaret är ja. Denna sortens uppgifter får man lägga in.

Sen behöver du göra en bedömning kring vilken sorts personuppgifter det är, om de är känsliga eller inte. Om kommunen till exempel gör bedömningen att det är känsliga personuppgifter kräver det en viss säkerhet kring den tjänst man lagrar informationen i (om det så är nätverksplatsen eller en it-tjänst).

Just uppgifter om matpreferenser kan vara känsliga, då dessa kan betraktas som personuppgift om religös tillhörighet eller hälsotillstånd.

Räknas för- och efternamn som två sökingångar?

Svar

Nej. För- och efternamn räknas som en sökingång, personnummer som en sökingång. Men detta har bara relevans när det gäller rent manuell hantering av personuppgifter, dvs när man aldrig har använt eller kommer att använda digitala verktyg/tjänster vid insamlandet.

Läs mer om en lista med en sökingång ska registreras

Får jag begära in barns vistelse på fritids?

Fråga

Får jag begära in barns vistelse på exemeplvis fritids genom att skicka ut en enkät i Google forms? Uppgifter som begärs in är barnets namn, klass och vilka tider som barnet kommer att vara på fritids. I slutändan blir detta en lista med de begärda uppgifterna på.

Svar

Ja, det bör som huvudregel inte finnas något hinder mot det. Det är nödvändigt att samla in uppgifter om elevernas vistelsetider för att kunna ge utbildning i fritidshemmet i enlighet med skollagens bestämmelser (exempelvis ge utbildning i den omfattning som behövs) det vill säga uppgift av allmänt intresse.

Så länge som ni inte begär in känsliga personuppgifter i Google forms eller andra personuppgifter som kräver en högre säkerhet, så är det ok.

Får jag skriva elevens namn när jag mejlar?

Fråga

Får man skriva namn i e-post mellan personal på skolan? (Viss personal skriver inte elevers namn utan bara första bokstaven).

Svar

I de flesta fall bör det vara motiverat att lärare inom ramen för arbetet kommunicerar sinsemellan gällande elever. För att veta vilken elev man pratar om behöver man ofta ange namn, men även om man inte anger namn utan endast alias eller första bokstaven kan det vara att hantera personuppgifter om det indirekt går att knyta uppgiften till en viss person.

Huruvida uppgifterna får mejlas eller inte beror på innehållet i den information man behöver utbyta sinsemellan och på hur it-säkerheten kring e-postsystemet ser ut. Här behöver man alltså veta hur riktlinjerna för e-posthantering ser ut i verksamheten.

Får jag lämna ut personuppgifter till reklam för en utbildning?

Fråga

Om en yrkesutbildning eller någon annan näringsidkare vill ha elevers namn och adresser för utskick av reklam om utbildning, får man lämna ut det?

Svar

Om en huvudman för yrkesutbildning på eget bevåg begär uppgifterna får ni utifrån rätten att ta del av allmän handling pröva om uppgifterna kan lämnas ut eller om det kan finnas uppgifter som omfattas av sekretess. Reklamutskicket skulle kanske även i vissa fall kunna anses ske som en åtgärd inom ramen för kommunens aktivitetsansvar för ungdomar.

Oavsett om behandlingen i form av utlämnande av namn och adresser sker inom ramen för offentlighetsprincipen eller kommunens aktivitetsansvar, så finns laglig grund för behandlingen.

Får man ha digitala "blöjbytarlistor"?

Fråga

I förskolevärlden har man ju ofta "blöjbytarlistor". Får man ha sådana i digital form?

Svar

Ja, men all hantering av personuppgifter som sker digitalt ska finnas med i en registerförteckning där du bland annat talar om ändamålet med behandlingen. Det behöver också göras en bedömning av vilken sorts information det är, hur skyddsvärdig den är och vilka krav som ställs på tjänsten där informationen sparas.

Sen är det ju viktigt att alltid föra ett resonemang kring när det är relevant att hantera personuppgifter och inte. Att ha rutiner för blöjbyten kan anses nödvändigt och inom ramen för förskolans verksamhet att ge barnen en trygg omsorg och kan då anses vara allmänt intresse, men går det kanske att ha rutiner för blöjbyten utan att föra listor med personuppgifter? Eller vill man ha dem utifrån dokumentationssynpunkt för att kunna identifiera ändamålet med behandlingen?

Det är viktigt att komma ihåg att det inte är varje pedagog/medarbetare som ska registrera allt det här. Det bör göras en central kartläggning, tas fram en registerförteckning som tydligt visar vilken information som ska sparas och var och om listor som dessa ska sparas på egen dator eller i anvisad it-tjänst.

Får jag visa på en bildskärm vilka som är sjuka/frånvarande?

Fråga

Får jag visa på en bildskärm i skolan vilka som är sjuka, eller frånvarande av andra skäl, för dagen (för att lärare och elever ska veta vilka i klassen som är borta/närvarande)?

Svar

Nej, det finns sannolikt inte laglig grund för att behandla uppgifter om sjukdom i detta sammanhang, det vill säga det är inte tillåtet att ange skäl för frånvaro. Däremot bör det inte finnas något hinder mot att “enbart” visa upp frånvaro eller närvaro på elever och lärare i hallen förutsatt att det bedöms motiverat att så många olika personer i det skolgemensamma utrymmet tar del av uppgifterna.

It-tjänster

Hur ska jag veta vilka it-tjänster som är okej att använda?

Fråga

Om jag som lärare hittar en digital resurs i form av en app, en gratistjänst eller dylikt som jag vill använda, hur ska jag veta om den är okej att använda eller inte?

Svar

Här blir det viktigt att skolhuvudman skapar så enkla rutiner som möjligt för hur lärarna ska agera när de hittar intressanta tjänster att använda i arbetet. En idé kan vara att ta fram ett frågeformulär för läraren att besvara med frågor, som till exempel om tjänsten kommer att hantera personuppgifter, om den ska användas enbart av läraren eller av kollegor, elever, vårdnadshavare och så vidare, där svaren leder läraren vidare till ett ”okej att använda” eller ”behöver kollas upp mer”.

Om tjänsten hanterar personuppgifter behöver ni alltid göra en bedömning och en klassning av informationen för att säkerställa att såväl avtal som hantering av personuppgifter är ok, att det dokumenteras i registerförteckningen och så vidare.

Det är handlar också om två olika delar: dels dataskyddsförordningen, hur och vilka personuppgifter man får hantera och dels datasäkerhetsfrågor, hur man skyddar information baserat på vilken sorts information det är och hur skyddsvärdig den är.

Ni bör i princip alltid göra en informationssäkerhetsklassning för att avgöra vilka krav ni har på informationen som hanteras i olika it-tjänster utifrån fyra olika områden (konfidentialitet, riktighet, tillgänglighet och spårbarhet). I det arbetet kan ni till exempel använda SKL:s verktyg Klassa för att få fram de krav ni behöver ställa både på it-leverantören och er egen organisation. Mer stöd finns på SKL:s webbplats.

Mall för vad du bör tänka på för att införa en it-tjänst

Verktyget Klassa

Stöd kring informationssäkerhet

Molntjänster i skolan

För att få koll på alla de it-tjänster som används i verksamheten idag och vilka personuppgifter som hanteras, kan en bra övning vara att göra en informationskartläggning, det vill säga att se över vilken information som hanteras, i vilka processer och i vilka tjänster.

Vad menas med en "säker" plattform?

Fråga

När vi pratar om "säkra plattformar", pratar vi då bara om själva plattformen som sådan (it-programmet eller liknande), eller bör det också vara VPN, att man bör säkerställa att server som systemet ligger på är fysiskt i Sverige och så vidare, det vill säga att det är en bredare fråga än "bara" programmet/tjänsten?

Svar

Om vi med “säkra plattformar” menar olika it-tjänster (lärplattformar och så vidare) så ska man alltid göra en informationssäkerhetsklassning för att baserat på den säkra upp it-tjänsten så som det behövs. Det handlar såväl om var information lagras (servrar i Sverige, inom/utanför Europa, om informationen förs över till tredjepart osv). På sätt är det en bredare fråga än bara tjänsten, även om lagring av information ingår i tjänsten.

Ni bör i princip alltid göra en informationssäkerhetsklassning för att avgöra vilka krav ni har på informationen som hanteras i olika it-tjänster utifrån fyra olika områden (konfidentialitet, riktighet, tillgänglighet och spårbarhet). I det arbetet kan ni till exempel använda SKL:s verktyg KLASSA för att få fram de krav ni behöver ställa både på it-leverantören och er egen organisation.

Mall för vad du bör tänka på för att införa en it-tjänst (PDF, nytt fönster)

Verktyget KLASSA

Stöd kring informationssäkerhet

Molntjänster i skolan

Får jag mejla inloggningsuppgifter?

Fråga

Får man mejla inloggningsuppgifter enligt den rutin som vi har på kommunen, exempelvis inloggningsuppgifter för en elev till lärare?

Svar

Det beror dels på vilken sorts it-tjänst inloggningsuppgifterna är ämnade för och vad som lagras där, dels hur ert e-postsystem är uppsatt (hur säkert det är), men att mejla inloggningsuppgifter kan vara riskfyllt av flera anledningar.

Om mejlet hamnar fel, kommer någon annan få tillgång till information vederbörande kanske inte bör ha? Är det dessutom inloggning till en it-tjänst som i sin tur behandlar personuppgifter av känsligare karaktär blir skadan än större.

Ni bör nog resonera här: varför ska inloggningsuppgifter mejlas via lärare till elev? Går det att tillgängliggöra användarnamn på något annat sätt? I kombination med möjlighet till engångslösenord som ändras av eleven vid första inloggning eller liknande?

Får jag mejla åtgärdsplaner?

Fråga

Åtgärdsplaner (vid någon typ av problem eller annat ärende) som upprättas i skola där rektor, lärare, vårdnadshavare och kanske elevhälsa är inblandade. Hur kan man hantera det it-mässigt så att alla parter får del av underlaget? Får jag mejla sådana planer?

Svar

Det beror på hur verksamhetens e-postsystem ser ut säkerhetsmässigt och hur den lokala it-miljön är klassad. Men när det handlar om känsliga personuppgifter (exempel uppgift om diagnos) behövs en hög it-säkerhet och man bör i första hand använda sig av andra sätt än e-post. Exempelvis genom att berörda personer som behöver ta del av ett visst underlag loggar in och läser underlaget direkt i it-systemet. 

Hur ska vi hantera utvecklingsplaner om it-tjänsten inte uppfyller våra krav?

Om en leverantör inte uppfyller de krav ni som beställare har eller det av andra anledningar inte går att vara säker på att personuppgifterna hanteras i enlighet med era krav och olika lagrum, kan ni inte använda it-tjänsten.

Det är handlar också om två olika delar: dels dataskyddsförordningen, hur och vilka personuppgifter man får hantera och dels datasäkerhetsfrågor, hur man skyddar information baserat på vilken sorts information det är och hur skyddsvärdig den är.

Ni bör i princip alltid göra en informationssäkerhetsklassning för att avgöra vilka krav ni har på informationen som hanteras i olika it-tjänster utifrån fyra olika områden (konfidentialitet, riktighet, tillgänglighet och spårbarhet).

I det arbetet kan ni till exempelt använda SKL:s verktyg Klassa för att få fram de krav ni behöver ställa både på it-leverantören och er egen organisation. Mer stöd i arbetet med informationssäkerhet samt molntjänster i skolan finns på SKL:s webbplats.

Verktyget Klassa

Stöd kring informationssäkerhet

Molntjänster i skolan

Får vi ha läsplattor för närvarohantering uppsatta i entrén?

Fråga

Kan vi ha läsplattor med en it-tjänst för närvaro uppsatt i hallen på förskolan för vårdnadshavare och barn att “stämpla in/ut” på utan samtycke?

Svar

Ja, det bör gå bra om föräldrar/barn genom inloggning enbart kan komma åt sina egna närvarouppgifter via lärplattan och att it-tjänsten anses uppfylla kraven på datasäkerhet.

Det här handlar om två olika delar: dels dataskyddsförordningen, hur och vilka personuppgifter man får hantera och dels datasäkerhetsfrågor, hur man skyddar information baserat på vilken sorts information det är och hur skyddsvärdig den är.

Ni bör i princip alltid göra en informationssäkerhetsklassning för att avgöra vilka krav ni har på informationen som hanteras i olika it-tjänster utifrån fyra olika områden (konfidentialitet, riktighet, tillgänglighet och spårbarhet). I det arbetet kan ni t.ex. använda SKL:s verktyg Klassa. Mer stöd i arbetet med informationssäkerhet samt molntjänster i skolan finns på SKL:s webbplats.

Verktyget Klassa

Stöd kring informationssäkerhet

Molntjänster i skolan

Får Schoolsoft hantera personuppgifter?

Fråga

It-tjänster som till exempel Schoolsoft, är den godkänd som system att hantera personuppgifter inklusive känsliga personuppgifter?

Svar

Det går tyvärr inte att bara svara enkelt ja eller nej på den frågan. Varje personuppgiftsansvarig behöver göra sin egen bedömning om tjänsten uppfyller kraven eller inte. Om tjänsten hanterar personuppgifter behöver ni alltid göra en bedömning och en klassning av informationen för att säkerställa att såväl avtal som hantering av personuppgifter är ok, att det dokumenteras i registerförteckningen och så vidare.

Det är handlar också om två olika delar: dels dataskyddsförordningen, hur och vilka personuppgifter man får hantera och dels datasäkerhetsfrågor, hur man skyddar information baserat på vilken sorts information det är och hur skyddsvärdig den är. Om ni lagrar känslig information i tjänsten ökar kraven på hur tjänsten sätts upp (säkrare inloggning, tydligare behörighetsstyrning etc.).

Ni bör i princip alltid göra en informationssäkerhetsklassning för att avgöra vilka krav ni har på informationen som hanteras i olika it-tjänster utifrån fyra olika områden (konfidentialitet, riktighet, tillgänglighet och spårbarhet). I det arbetet kan ni till exempel använda SKL:s verktyg KLASSA för att få fram de krav ni behöver ställa både på it-leverantören och er egen organisation.

KLASSA

Mall för vad du bör tänka på för att införa en it-tjänst, (PDF, nytt fönster)

Vad är god it-säkerhet och stark autentisering?

Fråga

Datainspektionen skriver om “god it-säkerhet” och “stark autentisering” när integritetskänsliga uppgifter hanteras. Betyder det tvåfaktorsinloggning?

Svar

Om det hanteras integritetskänsliga uppgifter och känsliga personuppgifter i lärplattformen krävs en högre säkerhetsnivå och god it-säkerhet som Datainspektionen skriver. Det betyder bland annat säkrare inloggning, till exempel via tvåfaktorsinloggning, men även andra delar som tydlig behörighetsstyrning.

Det är viktigt att göra en informationssäkerhetsklassning för att avgöra hur skyddsvärdig informationen är för verksamheten, vilka lagrum som finns osv. I det arbetet kan ni till exempel använda SKL:s verktyg KLASSA för att få fram de krav ni behöver ställa både på it-leverantören och er egen organisation.

KLASSA

Får jag visa upp en barns vistelsetider på en digital skärm?

Fråga

Förskolan har alltid visat upp barns vistelsetider via papperslista i hallen. Blir det någon skillnad om detta görs på en digital skärm i hallen?

Svar

Ur sekretesshänsyn blir det ingen skillnad. Har ni tidigare bedömt att det inte röjs några sekretesskyddade uppgifter genom exponering på detta sätt, så blir det ingen skillnad om det görs på en digital skärm i hallen.

Däremot kan skillnaden mellan en digital skärm kontra en handskriven lista vars uppgifter inte heller kommer att lagras göra att behandlingen omfattas av dataskyddsförordningen och måste sorteras in under en laglig grund och ändamål med behandlingen i registerförteckningen. 

Får jag använda lärplattformar?

Fråga

Hur fungerar det med olika lärplattformar och GDPR? Tänker kring dokumentation i förskola med tanke på vår starka sekretess.

Svar

Lärplattformar som innehåller sekretesskyddade uppgifter och andra uppgifter av känslig karaktär behöver ha en god säkerhet.

Det är handlar också om två olika delar: dels dataskyddsförordningen, hur och vilka personuppgifter man får hantera och dels datasäkerhetsfrågor, hur man skyddar information baserat på vilken sorts information det är och hur skyddsvärdig den är. Om ni lagrar känslig information i tjänsten ökar kraven på hur tjänsten sätts upp (säkrare inloggning, tydligare behörighetsstyrning etc.).

Ni bör i princip alltid göra en informationssäkerhetsklassning för att avgöra vilka krav ni har på informationen som hanteras i olika it-tjänster utifrån fyra olika områden (konfidentialitet, riktighet, tillgänglighet och spårbarhet). I det arbetet kan ni till exempel använda SKL:s verktyg Klassa för att få fram de krav ni behöver ställa både på it-leverantören och er egen organisation.

Mall för vad du bör tänka på för att införa en it-tjänst (PDF, nytt fönster)

Verktyget KLASSA

Stöd kring informationssäkerhet

Molntjänster i skolan

Personuppgiftsbiträdesavtal

Hur säkrar vi upp våra avtal för skolans alla it-tjänster?

Fråga

Alla skolans it-tjänster, från enstaka appar och tilläggsprogram till lärplattformar och elevregister - hur säkrar vi upp avtalen och ansvaret mellan beställare (oss) och leverantörerna så att vi vet att personuppgifter hanteras korrekt?

Svar

Hur avtalen ska se ut beror på vilka krav ni har på informationen som hanteras i tjänsterna och hur ni klassat den. Det kan bland annat handla om hur tillgänglig ni vill att informationen ska vara, men också vilka lagrum ni har att förhålla er till (kommande dataskyddsförordning, arkivlag, skollag) och hur personuppgifter ska hanteras.

Kraven på de som är personuppgiftsbiträden (till exempel leverantörer av it-tjänster där personuppgifter hanteras) blir tydligare i och med dataskyddsförordningen. Den del av avtalet som reglerar hantering av personuppgifter kallas för biträdesavtal. Det är här ni definierar ansvaret mellan er som beställare och leverantören.

Ladda ner en biträdesavtalsmall under punkt 6:

SKL:s tio informationsinsatser

Kommer SKL att hjälpa till att bedöma leverantörernas avtal?

Fråga

Kommer SKL att hjälpa till att bedöma leverantörernas avtal utifrån ett personuppgiftsperspektiv eller ska varje skolhuvudman göra sin egen bedömning om avtalet håller?

Svar

Som personuppgiftsansvarig och beställare av en it-tjänst måste skolhuvudmannen alltid göra en egen bedömning, dokumentera, ta fram avtal och se till att riktlinjer förankras i verksamheten.

En grundregel är att det alltid bör vara beställaren som tar fram avtal, inte leverantören. När det gäller globala leverantörer är detta inte alltid möjligt, varvid en särskild bedömning bör göras och dokumenteras. SKL uppmuntrar samverkan mellan skolhuvudmän i bedömningen av olika leverantörers avtal för att underlätta för alla parter.

Gå gärna med i SKL:s samarbetsrum för att diskutera och starta samverkan kring frågorna.

Information kring samarbetsrummet

Vad gäller för fristående skolhuvudmän?

Fråga

Vem är personuppgiftsansvarig och vem är ansvarig för PuB-avtal för fristående skolhuvudmän?

Svar

När det gäller förskolor/skolor som drivs av enskilda huvudmän är det den enskilda huvudmannen som är personuppgiftsansvarig för de behandlingar som sker i dess verksamhet och har ansvar för att upprätta nödvändiga avtal.

Vem som i praktiken upprättar avtalen varierar internt beroende på hur organisationen ser ut och var man har valt att lägga befogenheten att sluta avtal. Vänd dig till din närmaste chef om du är osäker på hur befogenheterna ser ut i din organisation.

SKL har en mall för PuB-avtal som man kan använda som utgångspunkt, men som naturligtvis behöver anpassas utifrån förhållandena i det enskilda fallet.

Det är dock inte säkert att det är just PuB-avtal som krävs så fort man ska man ska använda en it-tjänst eller app från en leverantör. PuB-avtal behövs när en annan aktör behandlar personuppgifter för den personuppgiftsansvariges räkning.

Kommuner som hanterar friskolors personuppgifter

Fråga

Vad gäller för kommuner som hanterar friskolors personuppgifter? Är kommunen personuppgiftsbiträde för friskolor när deras personuppgifter hanteras i kommunens system?

Svar

Friskolor är personuppgiftsansvariga för sin egen verksamhet och den behandling av uppgifter som sker där. Vem som fattat beslut att godkänna den fristående huvudmannen har inte någon betydelse för vem som anses var personuppgiftsansvarig.

Om kommunen av olika anledningar hanterar friskolornas personuppgifter i sina it-tjänster å friskolornas räkning är kommunen personuppgiftsbiträde och PuB-avtal behövs. Men om kommunen hanterar personuppgifterna för att de själva behöver, har krav att göra, är kommunen personuppgiftsansvariga.

Om uppgifter i det sammanhanget lämnas ut mellan friskolan och kommunen är det en utlämning av uppgifter två personuppgiftsansvariga emellan och inget PuB-avtal krävs.

Exempel

En kommun som hanterar friskoleelevers personuppgifter i sitt skoladministrativa system för att kunna följa upp skolplikt, registrera betyg etcetra, det vill säga sådant det åligger kommunen att ansvara för, behöver inte PuB-avtal eftersom kommunen är personuppgiftsansvarig och inte biträde. Uppgifterna kan lämnas ut från kommun till friskola och vice versa.

Om friskolan däremot ber kommunen att hantera specifika uppgifter åt dem, som inte åligger kommunen, krävs ett PuB-avtal eftersom kommunen då blir personuppgiftsbiträde.

Behövs PUB-avtal med Skolverket och Skolinspektionen?

Fråga

Behövs PUB-avtal med exempelvis Skolverket, Skolinspektionen, SCB, interkommunala elever som behandlas av andra kommuner eller privata förskolor och skolor?

Svar

Personuppgiftsbiträdesavtal (PuB-avtal) behövs i de fall någon annan aktör behandlar personuppgifter för den personuppgiftsansvarige nämndens/skolans räkning. För att kunna svara på denna fråga behöver man därför först veta varför Skolverket, SCB och andra aktörer behandlar personuppgifterna.

Om Skolverket behandlar personuppgifter utifrån en bestämmelse som reglerar dess egen verksamhet, är Skolverket personuppgiftsansvarig för denna behandling och PUB-avtal är inte aktuellt även om personuppgifterna har hämtats in från en annan personuppgiftsansvarig. Exempelvis sker utlämnande av vissa uppgifter från kommuner till SCB och Skolverket inom ramen för en uppgiftsskyldighet.

Skolverket behandlar sedan personuppgifterna för egen räkning inom ramen för den reglering som gäller för den egna verksamheten, exempelvis det i skollagen fastställda uppdraget att på nationell nivå följa upp och utvärdera skolväsendet.

Detsamma gäller för behandling av uppgifter om elever som tas emot av en annan kommun eller hos en skola som drivs med enskild huvudman. De behandlar personuppgifterna utifrån vad som är nödvändigt för att de ska kunna ge utbildning i enlighet med skollagens bestämmelser och inte för hemkommunens räkning.

Registerförteckning

Vad ska finnas med i en registerförteckning?

Svar

När dataskyddsförordningen ska börja tillämpas den 25 maj 2018 har alla personuppgiftsansvariga (nämnderna i kommunerna) skyldighet att se till att föra ett register över all behandling av personuppgifter som sker under dess ansvar och som omfattas av dataskyddsförordningen, en så kallad registerförteckning.

Med behandling av personuppgifter avses åtgärder eller en kombination av åtgärder som berör personuppgifter eller uppsättningar av personuppgifter, oberoende av om det utförs automatiserat eller inte (insamling, registrering, organisering, strukturering, lagring, bearbetning/ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring).

Obs! För att behandlingen ska omfattas av dataskyddsförordningen och därmed finnas med i registerförteckningen måste behandlingen av personuppgifter helt eller delvis ske på automatisk väg eller - om behandlingen är helt manuell- ingå i eller komma att ingå i ett register.

Med manuellt register menas uppgifter som är ordnade enligt särskilda kriterier (det vill säga någon dator har aldrig använts vid insamlandet). I Sverige har regeln om manuell behandling tolkats på så sätt att det krävs två separata sökkriterier för att regelverket ska gälla för behandlingen ifråga. Till exempel att man kan identifiera personen med både namn och personnummer. Notera att för- och efternamn räknas som en sökingång.

För helt eller delvis automatiserad behandling gäller regelverket både personuppgifter som lagras i registerform och i ostrukturerad form. Det senare kan vara till exempel personuppgifter i ordbehandlingsdokument, på webbplatser, i ett elektroniskt brev.

I Sverige har vi tidigare gjort omfattande undantag för ostrukturerad behandling genom den så kallade missbruksregeln i PuL, som nu upphör den 25 maj 2018. Ändringarna innebär för skolans del att även lokal ostrukturerad behandling av personuppgifter inom skolans verksamhet måste finnas med i nämndens samlade registerförteckning och hanteras i den systematik som gäller för all behandling i nämndens verksamhet.

SKL har tagit fram en mall för registerförteckning, instruktioner samt en webbsändning som beskriver hur man kan fylla i mallen.

Mall, instruktioner och webbsändning hittas under punkt 4

Ska en papperslista med personuppgifter registerföras?

Fråga

När är dataskyddsförordningen tillämplig? Är inte GDPR teknikneutral d.v.s en papperslista med personuppgifter bör också registerföras och bedömas utifrån GDPR?

Svar

När man talar om behandling av personuppgifter i dataskyddsförordningen (GDPR) så är definitionen teknikneutral på så sätt att man med behandling menar alla typer av åtgärder eller en kombination av åtgärder som berör personuppgifter eller uppsättningar av personuppgifter, oberoende av om det utförs automatiserat eller inte (insamling, registrering, organisering, strukturering, lagring, bearbetning/ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring). Men det innebär inte per automatik att alla typer av behandlingar omfattas av dataskyddsförordningens tillämpningsområde.

För att behandlingen ska omfattas av dataskyddsförordningen måste behandlingen av personuppgifter helt eller delvis ske på automatisk väg eller - om behandlingen är helt manuell, ingå i eller komma att ingå i ett register.

Med manuellt register menas uppgifter som är ordnade enligt särskilda kriterier. I Sverige har regeln om manuell behandling tolkats på så sätt att det krävs två separata sökkriterier för att regelverket ska gälla för behandlingen ifråga. Till exempel att man kan identifiera personen med både namn och personnummer. För- och efternamn räknas som ett sökkriterium.

För helt eller delvis automatiserad behandling gäller regelverket både personuppgifter som lagras i registerform och i ostrukturerad form. Det senare kan vara exempelvis personuppgifter i ordbehandlingsdokument, på webbplatser eller i ett elektroniskt brev.

Exempel

En papperslista som är utskriven från skolans it-tjänst är alltså en behandling som omfattas av dataskyddsförordningen. Men en helt handskriven lista med personuppgifter och andra uppgifter skrivna för hand och som inte ska föras in i någon it-tjänst eller komma att ingå i något register omfattas inte av dataskyddsförordningen och behöver alltså inte föras in i registerförteckningen.

Ska en lista med endast en sökingång registreras?

Svar

Om du inte planerar att hantera listan digitalt på något sätt, och den inte är hämtad från en it-tjänst så behöver den personuppgiftshanteringen inte registreras i en förteckning.

När man talar om olika sökingångar så gäller det i förhållande till om det uppfyller kriterierna för att anses vara ett manuellt register, eftersom alla elektroniska behandlingar - oavsett om det sker i form av ett register eller på annat sätt - omfattas av dataskyddsförordningen och ska finnas med i registerförteckningen.

Exempel

Handskrivna enkätsvar eller elevarbeten som inte kommer att föras in i någon it-tjänst, men som sorteras in i en pärm i bokstavsordning utifrån namn på eleverna uppfyller inte kraven för ett manuellt register.

Men om det dessutom upprättas en lista, där det framgår både namn och personnummer på de elever som finns i pärmen, kan listan tillsammans med innehållet i pärmen däremot utgöra ett register. Detta gäller oavsett om listan sätts in i pärmen eller förvaras separat någon annanstans.

Vem ska ta fram och förvara en registerförteckning?

Svar

Nämnden är ansvarig för att en registerförteckning tas fram och vilka ändamål för behandling av personuppgifter som ska finnas med. Förteckningen är, förutom dokumentation över behandling av personuppgifter, också en hjälp för de anställda att veta hur olika verktyg, tjänster och system får användas för personuppgiftshantering och på vilket sätt (vilken sorts personuppgifter som får hanteras i vilka tjänster osv.)

Registerförteckningen kan dels finnas centralt på förvaltningen, men även lokalt på skolorna till exempel hos skolledning, beroende på vilka rutiner din kommun valt att arbeta efter. En registerförteckning behöver i sig inte vara så avancerad. Det handlar bland annat om att tala om ändamålet med all den behandling som utförts som man har ansvar för.

Före den 25 maj måste varje verksamhet göra en inventering av vilken behandling som utförs och med vilka system, verktyg och för vilka ändamål. SKL har en mall för hur detta kan göras.

SKL:s mall för registerförteckning (Excel, nytt fönster)

Klasslistor av olika slag, behöver de registerföras?

Svar

För att register och andra listor som finns i skolans värld ska behöva finnas med i registerförteckningen förutsätts att det är en behandling som faller under dataskyddsförordningens tillämpningsområde.

Med behandling av personuppgifter avses åtgärder eller en kombination av åtgärder som berör personuppgifter eller uppsättningar av personuppgifter, oberoende av om det utförs automatiserat eller inte (insamling, registrering, organisering, strukturering, lagring, bearbetning/ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring).

Obs! För att behandlingen ska omfattas av dataskyddsförordningen och därmed finnas med i registerförteckningen måste behandlingen av personuppgifter helt eller delvis ske på automatisk väg eller - om behandlingen inte är automatisk - ingå i eller komma att ingå i ett register. Ett register är en strukturerad samling av personuppgifter som är tillgängligt enligt särskilda kriterier med minst två sökingångar, till exempel att man kan identifiera personen med både namn och personnummer.

Några exempel

  • En klasslista med namn, adress och telefonnummer = en lista som innehåller personuppgifter och som behöver finnas med i registerförteckningen. Om klasslistan är digital utgör den en automatisk behandling av personuppgifter och om listan skrivs ut är det en ny personuppgiftsbehandling men för samma ändamål. Om listan är skriven för hand uppfyller den kriterierna för ett manuellt register som måste finnas med i förteckningen, eftersom en elev kan identifieras med både namn och telefonnummer, dvs. fler än en sökingång.
  • En lista med förnamn och resultat på diagnoser, läxförhör etc. = om listan är digital utgör den en behandling av personuppgifter som behöver finnas med i förteckningen. Om listan däremot är skriven för hand utgör den inte ett manuellt register, eftersom det bara går att identifiera personer via namn, dvs. enbart en sökingång. Den handskrivna listan är därmed inte en sådan personuppgiftsbehandling som ska finnas med i förteckningen.
  • En utskriven klasslista (hämtad från it-tjänst alternativt skriven i t.ex. word/excel) där namn och klass syns och innehåller tomma kolumner för att skriva in resultat på läxförhör för hand = i och med att klasslistan skrivits ut från digital form är det en behandling av personuppgifter. När läraren sedan antecknar elevresultat för hand på listan är detta en ny behandling av personuppgifter, om syftet med anteckningarna är att senare registrera uppgifterna i skolans it-system (s.k. delvis automatiserad behandling).
  • En handskriven lista med enbart namn på elever = inte en behandling som måste finnas i förteckningen, eftersom behandlingen är manuell. I och med att individer enbart kan identifieras via en sökingång (namn) uppfyller listan inte kraven för att utgöra ett manuellt register.
  • Ostrukturerade anteckningar om namngivna elever i en lärarkalender = kan vara en personuppgiftsbehandling som måste finnas i registerförteckningen, om uppgifterna senare ska föras in i skolans it-system (s.k. delvis automatiserad behandling).

Ska närvaro vid friluftsdagar föras in i registerförteckningen?

Vad gäller för klasslistor vid exempelvis friluftsdagar där närvaron eller annat sedan ska föras in i en it-tjänst, ska varje sådan lista finnas med i en registerförteckning?

Svar

Klasslistor där man noterar frånvaro/närvaro och som definitionsmässigt faller in under dataskyddsförordningens tillämpningsområde ska finnas med i registerförteckningen på så sätt att man anger laglig grund för och ändamålet med behandlingen.

Det är dock inte så att samtliga personuppgiftsbehandlingar måste noteras löpande i registerförteckningen vid varje specifikt tillfälle behandlingen görs. Att upprätta klasslistor för att kunna notera frånvaro/närvaro har alltså samma lagliga grund och ändamål oavsett om listan används vid en friluftsdag eller i klassrummet. Du behöver alltså inte registrera det i förteckningen varje gång du använder eller gör en klasslista.

Kan vårdnadshavare kräva att få ett registerutdrag om sitt barn?

Svar

Ja, enligt dataskyddsförordningens rätt till information och tillgång har den registrerade rätt att få information om vilka behandlingar som görs och ändamålet med behandlingen och på vilken grund och som vårdnadshavare till omyndiga barn har vårdnadshavaren rätt att få till exempel ett registerutdrag.

Kan en lärares underlag för betygssättning begäras ut?

Fråga

Kan en lärarens underlag för betygssättning ingå i utdrag som kan begäras ut? När bedömningen är gjord och material som underlag sparas, kan det begäras ut då?

Svar

Ja, enligt dataskyddsförordningens rätt till information och tillgång har den registrerade rätt att få information om vilka behandlingar som görs och ändamålet med behandlingen och på vilken grund så här är det viktigt med ordning och reda, att material och information gallras och arkiveras som de ska, enligt dokumenthanteringsplan till exempel.

Ska uppgifter till Statistiska centralbyrån registerföras?

Fråga

Om vi ska lämna ut uppgifter till Statistiska centralbyrån (SCB), är det en behandling som ska registreras i förteckningen?

Svar

Ja. Utlämnande av vissa uppgifter till SCB sker inom ramen för en uppgiftsskyldighet till Skolverket. Vilka uppgifter som ska lämnas ut är en fastställd rättslig förpliktelse som framgår av Skolverkets föreskrifter. Uppgiftsskyldigheten är också en uppgift av allmänt intresse som framgår av skollagen.

Vilken rättslig grund ska jag använda för ansökan till förskolan?

Fråga

Vilken rättslig grund ska jag använda för ansökan till förskolan? Vad ska jag skriva i registerförteckningen?

Svar

För att kunna ge utbildning i förskola i enlighet med skollagens bestämmelser måste föräldrar anmäla sitt behov av förskola, vilket kan ske genom en ansökan. Därmed kan behandlingen sorteras in under uppgift av allmänt intresse.

Samtycke

Samtycke eller inte?

Fråga

När behövs samtycke för att hantera personuppgifter, och när kan det anses vara "allmänt intresse" eller "myndighetsutövning" - vilket innebär att samtycke inte behövs?

Svar

Det finns flera olika grunder som kan användas för att behandla personuppgifter på laglig väg inom utbildningsverksamhet. Därför kommer samtycke normalt inte att behövas och många gånger inte heller vara möjligt.

Enligt skäl 43 i förordningen bör samtycke inte utgöra en giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den personuppgiftsansvarige och den registrerade, särskilt när den personuppgiftsansvarige är en offentlig myndighet och det är osannolikt att samtycket har lämnats frivilligt och så vidare.

Den grund som troligen blir vanligast är att behandlingen är nödvändig för att utföra uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Att tillhandahålla, anordna och bedriva utbildning är en uppgift av allmänt intresse och normalt är det också nödvändigt att behandla personuppgifter för att kunna följa skollagens bestämmelser. Därmed är det ofta tillåtet att utan samtycke behandla personuppgifter i utbildningsverksamheten.

Exempel – allmänt intresse

Att exempelvis registrera elevers frånvaro är en nödvändig behandling för att inom ramen för utbildningen (uppgift av allmänt intresse) kunna veta om det finns elever som är ogiltigt frånvarande. För att följa skollagen måste skolan bland annat underrätta vårdnadshavarna till elever i de obligatoriska skolformerna om deras barn är ogiltigt frånvarande.

Exempel – myndighetsutövning

Ett exempel på när personuppgiftsbehandlingen är nödvändig som ett led i skolans myndighetsutövning är när skolan beslutar om rättigheter eller skyldigheter gällande en enskild elev, såsom beslut om betyg, särskilt stöd och disciplinära åtgärder.

Känsliga personuppgifter

När det gäller behandling av känsliga personuppgifter ställs högre krav för att behandlingen ska vara tillåten. Känsliga personuppgifter, såsom uppgift om ras, etnicitet, politisk åsikt och hälsa, får som huvudregel inte behandlas, om det inte exempelvis är nödvändigt av hänsyn till ett viktigt allmänt intresse som finns reglerat i skollagen eller i unionsrätten och står i proportion till det eftersträvade syftet. Etnicitet kan till exempel behöva behandlas vid handläggning av hemspråksundervisning. Känsliga personuppgifter ställer extra höga krav på god datasäkerhet.

Är ett samtycke alltid tidsbestämt?

Svar

Nej, det behöver det inte vara. Samtycke kan istället när som helst återkallas. Men för att ett samtycke ska vara giltigt måste det bl.a. vara specifikt och informerat. Det innebär att det inte får finnas några tvivel kring vilken behandling av personuppgifter man har samtyckt till eller att man vet vad det är man har samtyckt till.

Personuppgifter får aldrig användas för andra ändamål än det man har samtyckt till. Det kan därför ligga i sakens natur att många samtycken är tidsbestämda, om samtycket avser ett viss givet ändamål vid ett visst givet tillfälle.

Kan jag använda ett generellt samtycke för alla personuppgifter?

Fråga

Hur ser ett samtycke ut i skolan? Räcker ett generellt samtycke att behandla alla personuppgifter inom förskolan?

Svar

Ett generellt utformat samtycke uppfyller troligtvis i de allra flesta fall inte de krav som dataskyddsförordningen ställer upp vad gäller hur ett samtycke ska utformas och användas för att vara giltigt.

För det första ska samtycket vara helt och hållet frivilligt. Den som ska ge sitt samtycke ska alltså ha en faktisk möjlighet att tacka nej utan att påverkas negativt. En person ska utan problem kunna välja att inte samtycka samt kunna ta tillbaka det lämnade samtycket. Om det finns en obalans i maktförhållanden mellan den som ska samtycka och personuppgiftsansvarig kan det innebära att det inte är ett frivilligt samtycke. Sådan obalans kan finnas till exempel vid anställningsförhållanden eller i förhållanden mellan enskild och myndighet.

Innan en person lämnar sitt samtycke ska denne ha fått tillgång till tillräcklig information avseende vad det är personen samtycker till. Tillräcklig information innebär att ni måste informera om vilka personuppgifter som ni behandlar, vad ni har för ändamål/syfte med behandlingen, samtyckets giltighetslängd, information om hur personen kommer i kontakt med personuppgiftsansvarig, att personen har rätt att när som helst återkalla sitt samtycke samt rätt att begära rättelse, dataportabilitet, radering eller begränsning av de personuppgifter som ni behandlar.

Samtycket måste också vara en aktiv handling (otvetydigt). Att låta det finnas en redan ikryssad box och texten ”jag samtycker”, eller att låta boxen för ”ja” redan vara ifylld är inte att betrakta som ett otvetydigt samtycke. Personen i fråga måste själv, aktivt, klicka i boxen. Därmed inte sagt att kryssbara boxar är den enda typen av aktivitet som utgör ett giltigt samtycke – boxarna är endast ett exempel på när samtycket är aktivt.

Den som lämnar ett samtycke ska ha möjlighet att förstå innebörden av samtycket. När det gäller informationssamhällets tjänster till barn (till exempel söktjänster, onlineaktiviteter, olika tjänster på internet) måste den underåriga vara 13 år för att kunna samtycka till behandling av sina egna personuppgifter. Är personen under 13 år krävs samtycke från den som har föräldraansvaret över den underåriga.

För personuppgiftsbehandling som sker i annat fall (det vill säga inte för informationssamhällets tjänster till barn) krävs en bedömning av den underåriges förmåga att förstå handlingen. En sådan bedömning måste göras i varje enskilt fall.

Får jag spara bilder tillfälligt på elever på skolans digitala enhet utan samtycke?

Fråga

Får jag som lärare, tillfälligt lagra bilder eller annan dokumentation rörande eleverna/barnen lokalt på en digital enhet som tillhör skolan/förskolan utan samtycke?

Svar

Samma svar som på frågan ovan: Om samtycke behövs eller inte beror på syftet med bilden/dokumentationen.

Det här handlar om två olika delar: dels dataskyddsförordningen, hur och vilka personuppgifter man får hantera och dels datasäkerhetsfrågor, hur man skyddar information baserat på vilken sorts information det är och hur skyddsvärdig den är.

Ni bör i princip alltid göra en informationssäkerhetsklassning för att avgöra vilka krav ni har på informationen som hanteras i olika it-tjänster utifrån fyra olika områden (konfidentialitet, riktighet, tillgänglighet och spårbarhet). 

Får jag spara bilder tillfälligt på elever på min privata mobil utan samtycke?

Fråga

Får jag som lärare tillfälligt lagra bilder eller annan dokumentation gällande eleverna/barnen på min privata mobil för att sedan lägga över i avsedd it-tjänst utan samtycke?

Svar

Att lagringen är tillfällig spelar ingen roll, det är likväl en behandling av personuppgifter om det direkt eller indirekt går att identifiera enskilda barn/elever. Avgörande blir istället om behandlingen kan anses tillåten utan samtycke eller inte och om den privata mobilen är tillräckligt säker ur it-hänseende.

Personuppgifter ska behandlas på ett säkert sätt och skyddas mot obehörig eller otillåten behandling. Om personal använder sin privata mobil för lagring behöver man säkerställa att bilder/dokumentationen inte lagras, används eller sprids vidare på ett obehörigt sätt. Huruvida samtycke behövs eller inte beror på syftet med bilderna och dokumentationen samt vad man fotograferar och dokumenterar.

Fotografier där det inte ens indirekt går att identifiera en individ är inte att anse som behandling av personuppgift. I övrigt gäller att, som vid all behandling av personuppgifter, inte fotografera på ett kränkande sätt eller mer än vad som är motiverat med hänsyn till syftet med fotot.

Därför handlar det om två olika delar: dels dataskyddsförordningen, hur och vilka personuppgifter man får hantera och dels datasäkerhetsfrågor, hur man skyddar information baserat på vilken sorts information det är och hur skyddsvärdig den är.

Ni bör i princip alltid göra en informationssäkerhetsklassning för att avgöra vilka krav ni har på informationen som hanteras i olika it-tjänster utifrån fyra olika områden (konfidentialitet, riktighet, tillgänglighet och spårbarhet). I det arbetet kan ni till exempelt använda SKL:s verktyg Klassa för att få fram de krav ni behöver ställa både på it-leverantören och er egen organisation. Mer stöd i arbetet med informationssäkerhet finns på SKL:s webb. Se även vägledning för användande av molntjänster i skolan.

Verktyget Klassa

Stöd kring informationssäkerhet

Molntjänster i skolan

Får foton på barn vara synliga i vår it-tjänst?

Om man på förskolan i sin lärplattform arbetar med att dokumentera med hjälp av portfolio vad gäller då för hur barnen får synas på bild i andra barns portfolio? Exempelvis förekommer ofta fler än ett barn på en bild som visar på ett lärande.

Svar

Det finns krav på dokumentation i förskolan, vilket gör att det finns laglig grund för att fotografera och lagra bilder på barn om man vill dokumentera ett lärande på detta sätt. Om det sedan är tillåtet eller inte att lagra och visa bilderna på ett sätt att flera olika barn syns i ett enskilt barns portfolio är snarare en sekretessfråga. Vilka har tillgång till det enskilda barnets portfolio? Kommer bilderna att visas för vårdnadshavare?

För uppgifter kring barns personliga förhållanden i förskolan gäller som huvudregel sekretess. Men bilderna är inte sekretesskyddade om det är uppenbart att barnet eller dess vårdnadshavare inte “lider men” om uppgifterna kommer ut. Om ni inte tidigare bedömt att sådana bilder är sekretesskyddade, så förändrar inte dataskyddsförordningen detta förhållande.

Det är handlar också om två olika delar: dels dataskyddsförordningen, hur och vilka personuppgifter man får hantera och dels datasäkerhetsfrågor, hur man skyddar information baserat på vilken sorts information det är och hur skyddsvärdig den är. Om ni lagrar känslig information i tjänsten ökar kraven på hur tjänsten sätts upp (säkrare inloggning, tydligare behörighetsstyrning etc.).

Ni bör i princip alltid göra en informationssäkerhetsklassning för att avgöra vilka krav ni har på informationen som hanteras i olika it-tjänster utifrån fyra olika områden (konfidentialitet, riktighet, tillgänglighet och spårbarhet). I det arbetet kan ni till exempel använda SKL:s verktyg Klassa för att få fram de krav ni behöver ställa både på it-leverantören och er egen organisation.

Mall för vad du bör tänka på för att införa en it-tjänst (PDF, nytt fönster)

Verktyget KLASSA

Molntjänster i skolan

Får jag spara bilder i Googles tjänster? 

Fråga

Om det finns laglig grund för att spara bilder, får man spara bilder i Googles tjänster?

Svar

Här tillkommer andra parametrar än enbart laglig grund. Hur it-säkerheten ska se ut kring bilder som sparas beror på om bilderna kan anses vara sekretesskyddade eller i övrigt innehålla uppgifter av känslig karaktär. Den personuppgiftsansvarige nämnden måste själv avgöra om den anser att bilderna lagras på ett tillräckligt säkert sätt utifrån hur känslig information bilderna anses innehålla.

Det är handlar också om två olika delar: dels dataskyddsförordningen, hur och vilka personuppgifter man får hantera och dels datasäkerhetsfrågor, hur man skyddar information baserat på vilken sorts information det är och hur skyddsvärdig den är. Om ni lagrar känslig information i tjänsten ökar kraven på hur tjänsten sätts upp (säkrare inloggning, tydligare behörighetsstyrning etc.).

Ni bör i princip alltid göra en informationssäkerhetsklassning för att avgöra vilka krav ni har på informationen som hanteras i olika it-tjänster utifrån fyra olika områden (konfidentialitet, riktighet, tillgänglighet och spårbarhet). I det arbetet kan ni till exempel använda SKL:s verktyg Klassa för att få fram de krav ni behöver ställa både på it-leverantören och er egen organisation.

Mall för vad du bör tänka på för att införa en it-tjänst (PDF, nytt fönster)

Verktyget KLASSA

Stöd kring informationssäkerhet

Molntjänster i skolan

Behövs samtycke för skolfoto?

Fråga

Hur ska man tänka kring skolfoto och samtycke? Skolkatalog med klass, namn, adress och telefonnummer till alla vårdnadshavare i pappersformat.

Svar

Vad är det lagliga syftet? Ska skolan använda fotografierna inom ramen för utbildning, t.ex. för att ha elevfoto i sina skoladministrativa system för identifiering, till vikarier eller i andra pedagogiska sammanhang kan laglig grund antas finnas. När det gäller fotografier (individuella elevfotografier, skolkatalog) som eleverna och vårdnadshavarna får köpa bör samtycke inhämtas, eftersom det då är något som inte bedöms nödvändigt för utbildning.

Fotoföretagen kan lösa administration av samtycke på olika sätt, bl.a. att eleven/vårdnadshavaren godkänner behandling i samband med påseende och eventuellt köp av fotografier. Vill eleven av olika anledningar inte finnas med i skolkatalogen på klassfoton e.dyl., bör detta ha uppmärksammats tidigare t.ex. i samband med information om att fotografering ska ske.

Om fotograferingen sker på skolans uppdrag för dess pedagogiska verksamhet bör ett PUB-avtal upprättas. De företag som är anslutna till branschföreningen SER (Sveriges Elevfotografers Riksförbund) använder sig av SKL:s mall.

Om det inte är kommunen som tar initiativ och beställer/köper in fotograferingen och. bilderna inte används i skolans verksamhet så uppstår inte ett PUA/PUB-förhållande. Istället är det ofta det fotograferande företaget som erbjuder vårdnadshavare att köpa bilderna/skolfotokatalogen. Avtalsförhållandet är så att säga mellan dessa två parter. Skolan/kommunens roll blir då enbart att upplåta plats för själva fotograferingen i sina lokaler, och möjligen att lämna ut en klasslista eller motsvarande med nödvändiga uppgifter inför fotograferingen – ett utlämnande från kommunen till extern part enligt offentlighetsprincipen. Vi uppfattar med andra ord att det i de flesta fall är skolfotografen själv som är personuppgiftsansvarig, och då behövs inget biträdesavtal.

Behövs samtycke för lärplattform?

Fråga

Behövs samtycke för en lärplattform, eller räcker det med information över varför den ska användas?

Svar

Samtycke behövs inte för behandling av personuppgifter i lärplattform, om ni använder lärplattformen inom ramen för undervisningen och utbildningen. I så fall har ni laglig grund för behandlingen utifrån att det är nödvändigt för att utföra uppgift av allmänt intresse.

Får jag skanna pass och skicka iväg?

Fråga

En skola i Schweiz önskar kopior på föräldrars pass, för att underåriga elever skall få bo på ett elevhem. Får man som administratör skanna in och skicka dem? Skolan i Zurich vill ha stipendiaternas passnummer. Vi samlar in och fyller i ett dokument på mitt dataskrivbord och skickar till skolan skolan i Zurich - får vi göra det?

Svar

För att kunna svara på denna fråga behöver man veta om det ni gör sker inom ramen för tillhandahållande av utbildning enligt skollagen eller annan svensk reglering på utbildningsområdet. Sker det inom ramen för ett utbyte som ni har ansvar för eller kan det klassas som en behandling av rent privat natur där ni är behjälpliga med inskanningen?

Eftersom pass innehåller särskilt skyddsvärda uppgifter i form av personnummer behövs samtycke. Om behandlingen sker som ett led i utbildningen och är nödvändig för att utföra uppgift av allmänt intresse och det inte finns samtycke måste behandlingen dessutom vara klart motiverad med hänsyn till ändamålet, vikten av säker identifiering eller något annat beaktansvärt skäl.

Vid inskanning av pass behövs dessutom en god säkerhet kring överföringen. Varje personuppgiftsansvarig måste göra en egen bedömning utifrån hur it-miljön och säkerheten i övrigt ser ut i verksamheten. Om inskanningen sker i rent privat syfte omfattas behandlingen inte av dataskyddsförordningens reglering. 

Skollagen och GDPR

Skollagen och dataskyddsförordningen

Fråga

Hur förhåller de sig de två lagarna till varandra? Står den ena lagen “över” den andra?

Svar

När dataskyddsförordningen träder i kraft gäller den som lag i Sverige. Det innebär att dataskyddsförordningen är överordnad skollagen i de delar som gäller just persondataskydd.

Förordningen ger utrymme för medlemsländerna att i vissa delar ha kompletterande bestämmelser. Sådana kommer eventuellt att tas in i skollagen och annan lagstiftning på utbildningsområdet.

I betänkande “EU:s dataskyddsförordning och utbildningsområdet” SOU 2017:49 finns bland annat förslag om att införa ett nytt kapitel i skollagen som särskilt ska reglera hur huvudmän inom skolväsendet, en hemkommun eller en aktör enligt 24 och 25 kap. skollagen får behandla känsliga personuppgifter.

Dessutom kommer en särskild dataskyddslag sannolikt att föreslås, med kompletterande generella bestämmelser om dataskydd. Den lagen kommer att gälla subsidiärt, det vill säga efter sektorspecifik lagstiftning inom utbildningsområdet. Men än så länge vet vi inte om det kommer att bli så som föreslås.

Vem är ansvarig för att upprätta riktlinjer och rutiner?

Fråga

Vem är ansvarig för att det upprättas tydliga riktlinjer för hantering av personuppgifter i skolan/förskolan och vem är skyldig att anmäla om uppgifter hanteras felaktigt?

Svar

Det är den personuppgiftsansvarige som är formellt utpekad som ytterst ansvarig för detta, men det praktiska arbetet att ta fram rutiner och riktlinjer delegeras oftast ut i organisationen.

Gäller GDPR även bakåt i tiden?

Fråga

Är det från och med den 25 maj som lagen gäller eller är det även bakåt, med allt som vi har sparat sen tidigare i våra datorer?

Svar

Ja, alla personuppgifter som behandlas i verksamheten där och då, exempelvis i form av lagring, måste hanteras utifrån dataskyddsförordningens reglering. Så det gäller alltså allt som du har sparat sen tidigare på din dator, i de olika it-tjänsterna osv. 

Räknas sparade protokoll under allmänt intresse?

Fråga

Sparade protokoll räknas det under allmänt intresse? Protokollen kan ibland sparas på flera ställen, exempelvis webben eller e-post. De kan innehålla personuppgifter i vissa fall, hur bör detta hanteras?

Svar

Fundera först på i vilket syfte protokollen måste sparas. Ska protokollen arkiveras eller ska de egentligen gallras?

Ett protokoll kan sorteras in under olika lagliga grunder beroende på syftet med protokollet. Det kan säkerligen många gånger sorteras in under allmänt intresse, men även utgöra dokumentation i handläggning av ett ärende som avser myndighetsutövning eller sparat för arkivändamål. 

Vem har ansvar för att rensa datorerna?

Fråga

Vems ansvar är det att "rensa datorerna" så att de inte innehåller uppgifter som strider mot dataskyddsförordningen?

Svar

Ytterst ska förvaltning och nämnden (som personuppgiftsansvarig) ge instruktioner för hur och när information ska tas bort. Men det är varje medarbetare som ansvarar för att hantera informationen på rätt sätt och därmed också att ta bort det som strider mot riktlinjerna.

Det gäller personuppgifter, men även hantering av allmänna handlingar och gallring av dem enligt dokumenthanteringsplan och gallringsbeslut i verksamheten. En viktig utgångspunkt för att gallra information är att den ska vara strukturerad utifrån den registerförteckning som ska finnas.

Sen är det dataskyddsombudets uppgift att bevaka (inte ansvara för) att riktlinjerna följs och även att informera och ge råd. Dataskyddsombud är en ny roll som införs med GDPR.

Informationsansvarig

  • Johanna Karlén
    Programansvarig







Hjälpte informationen på sidan dig?

Tack för att du hjälper oss!

Sidfot