Publicerad: 14 december 2017

Skolan och dataskyddsförordningen

SKL jobbar aktivt med att tolka vad den nya dataskyddsförordningen innebär praktiskt för skolväsendet.

Många medlemmar har frågor gällande nya dataskyddsförordningen (GDPR). Frågorna gäller både hur man som skolhuvudman bäst ska förbereda sig, vad som behöver göras och hur förordningen ska tolkas praktiskt i arbetet med skolans digitala ekosystem av olika it-tjänster.

Nedan finner du de vanligaste frågorna med svar. Svaren ska ses som hjälp i ert arbete och som underlag för er bedömning när ni implementerar den nya förordningen. Dock inte som ett regelrätt facit.

Frågor och svar

Skollagen och dataskyddsförordningen

Hur förhåller de sig de två lagarna till varandra? Står den ena lagen “över” den andra?

Svar: När dataskyddsförordningen träder i kraft gäller den som lag i Sverige. Det innebär att dataskyddsförordningen är överordnad skollagen i de delar som gäller just persondataskydd.

Förordningen ger utrymme för medlemsländerna att i vissa delar ha kompletterande bestämmelser. Sådana kommer eventuellt att tas in i skollagen och annan lagstiftning på utbildningsområdet.

I betänkande “EU:s dataskyddsförordning och utbildningsområdet” SOU 2017:49 finns bl.a. förslag om att införa ett nytt kapitel i skollagen som särskilt ska reglera hur huvudmän inom skolväsendet, en hemkommun eller en aktör enligt 24 och 25 kap. skollagen får behandla känsliga personuppgifter.

Dessutom kommer en särskild dataskyddslag sannolikt att föreslås, med kompletterande generella bestämmelser om dataskydd. Den lagen kommer att gälla subsidiärt, d.v.s. efter sektorspecifik lagstiftning inom utbildningsområdet.

Men än så länge vet vi inte om det kommer att bli såsom föreslås.

Samtycke eller inte?

När behövs samtycke för att hantera personuppgifter och när kan det anses vara "allmänt intresse" eller "myndighetsutövning", vilket innebär att samtycke inte behövs?

Svar: Det finns flera olika grunder som kan användas för att behandla personuppgifter på laglig väg inom utbildningsverksamhet. Därför kommer samtycke normalt inte att behövas och många gånger inte heller vara möjligt.

Enligt skäl 43 i förordningen bör samtycke inte utgöra en giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den personuppgiftsansvarige och den registrerade, särskilt när den personuppgiftsansvarige är en offentlig myndighet och det är osannolikt att samtycket har lämnats frivilligt o.s.v.

Den grund som troligen blir vanligast är att behandlingen är nödvändig för att utföra uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Att tillhandahålla, anordna och bedriva utbildning är en uppgift av allmänt intresse och normalt är det också nödvändigt att behandla personuppgifter för att kunna följa skollagens bestämmelser. Därmed är det ofta tillåtet att utan samtycke behandla personuppgifter i utbildningsverksamheten.

Exempel – allmänt intresse

Att exempelvis registrera elevers frånvaro är en nödvändig behandling för att inom ramen för utbildningen (uppgift av allmänt intresse) kunna veta om det finns elever som är ogiltigt frånvarande. För att följa skollagen måste skolan bl.a. underrätta vårdnadshavarna till elever i de obligatoriska skolformerna om deras barn är ogiltigt frånvarande.

Exempel – myndighetsutövning

Ett exempel på när personuppgiftsbehandlingen är nödvändig som ett led i skolans myndighetsutövning är när skolan beslutar om rättigheter eller skyldigheter gällande en enskild elev, såsom beslut om betyg, särskilt stöd och disciplinära åtgärder.

Känsliga personuppgifter

När det gäller behandling av känsliga personuppgifter ställs högre krav för att behandlingen ska vara tillåten. Känsliga personuppgifter, såsom uppgift om ras, etnicitet, politisk åsikt och hälsa, får som huvudregel inte behandlas, om det inte exempelvis är nödvändigt av hänsyn till ett viktigt allmänt intresse som finns reglerat i skollagen eller i unionsrätten och står i proportion till det eftersträvade syftet. 

Är ett samtycke alltid tidsbestämt?

Nej, det behöver det inte vara. Samtycke kan istället när som helst återkallas. Men för att ett samtycke ska vara giltigt måste det bl.a. vara specifikt och informerat. Det innebär att det inte får finnas några tvivel kring vilken behandling av personuppgifter man har samtyckt till eller att man vet vad det är man har samtyckt till.

Personuppgifter får aldrig användas för andra ändamål än det man har samtyckt till. Det kan därför ligga i sakens natur att många samtycken är tidsbestämda, om samtycket avser ett viss givet ändamål vid ett visst givet tillfälle.

Får jag spara bilder tillfälligt på elever på min privata mobil utan samtycke?

Får jag som lärare tillfälligt lagra bilder eller annan dokumentation gällande eleverna/barnen på min privata mobil för att sedan lägga över i avsedd it-tjänst utan samtycke?

Svar: Att lagringen är tillfällig spelar ingen roll, det är likväl en behandling av personuppgifter om det direkt eller indirekt går att identifiera enskilda barn/elever. Avgörande blir istället om behandlingen kan anses tillåten utan samtycke eller inte och om den privata mobilen är tillräckligt säker ur it-hänseende.

Personuppgifter ska behandlas på ett säkert sätt och skyddas mot obehörig eller otillåten behandling. Om personal använder sin privata mobil för lagring behöver man säkerställa att bilder/dokumentationen inte lagras, används eller sprids vidare på ett obehörigt sätt. Huruvida samtycke behövs eller inte beror på syftet med bilderna och dokumentationen samt vad man fotograferar och dokumenterar.

Fotografier där det inte ens indirekt går att identifiera en individ är inte att anse som behandling av personuppgift. I övrigt gäller att, som vid all behandling av personuppgifter, inte fotografera på ett kränkande sätt eller mer än vad som är motiverat med hänsyn till syftet med fotot.

Därför handlar det om två olika delar: dels dataskyddsförordningen, hur och vilka personuppgifter man får hantera och dels datasäkerhetsfrågor, hur man skyddar information baserat på vilken sorts information det är och hur skyddsvärdig den är.

Ni bör i princip alltid göra en informationssäkerhetsklassning för att avgöra vilka krav ni har på informationen som hanteras i olika it-tjänster utifrån fyra olika områden (konfidentialitet, riktighet, tillgänglighet och spårbarhet). I det arbetet kan ni till exempelt använda SKL:s verktyg Klassa för att få fram de krav ni behöver ställa både på it-leverantören och er egen organisation. Mer stöd i arbetet med informationssäkerhet finns på SKL:s webb. Se även vägledning för användande av molntjänster i skolan.

Verktyget Klassa

Stöd kring informationssäkerhet

Molntjänster i skolan

Får jag spara bilder tillfälligt på elever på skolans digitala enhet utan samtycke?

Får jag som lärare, tillfälligt lagra bilder eller annan dokumentation rörande eleverna/barnen lokalt på en digital enhet som tillhör skolan/förskolan utan samtycke?

Svar: Samma svar som på frågan ovan: Om samtycke behövs eller inte beror på syftet med bilden/dokumentationen.

Det här handlar om två olika delar: dels dataskyddsförordningen, hur och vilka personuppgifter man får hantera och dels datasäkerhetsfrågor, hur man skyddar information baserat på vilken sorts information det är och hur skyddsvärdig den är.

Ni bör i princip alltid göra en informationssäkerhetsklassning för att avgöra vilka krav ni har på informationen som hanteras i olika it-tjänster utifrån fyra olika områden (konfidentialitet, riktighet, tillgänglighet och spårbarhet). 

Får vi har ha lärplattor för närvarohantering uppsatta i entrén?

Kan vi ha lärplattor med en it-tjänst för närvaro uppsatt i hallen på förskolan för vårdnadshavare och barn att “stämpla in/ut” på utan samtycke?

Svar: Ja, det bör gå bra om föräldrar/barn genom inloggning enbart kan komma åt sina egna närvarouppgifter via lärplattan och att it-tjänsten anses uppfylla kraven på datasäkerhet.

Det här handlar om två olika delar: dels dataskyddsförordningen, hur och vilka personuppgifter man får hantera och dels datasäkerhetsfrågor, hur man skyddar information baserat på vilken sorts information det är och hur skyddsvärdig den är.

Ni bör i princip alltid göra en informationssäkerhetsklassning för att avgöra vilka krav ni har på informationen som hanteras i olika it-tjänster utifrån fyra olika områden (konfidentialitet, riktighet, tillgänglighet och spårbarhet). I det arbetet kan ni t.ex. använda SKL:s verktyg Klassa. Mer stöd i arbetet med informationssäkerhet samt molntjänster i skolan finns på SKL:s webbplats.

Verktyget Klassa

Stöd kring informationssäkerhet

Molntjänster i skolan

Vad räknas som register och hur ska de förvaras?

Av alla register och listor som finns i skolans värld, vilka behöver rapporteras in och hur ska de förvaras?

Svar: All behandling av personuppgifter ska finnas i någon form av registerförteckning. Denna förteckning kan dels finnas centralt på förvaltningen, men även lokalt på skolorna till exempel hos skolledning, beroende på vilka rutiner din kommun valt att arbeta efter.

En registerförteckning behöver i sig inte vara så avancerad. Det handlar om att tala om ändamålet med all den behandling som utförts som man har ansvar för.

Mall för registerförteckning (under punkt 4) 

Exempel

En klasslista med namn, adress, personnummer = ett register som innehåller personuppgifter och som behöver finnas med i en förteckning

En grupplista med för- och efternamn, telefonnummer samt klass/grupp = ett register som innehåller personuppgifter och som behöver finnas med i en förteckning

En lista med förnamn och resultat på diagnoser, läxförhör etc. = ett register som innehåller personuppgifter och som behöver finnas med i en förteckning.

Kan vårdnadshavare kräva att få ett registerutdrag om sitt barn?

Svar: Ja, enligt dataskyddsförordningens rätt till information och tillgång har den registrerade rätt att få information om vilka behandlingar som görs och ändamålet med behandlingen och på vilken grund och som vårdnadshavare till omyndiga barn har vårdnadshavaren rätt att få till exempel ett registerutdrag.

Kan en lärares underlag för betygssättning begäras ut?

Kan en lärarens underlag för betygssättning ingå i utdrag som kan begäras ut? När bedömningen är gjord och material som underlag sparas, kan det begäras ut då?

Svar: Ja, enligt dataskyddsförordningens rätt till information och tillgång har den registrerade rätt att få information om vilka behandlingar som görs och ändamålet med behandlingen och på vilken grund så här är det viktigt med ordning och reda, att material och information gallras och arkiveras som de ska, enligt dokumenthanteringsplan till exempel.

Kan en lärares e-post begäras ut av till exempel elever och vårdnadshavare?

Svar: Ja, enligt dataskyddsförordningens rätt till information och tillgång har den registrerade rätt att få information om vilka behandlingar som görs och ändamålet med behandlingen och på vilken grund så här är det viktigt med ordning och reda, att e-post gallras och arkiveras som de ska, enligt dokumenthanteringsplan till exempel.

Vem är ansvarig för att upprätta riktlinjer och rutiner?

Vem är ansvarig för att det upprättas tydliga riktlinjer för hantering av personuppgifter i skolan/förskolan och vem är skyldig att anmäla om uppgifter hanteras felaktigt?

Svar: Det är den personuppgiftsansvarige som är formellt utpekad som ytterst ansvarig för detta, men det praktiska arbetet att ta fram rutiner och riktlinjer delegeras oftast ut i organisationen.

Hur ser mitt ansvar som rektor ut?

Svar: Som rektor behöver du säkerställa att dina medarbetare är förtrogna med den nya lagstiftningen och följer kommunens/skolhuvudmannens framtagna riktlinjer för hantering av personuppgifter.

Det behövs säkerligen också rutiner och eventuella fortbildningsinsatser för hur ni arbetar dels med dataskydd/informationssäkerhet och dels hur ni agerar när ni vill använda nya it-tjänster i verksamheten där personuppgifter hanteras.

Hur ser mitt ansvar som lärare ut?

Som lärare behöver du känna till den nya lagstiftningen och följa de riktlinjer som kommunen/skolhuvudmannen tagit fram gällande hantering av personuppgifter.

Du behöver också veta hur du ska agera när du till exempel hittar en ny app eller annan digital resurs som du vill använda, hur du gör för att bedöma om och vilka sorts personuppgifter som hanteras samt vilka riktlinjer som gäller då.

Hur ska jag veta vilka it-tjänster som är okej att använda?

Om jag som lärare hittar en digital resurs i form av en app, en gratistjänst eller dylikt som jag vill använda, hur ska jag veta om den är okej att använda eller inte?

Svar: Här blir det viktigt att skolhuvudman skapar så enkla rutiner som möjligt för hur lärarna ska agera när de hittar intressanta tjänster att använda i arbetet. En idé kan vara att ta fram ett frågeformulär för läraren att besvara med frågor, som till exempel om tjänsten kommer att hantera personuppgifter, om den ska användas enbart av läraren eller av kollegor, elever, vårdnadshavare och så vidare, där svaren leder läraren vidare till ett ”okej att använda” eller ”behöver kollas upp mer”.

Om tjänsten hanterar personuppgifter behöver ni alltid göra en bedömning och en klassning av informationen för att säkerställa att såväl avtal som hantering av personuppgifter är ok, att det dokumenteras i registerförteckningen och så vidare.

Det är handlar också om två olika delar: dels dataskyddsförordningen, hur och vilka personuppgifter man får hantera och dels datasäkerhetsfrågor, hur man skyddar information baserat på vilken sorts information det är och hur skyddsvärdig den är.

Ni bör i princip alltid göra en informationssäkerhetsklassning för att avgöra vilka krav ni har på informationen som hanteras i olika it-tjänster utifrån fyra olika områden (konfidentialitet, riktighet, tillgänglighet och spårbarhet). I det arbetet kan ni till exempelt använda SKL:s verktyg Klassa för att få fram de krav ni behöver ställa både på it-leverantören och er egen organisation. Mer stöd finns på SKL:s webbplats.

Verktyget Klassa

Stöd kring informationssäkerhet

Molntjänster i skolan

För att få koll på alla de it-tjänster som används i verksamheten idag och vilka personuppgifter som hanteras, kan en bra övning vara att göra en informationskartläggning, det vill säga att se över vilken information som hanteras, i vilka processer och i vilka tjänster.

Hur säkrar vi upp våra avtal för skolans alla it-tjänster?

Alla skolans it-tjänster, från enstaka appar och tilläggsprogram till lärplattformar och elevregister - hur säkrar vi upp avtalen och ansvaret mellan beställare (oss) och leverantörerna så att vi vet att personuppgifter hanteras korrekt?

Svar: Hur avtalen ska se ut beror på vilka krav ni har på informationen som hanteras i tjänsterna och hur ni klassat den. Det kan bland annat handla om hur tillgänglig ni vill att informationen ska vara, men också vilka lagrum ni har att förhålla er till (kommande dataskyddsförordning, arkivlag, skollag) och hur personuppgifter ska hanteras.

Kraven på de som är personuppgiftsbiträden (till exempel leverantörer av it-tjänster där personuppgifter hanteras) blir tydligare i och med dataskyddsförordningen. Den del av avtalet som reglerar hantering av personuppgifter kallas för biträdesavtal. Det är här ni definierar ansvaret mellan er som beställare och leverantören.

Inom kort kommer det att publiceras en biträdesavtalsmall.

Kommer SKL att hjälpa till att bedöma leverantörernas avtal?

Kommer SKL att hjälpa till att bedöma leverantörernas avtal utifrån ett personuppgiftsperspektiv eller ska varje skolhuvudman göra sin egen bedömning om avtalet håller?

Svar: Som personuppgiftsansvarig och beställare av en it-tjänst måste skolhuvudmannen alltid göra en egen bedömning, dokumentera, ta fram avtal och se till att riktlinjer förankras i verksamheten.

En grundregel är att det alltid bör vara beställaren som tar fram avtal, inte leverantören. När det gäller globala leverantörer är detta inte alltid möjligt, varvid en särskild bedömning bör göras och dokumenteras. SKL uppmuntrar samverkan mellan skolhuvudmän i bedömningen av olika leverantörers avtal för att underlätta för alla parter.

Gå gärna med i SKL:s samarbetsrum för att diskutera och starta samverkan kring frågorna.

Information kring samarbetsrummet

Hur ska vi hantera utvecklingsplaner om it-tjänsten inte uppfyller våra krav?

Om en leverantör inte uppfyller de krav ni som beställare har eller det av andra anledningar inte går att vara säker på att personuppgifterna hanteras i enlighet med era krav och olika lagrum, kan ni inte använda it-tjänsten.

Det är handlar också om två olika delar: dels dataskyddsförordningen, hur och vilka personuppgifter man får hantera och dels datasäkerhetsfrågor, hur man skyddar information baserat på vilken sorts information det är och hur skyddsvärdig den är.

Ni bör i princip alltid göra en informationssäkerhetsklassning för att avgöra vilka krav ni har på informationen som hanteras i olika it-tjänster utifrån fyra olika områden (konfidentialitet, riktighet, tillgänglighet och spårbarhet).

I det arbetet kan ni till exempelt använda SKL:s verktyg Klassa för att få fram de krav ni behöver ställa både på it-leverantören och er egen organisation. Mer stöd i arbetet med informationssäkerhet samt molntjänster i skolan finns på SKL:s webbplats.

Verktyget Klassa

Stöd kring informationssäkerhet

Molntjänster i skolan

Läs vidare

Hjälpte informationen på sidan dig?


User information

Tack för att du hjälper oss!

Sidfot