Verksamhet
Dataskydd Dataskydd på olika områden Personuppgifter i skola och förskola För personuppgiftsansvariga inom skola och förskolaFör personuppgiftsansvariga inom skola och förskola
De grundläggande principerna
I dataskyddsförordningen finns ett antal grundläggande principer. Dessa måste alltid vara uppfyllda för all personuppgiftsbehandling inom skolan.
Principerna innebär bland annat att den personuppgiftsansvariga
- måste stödja sig på minst en rättslig grund för att få behandla personuppgifter
- ska vara transparent med vilka personuppgifter som behandlas
- bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
- inte ska behandla fler personuppgifter än vad som behövs för ändamålen
- ska se till att personuppgifterna är riktiga
- ska radera personuppgifterna när de inte längre behövs
- ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
- ska kunna visa att man följer dataskyddsförordningen, och på vilket sätt man gör det.
Det krävs en rättslig grund för personuppgiftsbehandlingen
All behandling av personuppgifter måste ha en rättslig grund enligt dataskyddsförordningen för att vara tillåten.
Uppgift av allmänt intresse är den rättsliga grund som oftast kan användas för behandling av personuppgifter inom både privata och offentliga skolor. För att denna rättsliga grund ska kunna användas krävs det att grunden för behandlingen ska vara fastställd i unionsrätten eller i svensk rätt, exempelvis i skollagen.
Personuppgifter får behandlas om det är nödvändigt för att utföra en fastställd uppgift av allmänt intresse. Den personuppgiftsansvariga måste bedöma vilken behandling som är nödvändig utifrån den uppgift verksamheten ska utföra.
Exempel på personuppgiftsbehandlingar som är nödvändiga för att utföra en uppgift av allmänt intresse i skolan:
- Behandling av personuppgifter för att tillhandahålla, anordna och bedriva undervisning.
- Administration av elevernas närvaro.
- Dokumentation av elevernas kunskaper inför ett utvecklingssamtal.
- Uppgifter i en skriftlig individuell utvecklingsplan.
Den behandling som är nödvändig för att utföra den i till exempel skollagen fastställda uppgiften har en rättslig grund enligt dataskyddsförordningen.
Viss verksamhet i skolan kan utgöra myndighetsutövning mot enskild. Den behandling av personuppgifter som är nödvändig för myndighetsutövningen har den rättsliga grunden myndighetsutövning.
Exempel på personuppgiftsbehandlingar som är nödvändiga för myndighetsutövningen i skolan är
- beslut om betyg
- beslut om särskilt stöd.
Samtycke kan vanligtvis inte användas som rättslig grund för behandling av personuppgifter i skolan. Samtycke kan inte utgöra giltig rättslig grund när det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvariga och det därför inte är sannolikt att samtycket har lämnats frivilligt. Ett sådant ojämlikt förhållande är det oftast mellan en elev och skolan. Samtycke kan därför användas endast vid behandling av personuppgifter som sker utanför skolans ordinarie verksamhet, exempelvis vid skolfotografering.
Offentliga skolor får enligt dataskyddsförordningen inte använda intresseavvägning som rättslig grund för att utföra sitt uppdrag.
För privata skolor finns inte något direkt förbud mot att använda sig av den rättsliga grunden intresseavvägning. Eftersom den rättsliga grunden uppgift av allmänt intresse oftast kan användas vid verksamhet som bedrivs enligt bland annat skollagen bör privata skolor sällan eller aldrig behöva använda den rättsliga grunden intresseavvägning.
Känsliga personuppgifter
Känsliga personuppgifter är uppgifter om:
- etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i en fackförening
- hälsa
- sexualliv eller sexuell läggning
- genetiska uppgifter
- biometriska uppgifter som används för att entydigt identifiera en person.
Inom skolan kan känsliga personuppgifter exempelvis vara
- uppgifter om sjukfrånvaro
- uppgifter om att elever går i anpassad grundskola eller anpassad gymnasieskola.
Det är som huvudregel förbjudet att behandla känsliga personuppgifter men dataskyddsförordningen innehåller flera undantag. För att få behandla personuppgifter måste det finnas ett tillämpligt undantag.
Enligt dataskyddsförordningen får känsliga personuppgifter behandlas bland annat om
- behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse som
- grundar sig i unionsrätten eller nationell rätt och
- står i proportion till det eftersträvade syftet
- samt innehåller lämpliga skyddsåtgärder.
Nationella bestämmelser om behandling av känsliga personuppgifter har införts i bland annat dataskyddslagen och skollagen.
Offentliga skolor får enligt dataskyddslagen behandla känsliga personuppgifter med stöd av dataskyddsförordningen
- om behandlingen är nödvändig för handläggningen av ett ärende, eller
- i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Skolhuvudmän som omfattas av offentlighetsprincipen får enligt dataskyddslagen behandla känsliga personuppgifter om uppgifterna lämnats till dem och behandlingen krävs enligt lag. Privata skolor får enligt skollagen behandla känsliga personuppgifter på motsvarande sätt.
Både för offentliga och privata skolor är det förbjudet att utföra sökningar i syfte att få fram urval av personer grundat på känsliga personuppgifter.
OBS! Den personuppgiftsansvariga måste alltid se till att den aktuella behandlingen av känsliga personuppgifter, exempelvis inom ramen för ett ärende, är nödvändig för ett viktigt allmänt intresse. Det gäller såväl offentliga som privata skolor.
Den medicinska delen av elevhälsan i skolan är en självständig verksamhetsgren inom hälso- och sjukvård. För den personuppgiftsbehandling som sker inom den hälso- och sjukvård som bedrivs på skolorna gäller patientdatalagen.
Följ även de andra bestämmelserna i dataskyddsförordningen
Bestämmelser om den registrerades rättigheter, skydd för uppgifterna, möjlighet att överföra uppgifter till länder utanför EU, konsekvensbedömningar, med mera gäller givetvis även för skolors personuppgiftsbehandling.
Introduktion till dataskyddsförordningen
Kunskapsfilmer om GDPR
Vill du lära dig mer om GDPR? I våra kunskapsfilmer på IMY play får du en snabb genomgång av de viktigaste delarna i dataskyddsförordningen.
Till IMY play
Kunskapsfilmer om GDPR
Vill du lära dig mer om GDPR? I våra kunskapsfilmer på IMY play får du en snabb genomgång av de viktigaste delarna i dataskyddsförordningen.
Till IMY play