Näringsliv - GDPR
Behandla personuppgifter i skolor och förskolor
Behandling av personuppgifter i skolor och förskolor sker regelbundet. Dessutom sker olika typer av behandlingar. Exempelvis närvarolistor, betygsunderlag och personliga utvecklingsplaner.
Barn är en extra skyddsvärd grupp
Barn är en extra skyddsvärd grupp och därför är reglerna i GDPR striktare när det kommer till behandling av barns personuppgifter. Oavsett om det är privata eller offentliga skolor/förskolor inom EU/EES-området, måste de följa GDPR (dataskyddsförordningen) när de behandlar personuppgifter.
Är lärarna på skolan eller förskolan personuppgiftsansvariga?
Nej, det är inte lärarna, rektorn eller annan personal på skolan som är personuppgiftsansvarig, utan istället är det organisationen i sig som innehar den rollen. Med andra ord är det skolorna respektive förskolorna som organisationer som bär ansvaret att följa reglerna i GDPR. Lärarna kan därför inte bli personligt ansvariga om de behandlar personuppgifter felaktigt, såvida det inte skett en brottslig gärning. Däremot ska de som arbetar inom organisationen följa de instruktioner som den personuppgiftsansvarige har givit.
Två andra EU-förordningar
- AI-förordningen
- Data-förordningen
Vad gäller vid behandling av personuppgifter i skolor och förskolor?
Skolor och förskolor som är personuppgiftsansvariga måste följa reglerna i GDPR när de behandlar personuppgifter. De behöver bland annat följa de grundläggande dataskyddsprinciperna och ha en rättslig grund för alla enskilda behandlingar. Dessutom behöver de vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna, tillgodose de registrerades rättigheter m.m.
Det här är några rättsliga grunder som skolor och förskolor brukar använda vid olika typer av behandlingar:
Uppgift av allmänt intresse
Uppgift av allmänt intresse: För att använda denna rättsliga grund, måste behandlingen vara reglerad i nationell rätt eller EU-rätt. Till exempel kan en skola ha ett allmänt intresse av administration av elevernas närvaro. Detsamma gäller att inför utvecklingssamtal dokumentera elevernas kunskap.
Myndighetsutövning
Myndighetsutövning innebär att staten fattar beslut om en enskild i enlighet med lagen. Inom skolor och förskolor kan detta ske när de betygsätter eleverna, eller beslutar om särskilt stöd till barn inom skolan eller förskolan.
Samtycke
Samtycke är vid de flesta fall inte en lämplig rättslig grund att stödja behandlingar på inom skolor och förskolor. Däremot kan det vara lämpligt vid vissa fall. Till exempel är det lämpligt att begära samtycke från föräldrar för att deras barn ska få vara med på skolfotografering.
Berättigat intresse
Det är inte tillåtet för offentliga skolor att stödja sin behandling på den rättsliga grunden berättigat intresse när de utför sitt uppdrag. Däremot kan privata aktörer göra det, men de bör undvika det.
Barn är särskilt skyddsvärda enligt GDPR
Vid behandling av barns personuppgifter är det viktigt att tänka på att de är särskilt skyddsvärda. Detta beror främst på att barn kan ha svårare att förstå vilka rättigheter de har gällande sina personuppgifter. Dessutom kanske de inte riktigt förstår vilka risker behandling av deras personuppgifter kan innebära.
Barn har rätt till information om hur deras personuppgifter blir behandlare, och informationen ska tillhandahållas lättillgängligt och vara formulerad på ett sätt så att barnen förstår. Det språk informationen formuleras på ska vara det nationella språket som gäller i landet där barnen bor. Det får inte heller vara formulerat på ett komplicerat sätt, och texten får inte vara för lång. Det är viktigt att den personuppgiftsansvarige försäkrar sig om att barnen förstår informationen om behandlingen av deras personuppgifter och vilka rättigheter de har.
Får skolor och förskolor behandla känsliga personuppgifter?
Känsliga personuppgifter är enligt huvudregeln i artikel 9 i GDPR förbjudna att behandla. Men det finns undantag som gör behandlingen tillåten. Observera att det är viktigt att tänka på att reglerna är striktare vid behandling av känsliga personuppgifter. Till exempel behöver skolan vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de känsliga personuppgifterna. Dessutom måste det vara nödvändigt att behandla uppgifterna för ändamålet i fråga.
Det här är två exempel på när skolor och förskolor brukar behandla känsliga personuppgifter:
Uppgifter om sjukfrånvaro från de som arbetar på skolan/förskolan är en uppgift som avslöjar information om en persons hälsa, vilket är en känslig personuppgift enligt GDPR. Det är viktigt att till exempel inte skicka lönespecifikation okrypterat, om det innehåller information om sjukfrånvaro.
Elever som går i en anpassad klass i en skola eller i en anpassad skola/förskola för till exempel barn som lider av någon sjukdom eller funktionsnedsättning, innebär att skolan behandlar känsliga personuppgifter om eleverna.
Digital undervisning
Digital undervisning blev vanligare efter år 2020 och ställer krav gällande integritetsintresset hos både eleverna och lärarna. Skolor behöver analysera vilka personuppgifter som är nödvändiga att behandla för att genomföra undervisningen. Dessutom är det viktigt att analysera vilket program skolan använder för den digitala undervisningen, eftersom vissa program kan tillhöra företag i ett tredjeland. Vid sådana fall gäller särskilda regler som är striktare, eftersom det ofta även innebär en datadelning till tredjeland.
I vissa fall är det inte nödvändig att eleverna syns i samband med distansundervisning, och då bör de inte göra det. En bild som innebär att det går att identifiera en elev är nämligen också en personuppgift.
Myndigheter måste alltid utse ett dataskyddsombud, och detsamma gäller för kommunala skolor. Elever, föräldrar och lärare kan vända sig till dataskyddsombudet vid frågor kring personuppgiftsbehandlingen. Även privata skolor kan ha dataskyddsombud, men det är inte alltid ett krav.
Utbilda personal i dataskyddsarbetet
För att personalen ska kunna sköta sina arbetsuppgifter i enlighet med GDPR, är det viktigt att utbilda dem. Dessutom bör personalen få skriftliga instruktioner kring behandling av personuppgifter. Till exempel hur de ska agera när en personuppgiftsincident inträffar. Både lärare och elever behöver få instruktioner i hur utrustning och annat ska användas vid digital undervisning, föratt undvika personuppgiftsincidenter.
Information om GDPR
XXX
XXX