Skyddade personuppgifter i skolan

Checklista för skolor

Alltfler personer, både vuxna och barn, lever idag under sådana omständigheter att deras personuppgifter behöver skyddas. För dessa personer kan till exempel en spridning av adressuppgifter innebära ett hot mot deras liv och hälsa. De kan då få skyddade personuppgifter genom Skatteverkets försorg. Personuppgifterna skyddas i huvudsak med sekretessmarkering och kvarskrivning.

Att fler får skyddade personuppgifter innebär att många skolor kommer att ha barn och elever med skyddade personuppgifter i sin verksamhet. Att behandla dessa elevers personuppgifter ställer extra stora krav på den personuppgiftsansvarige i och med att behandlingen måste ske på ett sätt som inte ger upphov till svåra konsekvenser för de berörda registrerade. Denna checklista är tänkt som en hjälp för den personuppgiftsansvarige som måste hantera skyddade personuppgifter i sin skola.

Först och främst måste den personuppgiftsansvarige givetvis se till att behandlingen av samtliga elevers personuppgifter följer regleringen i personuppgiftslagen. Mer information finns i Datainspektionens Checklista för hantering av personuppgifter i skolor.

Här följer några viktiga punkter som den personuppgiftsansvarige speciellt bör tänka på när det gäller skyddade personuppgifter:

Regler och rutiner ska finnas

Fastställda regler och rutiner krävs för att säkerställa att inga skyddade personuppgifter behandlas på ett sådant sätt att det innebär ökade risker och svåra konsekvenser för de enskilda registrerade. Dessa rutiner ska vara skriftliga.

Riskbedömning ska göras från fall till fall

Vilka personuppgifter som särskilt måste skyddas kan givetvis variera från elev till elev. Det är därför viktigt att den personuppgiftsansvarige i varje enskilt fall gör en bedömning om hur personuppgifterna ska behandlas. Vid behandlingen av elevers personuppgifter kan en uppgift om vilken skola barnet går i vara nog så viktigt att skydda som uppgifter om hemadress och telefonnummer. I denna bedömning kan man givetvis inhämta elevens och vårdnadshavarens inställning men det är alltid skolans ansvar att se till att behandlingen sker på ett säkert sätt.

Begränsa mängden uppgifter

Som alltid när det gäller personuppgifter ska inte fler uppgifter behandlas än vad som behövs för ändamålet med behandlingen. När man som personuppgiftsansvarig ska behandla skyddade personuppgifter är detta av ännu större vikt. För att minska riskerna för den enskilde registrerade ska man i varje enskilt fall noga analysera vilka personuppgifter som verkligen behöver registreras. Den personuppgiftsansvarige måste även se till att personuppgifterna gallras så snart de inte längre behövs för sitt ändamål.

Begränsa åtkomsten

Trots de risker det innebär måste i många fall skyddade personuppgifter ändå behandlas. För att i möjligaste mån minimera riskerna för de registrerade bör den personuppgiftsansvarige starkt begränsa åtkomsten till de skyddade personuppgifterna till ett fåtal personer.

Det ska framgå att personuppgifterna är skyddade

För de personer som har åtkomst till de skyddade personuppgifterna ska det klart och tydligt framgå att personuppgifterna är skyddade, till exempel genom flaggning. Det ska inte råda någon som helst oklarhet om att det är uppgifter som särskilt behöver skyddas.

Undvik spridning av uppgifterna i IT-systemen

Många IT-system som används på skolans område är sammankopplade på ett eller annat sätt. Exempelvis kan ett system för hantering av schema och frånvaro hämta personuppgifter från elevregistret. Om behandlingen av personuppgifter inom dessa system även innefattar personer med skyddade personuppgifter måste den personuppgiftsansvarige se till att inte uppgifterna okontrollerat sprids, till exempel till IT-system med sämre IT-säkerhet.

Informera och utbilda personalen

All personal som kommer i kontakt med skyddade personuppgifter måste få utbildning i de regler och rutiner som gäller för skolans behandling av skyddade personuppgifter.

Tillräcklig hög IT-säkerhet ska finnas

Den personuppgiftsansvarige är skyldig att se till att personuppgifterna skyddas på lämpligt sätt. Vilka IT-säkerhetsåtgärder som behöver tillämpas är beroende av den riskbedömning den ansvarige gjort avseende behandlingen av skyddade personuppgifter.

Möjliggör kontroll av åtkomst till skyddade personuppgifter

Det ska alltid i efterhand kunna gå att kontrollera vilka personer som tagit del av uppgifter om elever med skyddade personuppgifter. Därför ska IT-systemen kunna generera loggar vilka regelbundet ska kontrolleras.

Följ regelbundet upp rutinerna

Den personuppgiftsansvarige måste regelbundet följa upp att de regler och rutiner som gäller för behandling av skyddade personuppgifter följs inom organisationen. De regler och rutiner som fastställts bör även regelmässigt ses över.

Personuppgiftslagen

Mer information

Personuppgifter i skolan

En checklista över de viktigaste punkterna som skolor måste tänka på när de behandlar personuppgifter.

Kameraövervakning i skolor

En checklista som ska göra det enklare för skolor att avgöra om kameraövervakningen strider mot personuppgiftslagen.

Kvarskrivning
Kvarskrivning fungerar som ett adresskydd när du har flyttat till annan, hemlig adress. I praktiken innebär det att din nya, verkliga bostadsort inte framgår av folkbokföringsregistret och därmed inte heller sprids till andra myndigheter. Din gamla adress tas bort och du registreras som "på församlingen skriven" i din gamla folkbokföringsort.

Dokument

Läs sidan i pdf-format

Informationen på denna sida finns även i pdf-format.

Externa länkar

Skyddade personuppgifter

Läs mer om skyddade personuppgifter på Skatteverkets webbplats.