Du är här:Hem → Personuppgiftsombud → Samrådsyttranden → Intranätet Skolportalen

Intranätet Skolportalen

Utbildning

Fråga:

Vi i kommunen håller på att bygga upp ett intranät för skolorna som man kallar Skolportalen Vi har fått ett antal frågeställningar ifrån projektledarna i samband med detta. Vi har även sökt information om vad som gäller ifråga om personuppgiftslagen och nätbaserade kommunikationsplattformar och konstaterat att det finns väldigt lite referensmaterial till vägledning. Om vi läser våra nämnders IT-strategier så framgår där klart vad som är syftet med Skolportalen:

• att främja kommunikationen skola — lärare — elev — förälder
  att öka tillgängligheten till dokument och skoluppgifter + skolinfo även hemifrån
  att fungera som ett verktyg i den pedagogiska undervisningssituationen

Jag har ett antal frågor angående personuppgiftslagen och hur den bör tillämpas i skolportalen. Som bakgrund bör nämnas att skolportalen kommer att vara skyddad genom personlig inloggning samt att varje diskussionsforum inte är tillgängliga annat än för en liten grupp av berörda personer. Till exempel administratör? lärare? elev? elevs målsman.

Behöver vi göra några anmälningar för nya behandlingar av personuppgifter i Skolportalen?
Vad gäller för till exempel diskussionsforum och chatt i Skolportalen? Ska diskussioner till exempel lagras en viss tid för att kunna hämtas upp i efterhand? Hur länge ska det lagras?
Hur ska översynen se ut för diskussionsforum på en Skolportal?
Räknas diskussionsforum och chatt som behandlingar av personuppgifter? (jag kan gissa att elever/lärare/föräldrar kommer diskutera även personer i dessa forum…)
Vad är känsliga uppgifter till exempel i en föräldradiskussion? (Lektioner? Lärares undervisningssätt? Mobbing? med mera)
Finns det några bestämmelser hos Datainspektionen eller skolverket om hur länge skolmaterial ska lagras digitalt efter att elever slutat 9:an eller gymnasiet? Måste allt material i digital portfolio brännas ner och sparas viss tid i kommunens arkiv? Vad säger lagen?
Allt i skolportalen loggas (även chatt och diskussionsforum med mera). Hur länge ska loggfilerna sparas? Som systemet är uppsatt nu lagras det oändligt.
Loggfilerna som sparas är okrypterade, det vill säga lätta att tyda om någon hackar sig in i systemet. Får det vara okrypterat?
Måste allt i skolportalen loggas?

Svar:

Du har begärt samråd och stället ett antal frågor angående personuppgiftsbehandling inom ramen för intranätet Skolportalen. Med anledning av dina frågor kan Datainspektionen lämna följande vägledning, frågorna kommenteras i den ordning du angett dem i din skrivelse.

Behöver anmälan om personuppgiftsbehandling göras avseende Skolportalen?
Som Datainspektionen uppfattar din beskrivning av Skolportalen innebär den en sådan behandling av personuppgifter som personuppgiftsombudet ska föra en företeckning över.

Ska diskussioner lagras viss tid?
Personuppgiftslagen ställer inga krav på att information ska lagras en viss tid. Tvärtom ska personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (9 § punkt i). Med tillämpning av den bestämmelsen saknas, såvitt Datainspektionen kan bedöma, skäl att lagra uppgifter från diskussionsforum och chatt mer än mycket kort tid. Eftersom personuppgiftslagen är subsidiär (2 §) bör man kontrollera om krav på bevarande finns i andra relevanta författningar.
Hur ska översynen se ut för diskussionsforumet?
Som Datainspektionen uppfattar frågan gäller den i första hand hur utbildningsnämnden internt fördelar vissa arbetsuppgifter. Något som Datainspektionen av naturliga skäl varken kan eller bör ha synpunkter på.

Räknas diskussionsforum och chatt som behandlingar av personuppgifter?
Som konstaterats ovan är personuppgiftslagen subsidiär i förhållande till andra lagar. Det innebär att bland annat bestämmelser i lagen (1998:112) om ansvar för elektroniska anslagstavlor kan bli tillämpliga. I den utsträckning det inte finns bestämmelser i annan lagstiftning som avviker från personuppgiftslagen omfattar lagen även behandling av personuppgifter som sker på diskussionsforum och chattar.

För tydlighets skull kan tilläggas att även det någon skriver om sig själv på ett diskussionsforum eller i en chatt kan utgöra en behandling av personuppgifter i personuppgiftslagens mening. Att en sådan behandling normalt sett är tillåten är en annan sak.

Vad är känsliga uppgifter i en föräldradiskussion?
Känsliga uppgifter enligt personuppgiftslagen definieras i 13 §, det vill säga uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller sådana uppgifter som rör hälsa eller sexualliv. Dessa uppgifter är särskilt skyddsvärda enligt lagen. Vissa uppgifter i skolverksamhet som inte betecknas som känsliga enligt personuppgiftslagens mening upplevs av många som känsliga, exempelvis omdömen och värderande uppgifter. Det är därför viktigt att behandla sådana uppgifter med respekt för eleverna.

Finns det bestämmelser angående hur länge skolmaterial ska lagras digitalt?
Se svaret på tidigare fråga angående bevarande av uppgifter. På detta område finns annan lagstiftning med från personuppgiftslagen avvikande bestämmel-ser.

Hur länge ska loggfilerna sparas?
Se svaret på tidigare fråga angående bevarande av uppgifter. Hur länge loggfilerna ska sparas måste, vid tillämpning av personuppgiftslagen, avgöras beroende på vad som är ändamålet med att man spar loggen. Ändamålen med beva-rande av loggfilerna måste vara bestämda i förväg och sakligt grundade i verksamheten. Att aldrig gallra loggfilerna eller att endast gallra mycket sällan av utrymmesskäl framstår, oavsett ändamålet med behandlingen, som oförenligt med personuppgiftslagen.

Måste allt i skolportalen loggas? Får loggfilerna sparas okrypterat?
Med utgångspunkt från den beskrivning av Skolportalen som du lämnat och vilka uppgifter som ska behandlas inom ramen för denna gör Datainspektionen följande bedömning. Personuppgiftslagens bestämmelser medför inga krav på att logga allt i Skolportalen eller att eventuella loggar måste sparas krypterade.

Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.