meny

Digital undervisning

Med anledning av utbrottet av coronaviruset är det många skolor, högskolor och universitet som bedriver undervisning på distans. Dataskyddsförordningen (GDPR) utgör inget hinder för digital undervisning, men ställer krav för att tillvarata elevers och lärares integritetsintressen.

Den som behandlar personuppgifter, den personuppgiftsansvariga, måste ha stöd i GDPR. Det är den personuppgiftsansvariga som bland annat ska ta ställning till hur behandlingen ska ske och vilka personuppgifter som är nödvändiga för att kunna genomföra digital undervisning.

Vem är personuppgiftsansvarig?

En vanlig missuppfattning är att det är en lärare eller rektor som är personuppgiftsansvarig men så är det inte. Den personuppgiftsansvariga är den verksamhet som bestämmer för vilka ändamål personuppgifterna ska behandlas och hur behandlingen ska gå till. I en kommunal skola är det till exempel utbildningsnämnden som är personuppgiftsansvarig medan det är ett aktiebolag för en friskola.

En viktig del i dataskyddsarbetet för den personuppgiftsansvariga är att ge elever och lärare tydliga instruktioner kring hur de ska hantera digital undervisning. En viktig utgångspunkt är att den personuppgiftsansvariga inte ska behandla fler personuppgifter än vad som behövs för ändamålen. 

Rättslig grund för personuppgiftsbehandlingen

All behandling av personuppgifter måste ha en rättslig grund enligt dataskyddsförordningen. Utan en rättslig grund är personuppgiftsbehandlingen inte laglig.
Uppgift av allmänt intresse är den rättsliga grund som oftast kan användas för behandling av personuppgifter inom både privata och offentliga skolor. Exempel på personuppgiftsbehandlingar som är nödvändiga för att utföra en uppgift av allmänt intresse i skolan är behandling av personuppgifter för att tillhandahålla, anordna och bedriva undervisning.

Notera att samtycke vanligtvis inte används som rättslig grund för behandling av personuppgifter i skolan. Det beror på den betydande ojämlikheten i relationen mellan den registrerade och den personuppgiftsansvariga, det vill säga mellan eleven och skolan. Det gäller även i förhållandet mellan anställda och arbetsgivare, det vill säga läraren och skolan.

Informera eleverna om vad som gäller

Elever behöver få information om vilka förhållningsregler som gäller vid undervisningen till exempel hur skolans utrustning ska användas och regler för användning av privat mobil under lektionstid. Det som gäller en vanlig undervisning i skolan bör även gälla för digital undervisning.

Behandla inte fler personuppgifter än nödvändigt

Det är viktigt att komma ihåg att man inte ska behandla fler personuppgifter än nödvändigt för att skolan ska kunna bedriva undervisning. Personuppgifter om barn anses särskilt skyddsvärda i dataskyddsförordningen eftersom barn kan ha svårare att förutse riskerna med personuppgiftsbehandlingen och att förstå vilken rätt till skydd för sina uppgifter som de har.

Därför bör den personuppgiftsansvariga exempelvis överväga om det är nödvändigt med bild- och ljudupptagning av elever i digital undervisning och i så fall i vilken utsträckning. Oavsett vilka personuppgifter man behöver för att genomföra undervisningen ska man tänka på att det ska finnas en balans och ett behov av de uppgifter som behandlas.

Utgångspunkten är vilka personuppgifter som är nödvändiga för skolans uppgift att bedriva undervisning. Tänk även på att det finns krav på att personuppgifter ska ha en lämplig säkerhet i GDPR. Vilken säkerhet som är lämplig beror på vilka personuppgifter som behandlas, något som den personuppgiftsansvariga måste bedöma. Generellt kan man säga att ju känsligare personuppgifter som behandlas, desto högre är kraven på säkerhetsåtgärder.

Dokumentera gärna era avvägningar så att det finns ett underlag för hur verksamheten motiverat sin behandling.

Det finns många frågor att ta ställning till för den personuppgiftsansvariga:

  • Det kanske är tillräckligt att läraren syns eller till och med bara hörs?
  • Hur ska elever med skyddade personuppgifter ta del av undervisningen?
  • Hur säkerställer man att elevers och lärares personuppgifter skyddas mot obehörig åtkomst?
  • Hur säkerställer den personuppgiftsansvariga att elevers och lärares personuppgifter inte sprids?
  • Finns det ett biträdesavtal med tjänsteleverantören som innehåller instruktioner för hur de som biträde får behandla personuppgifter?

 

Mer information

Informationssäkerhet är en viktig del i dataskyddsarbetet. Innan distansundervisning påbörjas bör den personuppgiftsansvariga försäkra sig om att säkerhetsbestämmelserna i GDPR efterlevs.

Vägledning som tar upp rättslig grund, de grundläggande principerna och känsliga personuppgifter ur skolans perspektiv.

Vägledning kring hur personuppgiftsansvariga inom skola och förskola ska hantera personuppgifter

En kommunal skola måste utse dataskyddsombud. Dataskyddsombudet ska bland annat ge råd och stöd till personuppgiftsansvarig och är kontaktperson för den vars uppgifter behandlas. Elever och lärare kan därför vända sig till skolans dataskyddsombud för att få mer information om personuppgiftsbehandling.

Den polska dataskyddsmyndigheten har också tagit fram information om distansundervisning med anledning av coronaviruset som kan vara vägledande.

Denna information kommer att uppdateras.
Senast uppdaterad 2020-04-20.