meny

För personuppgiftsansvariga inom skola och förskola

Den som är personuppgiftsansvarig inom skola och förskola ansvarar för att personuppgifter behandlas på ett korrekt sätt och att dataskyddsreglerna följs.

Ha koll på de grundläggande principerna
Det krävs en rättslig grund för personuppgiftsbehandlingen
Känsliga personuppgifter

Skolelever

Ha koll på de grundläggande principerna

I dataskyddsförordningen finns ett antal grundläggande principer. Dessa principer måste alltid vara uppfyllda för all personuppgiftsbehandling inom skolan.

Principerna innebär bland annat att personuppgiftsansvariga

  • måste stödja sig på minst en rättslig grund för att få behandla personuppgifter
  • ska vara transparent med vilka personuppgifter som behandlas
  • bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
  • inte ska behandla fler personuppgifter än vad som behövs för ändamålen
  • ska se till att personuppgifterna är riktiga
  • ska radera personuppgifterna när de inte längre behövs
  • ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
  • ska kunna visa att man följer dataskyddsförordningen, och på vilket sätt man gör detta.

Det krävs en rättslig grund för personuppgiftsbehandlingen

All behandling av personuppgifter måste ha en rättslig grund enligt dataskyddsförordningen. Utan en rättslig grund är personuppgiftsbehandlingen inte laglig.

Uppgift av allmänt intresse

Uppgift av allmänt intresse är den rättsliga grund som oftast kan användas för behandling av personuppgifter inom både privata och offentliga skolor. För att denna rättsliga grund ska kunna användas krävs det att grunden för behandlingen ska vara fastställd i unionsrätten eller i svensk rätt, exempelvis i skollagen.

Personuppgifter får behandlas om det är nödvändigt för att utföra en fastställd uppgift av allmänt intresse. Den personuppgiftsansvarige måste bedöma vilken behandling som är nödvändig utifrån den uppgift verksamheten ska utföra.

Exempel: Personuppgiftsbehandlingar som är nödvändiga för utföra en uppgift av allmänt intresse i skolan:

  • behandling av personuppgifter för att tillhandahålla, anordna och bedriva undervisning
  • administration av elevernas närvaro
  • dokumentation av elevernas kunskaper inför ett utvecklingssamtal
  • uppgifter i en skriftlig individuell utvecklingsplan

Den behandling som är nödvändig för att utföra den i till exempel skollagen fastställda uppgiften har en rättslig grund enligt dataskyddsförordningen.

Myndighetsutövning

Viss verksamhet i skolan kan utgöra myndighetsutövning mot enskild. Den behandling av personuppgifter som är nödvändig för myndighetsutövningen har den rättsliga grunden myndighetsutövning.

Exempel: Personuppgiftsbehandlingar som är nödvändiga för myndighetsutövningen i skolan:

  • beslut om betyg
  • beslut om särskilt stöd

Samtycke

Samtycke kan vanligtvis inte användas som rättslig grund för behandling av personuppgifter i skolan. Samtycke kan inte utgöra giltig rättslig grund när det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige och det därför inte är sannolikt att samtycket har lämnats frivilligt. Ett sådant ojämlikt förhållande är det oftast mellan en elev och skolan. Samtycke kan därför användas endast vid behandling av personuppgifter som sker utanför skolans ordinarie verksamhet, exempelvis vid skolfotografering.

Intresseavvägning

Offentliga skolor får enligt dataskyddsförordningen inte använda intresseavvägning som rättslig grund för att utföra sitt uppdrag.

För privata skolor finns inte något direkt förbud mot att använda sig av den rättsliga grunden intresseavvägning. Eftersom den rättsliga grunden uppgift av allmänt intresse oftast kan användas vid verksamhet som bedrivs enligt bland annat skollagen bör privata skolor sällan eller aldrig behöva använda den rättsliga grunden intresseavvägning.

Rättsliga grunder

Känsliga personuppgifter

Känsliga personuppgifter är uppgifter om

  • ras eller etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i en fackförening
  • hälsa
  • sexualliv eller sexuell läggning
  • genetiska uppgifter
  • biometriska uppgifter som används för att entydigt identifiera en person.

Exempel på känsliga personuppgifter inom skolan

Inom skolan kan känsliga personuppgifter exempelvis vara

  • uppgifter om sjukfrånvaro
  • uppgifter om att elever går i grundsärskola eller gymnasiesärskola

När känsliga personuppgifter får behandlas

Det är som huvudregel förbjudet att behandla känsliga personuppgifter men dataskyddsförordningen innehåller ett flertal undantag. För att få behandla personuppgifter måste det finnas ett tillämpligt undantag.

Enligt dataskyddsförordningen får känsliga personuppgifter behandlas bland annat om

  • behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse som
  • grundar sig i unionsrätten eller nationell rätt och
  • står i proportion till det eftersträvade syftet
  • samt innehåller lämpliga skyddsåtgärder.

Nationella bestämmelser om behandling av känsliga personuppgifter har införts i bland annat dataskyddslagen och skollagen.

Offentliga skolor får enligt dataskyddslagen behandla känsliga personuppgifter med stöd av dataskyddsförordningen

  • om behandlingen är nödvändig för handläggningen av ett ärende, eller
  • i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Skolhuvudmän som omfattas av offentlighetsprincipen får enligt dataskyddslagen behandla känsliga personuppgifter om uppgifterna lämnats till dem och behandlingen krävs enligt lag.

Privata skolor får enligt skollagen behandla känsliga personuppgifter på motsvarande sätt.

Både för offentliga och privata skolor är det förbjudet att utföra sökningar i syfte att få fram urval av personer grundat på känsliga personuppgifter.

OBS! Den personuppgiftsansvariga måste alltid se till att den aktuella behandlingen av känsliga personuppgifter, exempelvis inom ramen för ett ärende, är nödvändig för ett viktigt allmänt intresse. Det gäller såväl offentliga som privata skolor.

Den medicinska delen av elevhälsan i skolan är en självständig verksamhetsgren inom hälso- och sjukvård. För den personuppgiftsbehandling som sker inom den hälso- och sjukvård som bedrivs på skolorna gäller patientdatalagen.

Följ även de andra bestämmelserna i dataskyddsförordningen

Bestämmelser om den registrerades rättigheter, skydd för uppgifterna, möjlighet att överföra uppgifter till länder utanför EU, konsekvensbedömningar, med mera gäller givetvis även för skolors personuppgiftsbehandling.