Hoppa till innehåll på sidan

Digital undervisning och personuppgifter

Efter utbrottet av coronaviruset bedriver många skolor, högskolor och universitet undervisning på distans. Dataskyddsförordningen (GDPR) utgör inget hinder för digital undervisning, men ställer krav för att tillvarata elevers och lärares integritetsintressen.

Den som behandlar personuppgifter, den personuppgiftsansvariga, måste ha stöd i dataskyddsförordningen då hen tar ställning till hur behandlingen sker och vilka personuppgifter som är nödvändiga för att kunna genomföra digital undervisning.

Vem är personuppgiftsansvarig?

Den personuppgiftsansvariga är den verksamhet som bestämmer för vilka ändamål personuppgifterna ska behandlas och hur behandlingen ska gå till. Det är alltså inte en lärare eller rektor. I en kommunal skola är det till exempel utbildningsnämnden som är personuppgiftsansvarig medan det är ett aktiebolag för en friskola.

En viktig del i dataskyddsarbetet för den personuppgiftsansvariga är att ge elever och lärare tydliga instruktioner kring hur de ska hantera digital undervisning. Utgångspunkten är att inte behandla fler personuppgifter än vad som behövs för ändamålen.

Rättslig grund för personuppgiftsbehandlingen

All behandling av personuppgifter måste ha en rättslig grund enligt dataskyddsförordningen för att vara tillåten. Uppgift av allmänt intresse är den rättsliga grund som oftast kan användas för behandling av personuppgifter inom både privata och offentliga skolor. Exempel på personuppgiftsbehandlingar som är nödvändiga för att utföra en uppgift av allmänt intresse i skolan är behandling av personuppgifter för att tillhandahålla, anordna och bedriva undervisning.

Notera att samtycke vanligtvis inte används som rättslig grund för behandling av personuppgifter i skolan. Det beror på ojämlikheten i relationen mellan den registrerade och den personuppgiftsansvariga, det vill säga mellan eleven och skolan. Det gäller även i förhållandet mellan anställda och arbetsgivare, det vill säga läraren och skolan.

Informera eleverna om vad som gäller

Elever behöver veta vilka förhållningsregler som gäller vid undervisningen, till exempel hur skolans utrustning ska användas och regler för användning av privat mobil under lektionstid. Det som gäller vid vanlig undervisning i skolan bör även gälla för digital undervisning.

Behandla inte fler personuppgifter än nödvändigt

Det är viktigt att inte behandla fler personuppgifter än nödvändigt för att skolan ska kunna bedriva undervisning. Personuppgifter om barn anses särskilt skyddsvärda i dataskyddsförordningen eftersom barn kan ha svårare att förutse riskerna med personuppgiftsbehandlingen och att förstå vilken rätt till skydd för sina uppgifter som de har.

Därför bör den personuppgiftsansvariga exempelvis överväga om det är nödvändigt med bild- och ljudupptagning av elever i digital undervisning och i så fall i vilken utsträckning. Oavsett vilka personuppgifter man behöver för att genomföra undervisningen ska man tänka på att det ska finnas en balans och ett behov av de uppgifter som behandlas.

Utgångspunkten är vilka personuppgifter som är nödvändiga för skolans uppgift att bedriva undervisning. Tänk även på att det finns krav på att personuppgifter ska ha en lämplig säkerhet i dataskyddsförordningen. Vilken säkerhet som är lämplig beror på vilka personuppgifter som behandlas, något som den personuppgiftsansvariga måste bedöma. Generellt gäller att ju känsligare personuppgifter som behandlas, desto högre är kraven på säkerhetsåtgärder.

Dokumentera gärna era avvägningar så att det finns ett underlag för hur verksamheten motiverat sin behandling.

Det finns många frågor att ta ställning till för den personuppgiftsansvariga:

  • Det kanske är tillräckligt att läraren syns eller till och med bara hörs?
  • Hur ska elever med skyddade personuppgifter ta del av undervisningen?
  • Hur säkerställer man att elevers och lärares personuppgifter skyddas mot obehörig åtkomst?
  • Hur säkerställer den personuppgiftsansvariga att elevers och lärares personuppgifter inte sprids?
  • Finns det ett personuppgiftsbiträdesavtal med tjänsteleverantören som innehåller instruktioner för hur de som biträde får behandla personuppgifter?

Kommunala skolor måste utse dataskyddsombud

En kommunal skola måste utse dataskyddsombud. Dataskyddsombudet ska bland annat ge råd och stöd till personuppgiftsansvarig och är kontaktperson för den vars uppgifter behandlas. Elever och lärare kan därför vända sig till skolans dataskyddsombud för att få mer information om personuppgiftsbehandling.

Senast uppdaterad: 13 april 2021
Sidans etiketter Dataskydd, Utbildning