Hoppa till innehåll på sidan

För personuppgifts­­ansvariga inom skola och förskola

Den som är personuppgiftsansvarig inom skola och förskola ansvarar för att personuppgifter behandlas på ett korrekt sätt och för att dataskyddsreglerna följs.

De grundläggande principerna

I dataskyddsförordningen finns ett antal grundläggande principer. Dessa måste alltid vara uppfyllda för all personuppgiftsbehandling inom skolan.

Principerna innebär bland annat att den personuppgiftsansvariga

  • måste stödja sig på minst en rättslig grund för att få behandla personuppgifter
  • ska vara transparent med vilka personuppgifter som behandlas
  • bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
  • inte ska behandla fler personuppgifter än vad som behövs för ändamålen
  • ska se till att personuppgifterna är riktiga
  • ska radera personuppgifterna när de inte längre behövs
  • ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
  • ska kunna visa att man följer dataskyddsförordningen, och på vilket sätt man gör det.

De grundläggande principerna

Det krävs en rättslig grund för personuppgiftsbehandlingen

All behandling av personuppgifter måste ha en rättslig grund enligt dataskyddsförordningen för att vara tillåten.

Uppgift av allmänt intresse är den rättsliga grund som oftast kan användas för behandling av personuppgifter inom både privata och offentliga skolor. För att denna rättsliga grund ska kunna användas krävs det att grunden för behandlingen ska vara fastställd i unionsrätten eller i svensk rätt, exempelvis i skollagen.

Personuppgifter får behandlas om det är nödvändigt för att utföra en fastställd uppgift av allmänt intresse. Den personuppgiftsansvariga måste bedöma vilken behandling som är nödvändig utifrån den uppgift verksamheten ska utföra.

Exempel på personuppgiftsbehandlingar som är nödvändiga för att utföra en uppgift av allmänt intresse i skolan:

  • Behandling av personuppgifter för att tillhandahålla, anordna och bedriva undervisning.
  • Administration av elevernas närvaro.
  • Dokumentation av elevernas kunskaper inför ett utvecklingssamtal.
  • Uppgifter i en skriftlig individuell utvecklingsplan.

Den behandling som är nödvändig för att utföra den i till exempel skollagen fastställda uppgiften har en rättslig grund enligt dataskyddsförordningen.

Viss verksamhet i skolan kan utgöra myndighetsutövning mot enskild. Den behandling av personuppgifter som är nödvändig för myndighetsutövningen har den rättsliga grunden myndighetsutövning.

Exempel på personuppgiftsbehandlingar som är nödvändiga för myndighetsutövningen i skolan är

  • beslut om betyg
  • beslut om särskilt stöd.

Samtycke kan vanligtvis inte användas som rättslig grund för behandling av personuppgifter i skolan. Samtycke kan inte utgöra giltig rättslig grund när det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvariga och det därför inte är sannolikt att samtycket har lämnats frivilligt. Ett sådant ojämlikt förhållande är det oftast mellan en elev och skolan. Samtycke kan därför användas endast vid behandling av personuppgifter som sker utanför skolans ordinarie verksamhet, exempelvis vid skolfotografering.

Offentliga skolor får enligt dataskyddsförordningen inte använda intresseavvägning som rättslig grund för att utföra sitt uppdrag.

För privata skolor finns inte något direkt förbud mot att använda sig av den rättsliga grunden intresseavvägning. Eftersom den rättsliga grunden uppgift av allmänt intresse oftast kan användas vid verksamhet som bedrivs enligt bland annat skollagen bör privata skolor sällan eller aldrig behöva använda den rättsliga grunden intresseavvägning.

 

Rättsliga grunder

Känsliga personuppgifter

Känsliga personuppgifter är uppgifter om:

  • etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i en fackförening
  • hälsa
  • sexualliv eller sexuell läggning
  • genetiska uppgifter
  • biometriska uppgifter som används för att entydigt identifiera en person.

Inom skolan kan känsliga personuppgifter exempelvis vara

  • uppgifter om sjukfrånvaro
  • uppgifter om att elever går i anpassad grundskola eller anpassad gymnasieskola.

Det är som huvudregel förbjudet att behandla känsliga personuppgifter men dataskyddsförordningen innehåller flera undantag. För att få behandla personuppgifter måste det finnas ett tillämpligt undantag.

Enligt dataskyddsförordningen får känsliga personuppgifter behandlas bland annat om

  • behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse som
  • grundar sig i unionsrätten eller nationell rätt och
  • står i proportion till det eftersträvade syftet
  • samt innehåller lämpliga skyddsåtgärder.

Nationella bestämmelser om behandling av känsliga personuppgifter har införts i bland annat dataskyddslagen och skollagen.


Offentliga skolor får enligt dataskyddslagen behandla känsliga personuppgifter med stöd av dataskyddsförordningen

  • om behandlingen är nödvändig för handläggningen av ett ärende, eller
  • i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Skolhuvudmän som omfattas av offentlighetsprincipen får enligt dataskyddslagen behandla känsliga personuppgifter om uppgifterna lämnats till dem och behandlingen krävs enligt lag. Privata skolor får enligt skollagen behandla känsliga personuppgifter på motsvarande sätt.

Både för offentliga och privata skolor är det förbjudet att utföra sökningar i syfte att få fram urval av personer grundat på känsliga personuppgifter.

OBS! Den personuppgiftsansvariga måste alltid se till att den aktuella behandlingen av känsliga personuppgifter, exempelvis inom ramen för ett ärende, är nödvändig för ett viktigt allmänt intresse. Det gäller såväl offentliga som privata skolor.

Den medicinska delen av elevhälsan i skolan är en självständig verksamhetsgren inom hälso- och sjukvård. För den personuppgiftsbehandling som sker inom den hälso- och sjukvård som bedrivs på skolorna gäller patientdatalagen.

Behandling av personuppgifter inom hälso- och sjukvård

 

Följ även de andra bestämmelserna i dataskyddsförordningen

Bestämmelser om den registrerades rättigheter, skydd för uppgifterna, möjlighet att överföra uppgifter till länder utanför EU, konsekvensbedömningar, med mera gäller givetvis även för skolors personuppgiftsbehandling.

Introduktion till dataskyddsförordningen

Senast uppdaterad: 6 september 2021
Sidans etiketter Dataskydd, Utbildning