Inom skol- och förskoleverksamhet behandlas ofta ett stort antal personuppgifter, oavsett om skolan eller förskolan drivs i privat eller offentlig regi. Skolor och förskolor behandlar dessutom många känsliga personuppgifter, som anses extra skyddsvärda.
Vad gäller för er som skola eller förskola?
Precis som för majoriteten av alla personuppgiftsansvariga och personuppgiftsbiträden krävs det att ni följer de artiklar som finns i GDPR. Det innebär bland annat att ni ska ha ett syfte och en rättslig grund för den behandling ni genomför. Det innebär även att de ni behandlar personuppgifter om har vissa rättigheter som ni måste ta hänsyn till.
Kravet på rättslig grund
En ständigt återkommande fråga är om man får lov att behandla personuppgifter. Ett förenklat svar på den frågan är att ni får lov att behandla personuppgifter om ni har en rättslig grund för behandlingen.
Det finns sex rättsliga grunder i GDPR. Dessa är: 1) samtycke, 2) avtal, 3) rättslig förpliktelse, 4) grundläggande intresse, 5) allmänt intresse eller myndighetsutövning och 6) intresseavvägning. För skolor och förskolor ser valet av rättslig grund lite annorlunda ut än vad som gäller för andra verksamheter. Viktigt att nämna är att privata skolor och förskolor i princip kan behandla personuppgifter med stöd av samma rättsliga grunder som offentliga skolor och förskolor. Nedan beskrivs två av de rättsliga grunder som främst kommer aktualiseras inom skolor och förskolor.
- Uppgift av allmänt intresse eller myndighetsutövning
- Uppgift av allmänt intresse: denna rättsliga grund kan användas av både privata och offentliga skolor och förskolor. Om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse får personuppgifter behandlas. Hur avgör man om något är ett allmänt intresse? För att vara ett allmänt intresse krävs det att grunden för behandlingen är fastställd i svensk rätt eller unionsrätten. Många behandlingar kan därför motiveras med stöd av skollagen.
- Myndighetsutövning: skolor och förskolor får behandla personuppgifter om det är nödvändigt för den myndighetsutövning som sker inom skolor och förskolor.
- Avtal: förutom allmänt intresse och myndighetsutövning är det möjligt för skolor och förskolor att använda sig av den rättsliga grunden avtal. Även här finns det ett nödvändighetskrav som innebär att uppgifterna måste vara nödvändiga för avtalet för att
ni ska få behandla dem.
Kan skolor och förskolor använda sig av samtycke?
En rättslig grund som fått mycket uppmärksamhet är samtycke. Samtycke kan dock generellt sett inte användas av skolor och förskolor. Varför är det såhär? Det beror på att ett samtycke alltid ska vara lämnat frivilligt. Det är svårt att avgöra om ett samtycke är lämnat frivilligt när det råder obalans i ett förhållande, d.v.s. att den ena parten har en starkare ställning än den andra. I rollen mellan skola och elev eller förskola och förskolebarn är det ofta ett ojämlikt förhållande, där barnet inte har en lika stark ställning som skolan eller förskolan. För att samtycke ska kunna användas krävs det därför att den personuppgiftsansvarige bland annat kan visa att samtycket faktiskt varit frivilligt.
Rutiner för att tillgodose enskildas rättigheter
En viktig del av GDPR är att säkerställa att verksamheten har rutiner för att tillgodose en enskild persons rättigheter. De rättigheter en enskild har följer av GDPR och innebär bland annat att ni har skyldighet att informera om den behandling som sker, vilket omfattar att en enskild har rätt att få tillgång till sina personuppgifter.
En enskild person har rätt att få information när hans eller hennes personuppgifter behandlas. Den enskildes rätt till information innebär en informationsskyldighet för er del som aktualiseras:
- När personuppgifterna samlas in.
- När den enskilde begär det.
- Vid särskilda händelser som kan utgöra incidenter, exempelvis om det sker ett dataintrång.
Rätten till tillgång är således en del av informationsskyldigheten som aktualiseras när en enskild person begär att få tillgång till sina personuppgifter. Det brukar även kallas rätt till registerutdrag. Huvudregeln är att registerutdraget ska lämnas inom en månad från begäran. Läs mer om rätten till tillgång här.
Vilken information som ska lämnas beror på i vilken situation den enskilde ska få informationen, d.v.s. om det är information i samband med att uppgifterna samlas in, om den enskilde har begärt det eller om det skett en incident. Gemensamt för alla tre situationerna är dock att information ska lämnas om bland annat ändamålet med behandlingen, eventuella mottagare av personuppgifterna och hur länge personuppgifterna sparas.
Krav på att föra register
Många skolor och förskolor har krav på sig att föra register över den personuppgiftsbehandling som sker i verksamheten. När föreligger detta krav? Kravet på att föra register föreligger om:
- Verksamheten sysselsätter mer än 250 personer,
- Behandlingen som utförs sannolikt kommer medföra risk för den registrerades rättigheter och friheter,
- Behandlingen inte är tillfällig,
- Behandlingen omfattar känsliga personuppgifter (särskilda kategorier) eller
- Behandlingen omfattar personuppgifter om fällande domar i brottmål eller överträdelser.
Detta innebär att de flesta verksamheter har en skyldighet att föra register över sin personuppgiftsbehandling. Läs mer om varför ni dessutom bör föra register här.
Hur ska ni gå vidare?
Vägen till en lagenlig behandling finns inom räckhåll. Ni kan redan idag boka en demo av GDPR Hero eller skapa ett konto.
Vill ni kontakta oss för vidare vägledning hur ni ska börja eller fortsätta med ert GDPR-arbete når ni oss på telefonnummer 046 – 273 17 17 eller mejlen info@gdprhero.se. Vi hoppas att vi hörs!