Hoppa till huvudinnehåll

Dataskyddsförordningen (GDPR)- UTB

Den nya dataskyddsförordningen trädde i kraft den 28 maj 2018. Syftet med den nya dataskyddsförordningen är att stärka medborgarnas rättigheter men också att få till en harmonisering mellan EU:s medlemsstater, samma regelverk ska gälla för alla.
Dataskyddsförordningen benämns ibland GDPR, General Data Protection Regulation.

Här hittar du information riktat till dig som arbetar inom utbildningsförvaltningen.

Svar på vanliga frågor i våra verksamheter

Här lägger vi successivt ut vanligt förekommande frågor och svar.

En personuppgift är något som kan identifiera en person.

Några exempel:

  • Förnamn
  • Efternamn
  • Personnummer
  • Telefonnummer
  • Adress
  • Mailadress
  • IP-Adress
  • Kontonummer
  • Bild

 + kombination av ovanstående

Känsliga personuppgifter

  • Folkgrupp eller etniskt ursprung
  • Politiska åsikter
  • Religiös eller filosofisk övertygelse
  • Medlemskap i fackförening
  • Hälsa
  • Sexualliv eller sexuella läggning
  • Genetiska uppgifter (t ex DNA)
  • Biometriska uppgifter som entydigt identifierar en person (t ex fingeravtryck, iris)

Särskilt integritekänsliga personuppgifter

Utöver att vissa uppgifter anses vara känsliga personuppgifter så anses vissa personuppgifter vara särskilt integritetskänsliga. Exempel på integritetskänsliga personuppgifter som ska  behandlas som känsliga personuppgifter:

  • uppgifter om barns utveckling
  • personnummer 

Ja, att upprätta klasslistor är tillåtet. I våra skolor behöver vi ha klasslistor för att kunna bedriva vår verksamhet och då finns det rättsligt stöd eftersom behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Sveriges kommuner och landsting (SKR) har tagit fram följade rekommendationer angående utdelning av klasslistor. Linköpings kommun följer dessa:

"Det ska inte vara något hinder att dela ut klasslistor till vårdnadshavare, givetvis beroende på vad klasslistan innehåller. Eftersom det finns rättsligt stöd för att ha listan i den egna verksamheten, är den också en allmän handling som skulle kunna begäras ut. Det är bara de som har skyddade folkbokföringsuppgifter, eller om det föreligger annan specifik sekretess för viss elev, som gör att uppgifter om den eleven inte ska finnas med i klasslistan. Det bör anses som en del i verksamheten att föräldrarna vet vilka barn som går i klassen och därför ska det inte vara något hinder att lämna ut dessa listor.

Men tänk ”uppgiftsminimering”, vilka uppgifter är relevanta att dela ut? Hela personnummer bör inte finnas med, men födelsedatum kan vara ok, men behövs det i sammanhanget?"

För att sköta vårt uppdrag i skola och förskola behöver vi ibland mejla till vårdnadshavarna. 

Det är därför okej att sammanställa mejllistor men vi inte ska sprida dessa.
När vi mejlar till flera vårdnadshavare samtidigt ska vi därför alltid lägga mottagarna/ mejllistan i fältet Hemlig kopia (dator) eller Dold kopia (iPad):

- Klicka på Kopia i mejlet (Kopia/Dolt kopia på iPad)

- Välj Hemlig kopia (Dold Kopia på iPad) och skriv där in mottagarna/ mejllistan

- Vill du ha en synlig mottagare skriv dig själv som mottagare (efter "Till:")

Nu kan du skicka ditt mejl utan att vårdnadshavarne ser varandras adresser.

Om vårdnadshavarna villl ha en mejllista ska vi i första hand uppmana att de upprättar en själva. Samtidigt är en mejllista upprättad av skolan en allmän handling och kan begäras ut. Skolan ska dock inte sprida den utan att den begärs ut som allmän handling.

När vi mejlar till flera mottagare samtidigt ska mottagarna ibland inte kunna se varandras namn/mejladress. Det gäller när vi mejlar till vårdnadshavare och andra externa mottagare. Det kan även vara lämpligt att dölja mottagarna när vi mejlar internt till många, och det inte finns någon anledning att mottagarna ser varandras namn.

För att dölja mottagarna lägger vi mottagarna/mejllistan i fältet Hemlig kopia (dator) eller Dold kopia (iPad). Gör såhär:

  • Klicka på Kopia i mejlet (Kopia/Dolt kopia på iPad)
  • Välj Hemlig kopia (Dold Kopia på iPad) och skriv där in mottagarna/mejllistan

Vill du ha en synlig mottagare kan du skriva din egen mejadress som mottagare (efter "Till:")

Ja, om det är nödvändigt för att kunna genomföra verksamheten får elevers och/eller vårdnadshavares namn finnas i minnesanteckningar och protokoll. I sådana fall kan hanteringen av personuppgifter stödjas på grunden allmänt intresse.
Namnet ska dock inte kombineras med något som gör det till en känslig personuppgift (till exempel politisk åskådning, sexuell läggning med mera). Tänk på att protokoll ska finnas med i registerförteckningen över personuppgiftsbehandlingar på skolan/förskolan.

Frågan gäller sammanställda listor med tillsynstider som visar vilka elever som är på fritids. 

Scheman och listor behövs för att verksamheten ska fungera. Dessa ska förvaras så att enbart behörig personal kan se uppgifterna och inte innehålla fler personuppgifter än vad som är nödvändigt för ändamålet.

Bilder på barn får användas i pedagogiskt syfte längre in i förskolans lokaler, till exempel på ”lärväggar” och i övningar där man jobbar med namn kopplat till bild.
Se till att foton och namn inte finns i allmänna utrymmen där obehöriga kan se dessa, såsom i tamburen. De ska heller inte placeras inom synhåll från fönster. 

Ja, men innehåller listan personuppgifter får den inte vara tillgänglig för obehöriga och ska därför förvaras utom synhåll för andra än behörig personal.
Ha inte med fler personuppgifter på listan än vad som är nödvändigt för ändamålet.

PUB-avtal (Personuppgiftsbiträdesavtal) ska tecknas när till exempel en leverantör behandlar personuppgifter för personuppgiftsansvarigs räkning och på personuppgiftsansvarigs instruktioner. 

Hos UTB är det förvaltningschefen som får underteckna PUB-avtal. Förvaltningschefen har dock rätt att delegera. I Linköpings kommun är det delegerat till respektive skolchef.

Nej, i de flesta fall är fotoföretaget personuppgiftsansvariga och då ska inget PUB-avtal tecknas. Detta eftersom namn och kontaktuppgifter till elevernas vårdnadshavare utgör en del av fotoföretagets egna kundregister och det fotograferande företaget erbjuder vårdnadshavare att köpa bilderna som fotoföretaget behandlar för sin egen affärsverksamhet. Avtalsförhållandet är så att säga mellan vårdnadshavare och fotoföretaget. 

Att skolan exempelvis upplåter lokal för fotografering innebär inte att PUB-avtal ska tecknas. Om fotoföretaget lämnar ut en fil med bilder till skolan har skolan ett eget ansvar för att dessa personuppgifter behandlas enligt lagens krav. Det som sker i ett sådant fall är ett utlämnande från en personuppgiftsansvarig part till en annan personuppgiftsansvarig part, men det gör det inte till en biträdesrelation och PUB-avtal behöver alltså inte tecknas. Filen med bilder blir en inkommen allmän handling som ska hanteras i enlighet med dokumenthanteringsplanen.

PUB-avtal ska endast tecknas i de fall skolfotografer behandlar personuppgifter uteslutande för skolan räkning och skolan bestämmer varför och hur behandling av personuppgifter ska ske.

 

I den här frågan hänvisar vi till Integritetskyddsmyndighetens text:

"Ja, om du tar bilder för att använda i ditt privata album eller spara på din egen dator så går det bra. Då gäller inte reglerna i dataskyddsförordningen (GDPR).

Men om du ska sprida bilderna till en större krets, exempelvis genom publicering på nätet, så måste du följa GDPR. Då behöver du göra en avvägning mellan ditt intresse av att sprida bilderna och av barnens intresse av att inte bli exponerade. Vad som avgör vilket intresse som väger tyngst beror bland annat på bilden, hur den sprids och i vilket sammanhang.

Tänk också på att barn eller deras föräldrar kan ha skyddad identitet, då ska bilderna inte spridas. Därför är det viktigt att respektera om skolan har några regler kring fotografering."

Läs mer: https://www.imy.se/vagledningar/skolor-och-forskolor/lucia-fotografering/

(Kopiera länktexten och klistra in den i ett nytt fönster i webbläsaren).

Ibland använder vi film som ett pedagogiskt redskap, till exempel när barn får filma varandra vid en aktivitet, eller om pedagogen filmar barn/elevers aktiviteter.

Vid sådana tillfällen ska vi undvika att filma barn/elever som har skyddad identitet, om inte filmen enbart ska visas för den egna klassen/gruppen. Filmerna får visas inom skolan utan samtycke, både för elevgrupp och på föräldramöte. Ska filmen visas för utomstående behövs samtycke.
Barn med skyddad identitet ska aldrig vara med på film som visas för utomstående.

Filmar man elever från olika skolor, till exempel vid kommunövergripande verksamheter såsom på Agora, Skylten med flera, behövs samtycke. Undantag är om filmen enbart ska visas för den grupp som är med vid filmningstillfället.

Mejla dina frågor om GDPR

Välkommen att mejla dina frågor som rör GDPR inom skola och förskola.

E-postrutiner

När vi kommunicerar via e-post är det viktigt att inte av misstag skicka eller vidarebefordra känsliga eller sekretessbelagda uppgifter. Vi ska också undvika långa mejltrådar och endast skicka meddelandet till de som verkligen ska ha det.

Intern mottagare

När e-post skickas inom kommunen, alltså mellan e-postadresser som slutar på linkoping.se, skickas det krypterat. Inom kommunen kan vi därför skicka känsliga uppgifter via mejl.

Extern mottagare

Om känsliga uppgifter däremot ska skickas till extern mottagare, till e-postadress som inte slutar på linkoping.se, ska det skickas på ett säkert sätt och mailet ska krypteras.

Instruktion ligger under Guide & Tips på Linweb.
Använd webbläsaren Google Chrome för att öppna länken.

Dölj mottagare

När vi skickar e-post till flera externa mottagare ska vi som grundregel lägga deras mejladresser i hemlig/dold kopia-fältet, så att mottagarna inte kan se varandras e-postadresser. Undantag kan vara om man till exempel kommunicerar med ett barns vårdnadshavare, där vi behöver visa att vi har gett samma information till båda.

Skickar vi e-post till många interna mottagare kan det också vara bra att lägga adresserna i hemlig/dold kopia-fältet, om mottagarna inte behöver kunna se vilka som får mejlutskicket. 

Instruktioner hur du skickar e-post med hemlig/dold kopia finns under frågan "Vad ska jag tänka på när jag mejlar till fler mottagare".

Rensa

Tänk på att ta bort känsliga eller sekretessbelagda uppgifter från det mottagna mejlet innan du svarar, utom i fall då uppgifterna behöver inkluderas även i svarsmejlet.

Var också noga med att kontinuerligt rensa både mottagna och skickade mejl, och i förekommande fall diarieföra enligt dokumenthanteringsplanen, då de inte ska lagras i Outlook.

Ämnesraden

Det är viktigt att tänka på vad du skriver i ämnesraden i mejl. Det ska inte finnas några känsliga eller extra skyddsvärda personuppgifter i ämnesraden, så undvik t.ex. personnummer. Rekommendationen är att du inte skriver några personuppgifter överhuvudtaget där.

Dataskyddsombud

I visst informationsmaterial föreslås det att du ska kontakta ditt dataskyddsombud för frågor. Du kan mejla direkt till våra dataskyddsombuds via den här länken:

Telefonnummer till dataskyddsombuden: 013-26 26 42

Vad kan du göra på egen hand?

Du kommer sannolikt att få hantera vissa saker på egen hand, för att uppfylla kraven från den nya förordningen. Här följer några bra titt- och lästips.

Integritetskyddsmyndigheten

SKR

SKR (Sveriges kommuner och regioner) har byggt upp en FAQ om dataskyddsförordningen. Observera att det är viktigt att först kontrollera vår egen kommuns tolkning kring din fråga. Finns redan svar på din fråga längre upp på den här sidan gäller det svaret i Linköpings kommun.

Informationssidor

Senast uppdaterad den 20 februari 2023