Nya dataskyddsförordningen (GDPR) - Utbildningsförvaltningen

Den nya dataskyddsförordningen trädde i kraft den 28 maj 2018. Syftet med den nya dataskyddsförordningen är att stärka medborgarnas rättigheter men också att få till en harmonisering mellan EU:s medlemsstater, samma regelverk ska gälla för alla.
Dataskyddsförordningen benämns ibland GDPR, General Data Protection Regulation.

Här hittar du information riktat till dig som arbetar inom utbildningsförvaltningen.

Svar på vanliga frågor i våra verksamheter

Här lägger vi successivt ut vanligt förekommande frågor och svar.

En personuppgift är något som kan identifiera en person.

Några exempel:

  • Förnamn
  • Efternamn
  • Personnummer
  • Telefonnummer
  • Adress
  • Mailadress
  • IP-Adress
  • Kontonummer
  • Bild

 + kombination av ovanstående

Känsliga personuppgifter

  • Folkgrupp eller etniskt ursprung
  • Politiska åsikter
  • Religiös eller filosofisk övertygelse
  • Medlemskap i fackförening
  • Hälsa
  • Sexualliv eller sexuella läggning
  • Genetiska uppgifter (t ex DNA)
  • Biometriska uppgifter som entydigt identifierar en person (t ex fingeravtryck, iris)

Särskilt integritekänsliga personuppgifter

Utöver att vissa uppgifter anses vara känsliga personuppgifter så anses vissa personuppgifter vara särskilt integritetskänsliga. Exempel på integritetskänsliga personuppgifter som ska  behandlas som känsliga personuppgifter:

  • uppgifter om barns utveckling
  • personnummer 

Ja, att upprätta klasslistor är tillåtet. I våra skolor behöver vi ha klasslistor för att kunna bedriva vår verksamhet och då finns det rättsligt stöd eftersom behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Observera att klasslistor inte ska spridas (se mer under frågan "Får vi dela ut klasslistor?").

Att dela ut klasslistor skiljer sig åt från att använda klasslistor i verksamheten eftersom klasslistorna riskerar att få en stor spridning. Vi behöver inte dela ut klasslistor för att bedriva vår verksamhet och ska därför inte göra det.

Om vårdnadshavarna ändå vill ha klasslistor bör de uppmuntras att upprätta klasslistor på eget bevåg. Klasslistor kan även begäras ut som allmän handling. Listan ska i sådant fall skickas via krypterad e-post, vanlig postgång i igenklistrat kuvert eller lämnas personligen till den som begär ut den.

För att sköta vårt uppdrag i skola och förskola behöver vi ibland mejla till vårdnadshavarna. 

Det är därför okej att sammanställa mejllistor men vi inte ska sprida dessa.
När vi mejlar till flera vårdnadshavare samtidigt ska vi därför alltid lägga mottagarna/ mejllistan i fältet Hemlig kopia (dator) eller Dold kopia (iPad):

- Klicka på Kopia i mejlet (Kopia/Dolt kopia på iPad)

- Välj Hemlig kopia (Dold Kopia på iPad) och skriv där in mottagarna/ mejllistan

- Vill du ha en synlig mottagare skriv dig själv som mottagare (efter "Till:")

Nu kan du skicka ditt mejl utan att vårdnadshavarne ser varandras adresser.

Om vårdnadshavarna villl ha en mejllista ska vi i första hand uppmana att de upprättar en själva. Samtidigt är en mejllista upprättad av skolan en allmän handling och kan begäras ut. Skolan ska dock inte sprida den utan att den begärs ut som allmän handling.

När vi mejlar till flera mottagare samtidigt ska mottagarna ibland inte kunna se varandras namn/mejladress. Det gäller när vi mejlar till vårdnadshavare och andra externa mottagare. Det kan även vara lämpligt att dölja mottagarna när vi mejlar internt till många, och det inte finns någon anledning att mottagarna ser varandras namn.

För att dölja mottagarna lägger vi mottagarna/mejllistan i fältet Hemlig kopia (dator) eller Dold kopia (iPad). Gör såhär:

  • Klicka på Kopia i mejlet (Kopia/Dolt kopia på iPad)
  • Välj Hemlig kopia (Dold Kopia på iPad) och skriv där in mottagarna/mejllistan

Vill du ha en synlig mottagare kan du skriva din egen mejadress som mottagare (efter "Till:")

Ja, om det är nödvändigt för att kunna genomföra verksamheten får elevers och/eller vårdnadshavares namn finnas i minnesanteckningar och protokoll. I sådana fall kan hanteringen av personuppgifter stödjas på grunden allmänt intresse.
Namnet ska dock inte kombineras med något som gör det till en känslig personuppgift (till exempel politisk åskådning, sexuell läggning med mera). Tänk på att protokoll ska finnas med i registerförteckningen över personuppgiftsbehandlingar på skolan/förskolan.

Frågan gäller sammanställda listor med tillsynstider som visar vilka elever som är på fritids. 

Scheman och listor behövs för att verksamheten ska fungera. Dessa ska förvaras så att enbart behörig personal kan se uppgifterna och inte innehålla fler personuppgifter än vad som är nödvändigt för ändamålet.

Bilder på barn får användas i pedagogiskt syfte längre in i förskolans lokaler, till exempel på ”lärväggar” och i övningar där man jobbar med namn kopplat till bild.
Se till att foton och namn inte finns i allmänna utrymmen där obehöriga kan se dessa, såsom i tamburen. De ska heller inte placeras inom synhåll från fönster. 

Ja, men innehåller listan personuppgifter får den inte vara tillgänglig för obehöriga och ska därför förvaras utom synhåll för andra än behörig personal.
Ha inte med fler personuppgifter på listan än vad som är nödvändigt för ändamålet.

PUB-avtal (Personuppgiftsbiträdesavtal) ska tecknas när till exempel en leverantör behandlar personuppgifter för personuppgiftsansvarigs räkning och på personuppgiftsansvarigs instruktioner. 

Hos UTB är det förvaltningschefen som får underteckna PUB-avtal. Förvaltningschefen har dock rätt att delegera. I Linköpings kommun är det delegerat till respektive skolchef.

Nej, i de flesta fall är fotoföretaget personuppgiftsansvariga och då ska inget PUB-avtal tecknas. Detta eftersom namn och kontaktuppgifter till elevernas vårdnadshavare utgör en del av fotoföretagets egna kundregister och det fotograferande företaget erbjuder vårdnadshavare att köpa bilderna som fotoföretaget behandlar för sin egen affärsverksamhet. Avtalsförhållandet är så att säga mellan vårdnadshavare och fotoföretaget. 

Att skolan exempelvis upplåter lokal för fotografering innebär inte att PUB-avtal ska tecknas. Om fotoföretaget lämnar ut en fil med bilder till skolan har skolan ett eget ansvar för att dessa personuppgifter behandlas enligt lagens krav. Det som sker i ett sådant fall är ett utlämnande från en personuppgiftsansvarig part till en annan personuppgiftsansvarig part, men det gör det inte till en biträdesrelation och PUB-avtal behöver alltså inte tecknas. Filen med bilder blir en inkommen allmän handling som ska hanteras i enlighet med dokumenthanteringsplanen.

PUB-avtal ska endast tecknas i de fall skolfotografer behandlar personuppgifter uteslutande för skolan räkning och skolan bestämmer varför och hur behandling av personuppgifter ska ske.

 

Mejla dina frågor om GDPR

Välkommen att mejla dina frågor som rör GDPR inom skola och förskola.

E-postrutiner

När vi kommunicerar via e-post är det viktigt att inte av misstag skicka eller vidarebefordra känsliga eller sekretessbelagda uppgifter. Vi ska också undvika långa mejltrådar och endast skicka meddelandet till de som verkligen ska ha det.

Intern mottagare

När e-post skickas inom kommunen, alltså mellan e-postadresser som slutar på linkoping.se, skickas det krypterat. Inom kommunen kan vi därför skicka känsliga uppgifter via mejl.

Extern mottagare

Om känsliga uppgifter däremot ska skickas till extern mottagare, till e-postadress som inte slutar på linkoping.se, ska det skickas på ett säkert sätt och mailet ska krypteras.

Instruktion ligger under Guide & Tips på Linweb.
Använd webbläsaren Google Chrome för att öppna länken.

Dölj mottagare

När vi skickar e-post till flera externa mottagare ska vi som grundregel lägga deras mejladresser i hemlig/dold kopia-fältet, så att mottagarna inte kan se varandras e-postadresser. Undantag kan vara om man till exempel kommunicerar med ett barns vårdnadshavare, där vi behöver visa att vi har gett samma information till båda.

Skickar vi e-post till många interna mottagare kan det också vara bra att lägga adresserna i hemlig/dold kopia-fältet, om mottagarna inte behöver kunna se vilka som får mejlutskicket. 

Instruktioner hur du skickar e-post med hemlig/dold kopia finns under frågan "Vad ska jag tänka på när jag mejlar till fler mottagare".

Rensa

Tänk på att ta bort känsliga eller sekretessbelagda uppgifter från det mottagna mejlet innan du svarar, utom i fall då uppgifterna behöver inkluderas även i svarsmejlet.

Var också noga med att kontinuerligt rensa både mottagna och skickade mejl, och i förekommande fall diarieföra enligt dokumenthanteringsplanen, då de inte ska lagras i Outlook.

Ämnesraden

Det är viktigt att tänka på vad du skriver i ämnesraden i mejl. Det ska inte finnas några känsliga eller extra skyddsvärda personuppgifter i ämnesraden, så undvik t.ex. personnummer. Rekommendationen är att du inte skriver några personuppgifter överhuvudtaget där.

Dataskyddsombud

I visst informationsmaterial föreslås det att du ska kontakta ditt dataskyddsombud för frågor. Du kan mejla direkt till våra dataskyddsombuds via den här länken:

Telefonnummer till dataskyddsombuden: 013-26 26 42

Vad kan du göra på egen hand?

Du kommer sannolikt att få hantera vissa saker på egen hand, för att uppfylla kraven från den nya förordningen. Här följer några bra titt- och lästips.

Datainspektionen

 SKL

SKL (Sveriges kommuner och landsting) har byggt upp en FAQ om dataskyddsförordningen. Observera att det är viktigt att först kontrollera vår egen kommuns tolkning kring din fråga. Finns redan svar på din fråga längre upp på den här sidan gäller det svaret i Linköpings kommun.

Informationsfilmer

Obs! Använd annan webbläsare än Explorer för att titta på andra filmen.

Informationssidor

Senast uppdaterad den 28 maj 2019