GDPR & skolan: Krävs samtycke från eleverna?
Dataskyddsförordningen bestämmer hur man får behandla personuppgifter inom EU. Det finns särskilda regler för känsliga personuppgifter som uppgifter om hälsa och etnisk bakgrund. Därför är det viktigt för skolledare och lärare att tolka GDPR på rätt sätt.
Skolan har alltid rätt att registrera administrativ information om sina elever, men det finns undantag. Eftersom skolan hanterar personuppgifter varje dag, är det viktigt att skolpersonal har en viss förståelse för dataskyddsförordningen (GDPR).
När GDPR började gälla kom även ett särskilt kapitel om behandling av personuppgifter i skollagen. Det är kapitel 26 a som beskriver flera viktiga aspekter om hur just utbildningsväsendet får hantera personuppgifter. Ett exempel är att friskolor och kommunala skolor har samma möjlighet att behandla känsliga personuppgifter.
Läs också: Vanliga frågor om dataskydd i skola och förskola
Sjukfrånvaro kan räknas som känslig uppgift
Känsliga uppgifter kräver samtycke om det inte finns något annat undantag som gör registreringen tillåten. Även patientdatalagen bestämmer hur personuppgifter behandlas i anslutning till hälso- och sjukvård. Enligt Integritetsskyddsmyndighetens tidigare praxis krävs därför samtycke när du till exempel registrerar sjukfrånvaro som beskriver varför eleven inte är i skolan. Om det däremot står “giltig frånvaro” eller “anmäld frånvaro” räknas detta inte som en känslig uppgift.
Obs! Tänk alltid på att det bara är tillåtet att behandla personuppgifter för specifika ändamål som är väl förankrade i verksamheten. Alla personuppgifter som hanteras ska ha ett tydligt syfte och vara relevanta.
Elevhälsan hanterar mycket integritetskänsliga personuppgifter. Du som arbetar inom elevhälsan eller upphandlar system för elevhälsan måste därför särskilt värdera:
- informationssäkerhet för kommunikationen inom skolan, inom förvaltningen och externt
- att personuppgifterna lagras på ett tryggt sätt
- möjlighet till behörighetstilldelning för journaler och andra system
- rutiner för bevarande och gallring
- hur du uttrycker dig i fritext.
Vad räknas som känsliga uppgifter enligt GDPR?
I GDPR finns det något som kallas särskilda kategorier av personuppgifter. Lagstiftningen gör till exempel skillnad mellan ”vanliga” personuppgifter och känsliga personuppgifter.
Känsliga uppgifter handlar om:
- politiska åsikter
- etniskt ursprung
- en persons sexuella läggning
- religiös eller filosofisk övertygelse
- medlemskap i en fackförening
- hälsa - t.ex. sjukfrånvaro, läkarbesök och allergier
- genetiska uppgifter och biometriska uppgifter som används för att identifiera en fysisk person.
Behandling av känsliga uppgifter kräver normalt sett samtycke, men det finns undantag. Det gäller till exempel en elev som enligt skollagen har rättsligt anspråk på modersmålsundervisning. Då kräver situationen att etnicitet eller modersmål registreras för att kunna ge eleven vad hen har rätt till.
Tre vanliga situationer som kräver samtycke
Enligt dataskyddsförordningen ska ett samtycke vara en "frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne" (artikel 4.11 GDPR).
Vad betyder det?
Det betyder bland annat att samtycke bara används när det finns ett fritt val för den registrerade. För att samtycket ska vara giltigt måste den registrerade kunna säga nej utan att det får några negativa konsekvenser.
Ett samtycke måste inte vara skriftligt, men det är en rekommendation för enkelt kunna bevisa att skolan har hanterat situationen korrekt.
På en skola förekommer inte den situationen särskilt ofta, eftersom de flesta personuppgifter som samlas in är direkt nödvändiga för att bedriva verksamheten. Det finns däremot några situationer där du kan behöva be om samtycke för att få behandla personuppgifter:
- vid publicering av foton på en hemsida eller annan plattform
- om eleven ska registreras i en app eller annat socialt medium
- registrering av sjukfrånvaro.
Tänk på detta
Tänk på att det inte krävs ett nytt samtycke vid varje enskilt tillfälle, utan snarare för varje typ av behandling. Om du gör samma typ av registrering flera gånger, exempelvis lägger in information i ett system vid sjukfrånvaro, krävs alltså inte ett nytt samtycke varje gång eleven är sjuk.
Tänk också alltid på frivilligheten. Det är helt avgörande att ingen känner sig pressad att samtycka - då är samtycket i slutänden inte giltigt.
Ska jag fråga elev eller målsman?
När det gäller barn under 15 år så måste skolan hämta samtycke från båda föräldrarna eller personer med föräldraansvar. Elever som fyllt 15 år anses vara tillräckligt mogna för att själv kunna ta ställning i samtyckesfrågan. Däremot kan det givetvis bero på hur komplex frågan är och om eleven har någon form av utvecklingsvariation som påverkar deras beslutsförmåga.
Hur ska vi informera om behandling av personuppgifter (som inte kräver samtycke)?
I de flesta fall krävs inget samtycke för att registrera information om eleverna. Däremot ska din skola ha tydlig information om behandling av personuppgifter. Informationen ska vara enkel att hitta och förstå. Din skola kan till exempel informera om hantering av personuppgifter på er hemsida och alltid hänvisa dit om elever eller vårdnadshavare har frågor.