Vanliga frågor om dataskydd i förskola och skola
Syftet med dataskyddsförordningen, även kallad GDPR är att förbättra skyddet för fysiska personers personuppgifter samt öka de enskildas kontroll över sina uppgifter.
Som rektor behöver du vara insatt i vad som gäller för hanteringen av personuppgifter i skolmiljön, att skolan följer huvudmannens riktlinjer samt att all personal är med på vilka lagar och regler som gäller. I vårt verktyg Skolledning Expert har alla användare möjlighet att ställa frågor till våra experter inom förskola och skola samt läsa frågor som har ställts av andra. Vi har samlat några av de vanligaste frågorna som våra användare har ställt om dataskydd i förskola och skola.
Är det tillåtet att skriva ut namn på barn eller elever i mail, eller ska man bara skriva initialer?
Det räcker att en person indirekt kan identifieras, för att det ska vara fråga om personuppgifter. Att skriva ett barns eller en elevs initialer istället för hens fullständiga namn gör det fortfarande möjligt att identifiera barnet eller eleven utifrån initialerna, vilket innebär att också detta är en behandling (användning) av personuppgifter på samma sätt som om namnet skrivs ut i sin helhet. Förutsatt att den som är personuppgiftsansvarig har rättslig grund för behandlingen och i övrigt efterlever alla bestämmelser i GDPR ser vi därmed ingen anledning att skriva initialer istället för barns eller elevers fullständiga namn.
Bedömning av vad som är en lämplig säkerhet för personuppgifterna behöver dock alltid göras av den personuppgiftsansvarige. När det gäller e-post, kan man som tumregel tänka att integritetskänsliga personuppgifter inte ska skickas i okrypterad form via e-post.
Hur länge får uppgifter sparas?
Här gäller principen om lagringsminimering. Lagringsminimering är att uppgifterna ska lagras så kort tid som möjligt, alltså tas bort när de inte längre behövs. Det är viktigt att förskolan och skolan bara sparar uppgifter som verkligen behövs för verksamheten och det ändamål de samlades in för. Olika uppgifter kan sparas olika lång tid eftersom de fyller olika syften, och det går inte att ge ett generellt svar på hur länge personuppgifter får sparas, utan det är någonting som behöver undersökas från fall till fall. Det kan finnas specifik lagstiftning eller andra faktorer som spelar in. Man bör därför ta fram skriftliga riktlinjer och rutiner för bevarande och gallring. Dessa bör även omfatta den behandling av personuppgifter som personuppgiftsbiträden utför för verksamhetens räkning. Det är verksamhetens ansvar att se till att även personuppgifter som finns hos personuppgiftsbiträden gallras i rätt tid.
Vad får vi spara vid sjukanmälningar?
Om ett barn eller en elev sjukanmäls så kan uppgiften om när barnet eller eleven varit sjuk samlas in och sparas. Däremot ska inte uppgiften om vilken sjukdom barnet eller eleven lider av hämtas in eller sparas, eftersom det inte behövs för förskolan eller skolans verksamhet. En sån bedömning stämmer överens med principen om uppgiftsminimering. Uppgiftsminimering handlar om urvalet av uppgifter, du får bara samla in och behandla de uppgifter som behövs för syftet av själva personuppgiftsbehandlingen.
Fler frågor och svar finns tillgängliga direkt i verktyget Skolledning Expert tillsammans med en sökbar handbok, omvärldsbevakning och aktuella dokumentmallar för förskola och skola. Allt för att underlätta för dig som huvudman eller rektor att ta korrekta och trygga beslut.