PUL i skola och förskola- vad gäller egentligen?

Bild: Pixabay


Det kan tyckas finnas många regler att följa när det gäller personuppgiftslagen, och det är lätt att bli snurrig och undra vad man egentligen får göra. Därför florerar det också mycket rykten som till slut blivit till ”sanningar” kring detta. Av den anledningen tänkte jag, såhär i början av läsåret, räta ut några frågetecken…

Om du till exempel har en klassblogg och funderar över vad du kan publicera och inte i den kan det vara bra att ha kunskaper i personuppgiftslagen och sekretess. Pedagog Stockholm har gjort en bra översiktsinformation om vad som gäller i sociala medier.

En bra källa om man har några funderingar är Datainspektionens sida. De har en särskild sektion för skolfrågor på sin hemsida. Där kan du hitta information om vad som gäller för molntjänster, vad du kan lagra och inte, vad du får publicera och inte– och också viktig information om vad du bör tänka på om du har elever med skyddad identitet. Det finns också en sida med frågor och svar, som jag rekommenderar. Du kan också ringa direkt till Datainspektionen om ni har frågor på er skola. Jag har gjort det flera gånger och alltid fått väldigt bra svar, så det rekommenderas varmt! Jag föredrar alltid att få reda på vad som gäller från experter, mot att höra något slags tredje-fjärde-femtehandsinformation, som kan ha missuppfattats på vägen, även om det tar lite extra tid att ta reda på svaren själv. (Det där att vilja rota rätt på svaret själv kan tänkas bero på att jag är journalist….)

Vad är en personuppgift?

Allt som–direkt eller indirekt– går att koppla till en levande fysisk person räknas enligt personuppgiftslagen som personuppgifter. Även foton och ljudinspelningar kan vara personuppgifter, även om man inte nämner några namn. Även krypterade uppgifter- till exempel om du hittat på användarnamn till dina elever– räknas som en personuppgift om du vet vilken elev som har vilket användarnamn. 
Om du skulle vilja publicera foton på personal, skolelever eller liknande på skolans webbplatser kan du behöva inhämta samtycke först. För skolor brukar man rekommendera att man samlar in samtycke från elevernas vårdnadshavare om huruvida eleverna får förekomma på bild eller inte på skolans webbplatser och bloggar, även om det rent juridiskt inte finns någon lag som säger att du måste det.

Vad innebär personuppgiftslagen?


PUL– personuppgiftslagen– gäller för behandling av personuppgifter i hela samhället för verksamhet som bedrivs av både myndigheter som enskilda. Det finns dock tillfällen då lagen inte gäller, till exempel när du gör saker privat. Om du gör en adressbok i din privata dator sparar du ju personuppgifter, men då gäller alltså inte personuppgiftslagen.
De allra flesta bestämmelserna i personuppgiftslagen behöver heller inte tillämpas när man behandlar personuppgifter i så kallat ”ostrukturerat material”, till exempel i löpande text. Då är regeln att behandlingen ”inte får kränka den registrerade”. 
Jag är med i ett flertal facebookgrupper för skolpersonal. Där är en mycket vanlig fråga hur man kan registrera närvaro så att all personal till exempel kan logga in och ut elever från fritids. Ofta föreslås olika privata molntjänster som svar på frågan. Många gånger har någon ”hittat en jättesmidig app!”. Här måste jag vara jättetråkig och säga att där kommer personuppgiftslagen in. Du kan inte bara börja använda random app där du lägger in något så känsligt som elevers närvaro!
Alla tjänster där du sparar elevers personuppgifter (som alltså till exempel även gäller bara ett förnamn) på internet är att betrakta som molntjänster, och går inte att börja använda lite hipp som happ, hur smidig appen än verkar.

Hur vet man om det är en molntjänst då?

Det är enkelt, det hela utgår från var din information sparas:

  • Om det bara sparas på din egen surfplatta, telefon eller dator: Inte en molntjänst. 
  • Om det går att logga in och nå informationen från någon annan plats, tack vare internet, tex någon annans surfplatta, telefon eller dator utöver din egen: Molntjänst.

Såhär säger Datainspektionen om molntjänster i skolan.
Ska man vara lite petig är alla sidor där du reggar individuella användarkonton till dina elever för att de ska kunna använda en funktion molntjänster- t.ex Storybird, Nomp, elevspel.se, Duolingo– och jag är fullt medveten om att det inte är rimligt att förvänta sig att till exempel Stockholms stad ska skapa ett personuppgiftsavtal med varenda appleverantör eller webbsida vi kan tänkas vilja använda i skolorna, men jag rekommenderar att du gör en riskanalys: Vem ligger bakom appen, vilken information efterfrågas, och vad sparas? Och har du några elever med skyddad identitet behöver du tänka lite extra kring vilka webbtjänster du tänker använda i klassrummet.

Får man fota elever utan vårdnadshavarens tillstånd?

Det är en vanlig missuppfattning att man inte får fota elever. Många fotar därför bara händer eller helt anonyma foton på barn. Du får självklart fota dina elever i syfte att till exempel dokumentera arbetet i klassrummet. Du får också visa dessa bilder på föräldramöten och liknande. Eller sätta upp dem i klassrummet. Du bör dock alltid tänka på den personliga integriteten, och för att lära barnen att respektera varandra när det gäller detta tycker jag att det är bra att ha en dialog med eleverna, så att de har möjlighet att säga nej till att vara med på bild/film om de inte känner sig bekväma med det, precis som du själv antagligen skulle vilja. 

Får föräldrar lägga upp bilder där andra barn förekommer, från till exempel skolavslutningar eller skolföreställningar i sina sociala medier?

Ja, det får de. Skolan kan inte bestämma vad föräldrar får och inte får publicera, och föräldern gör inget otillåtet när den lägger upp bilden så länge bilden inte är kränkande. Skolan kan bestämma att det är fotoförbud på skolans tillställningar om den vill förhindra det. (Personligen tycker jag dock att det vore vansinne att inte få fota de egna barnens skolavslutningar och konserter, och skulle både som förälder och anställd tycka att det vore en paranoid lösning. Däremot kan man ju alltid påminna föräldrarna om att tänka sig för innan de publicerar bilder på andras barn.) Här kan man läsa datainspektionens svar på huruvida det är tillåtet att publicera bilder på andra personer, och deras svar på om det är tillåtet att till exempel fota luciatåget.

Tänk på detta om du har elever med skyddad identitet!

Många skolor har vattentäta IT-system, där elever med skyddad identitet har full säkerhet. Vad många däremot missar är att skolkatalogen är offentlig handling– och dessutom går att beställa direkt från fotoföretaget. Om du har en elev med skyddad identitet måste du därför komma ihåg att kolla med elevens föräldrar om den ska vara med där. Får den förekomma på bild? Om den får vara med: Får den ha sitt namn i katalogen? Kan ni skriva något annat namn i katalogen än det riktiga?
Om du lämnar ut en klasslista med adresser och telefonnummer på eleverna: Kolla om eleven får stå med, och isåfall med vilka uppgifter. Exkludera inte i onödan, men gör en riskbedömning och prata med föräldrarna. Det kan bli lite tokigt om eleven aldrig blir inbjuden till kalas till exempel, för att den inte finns med på klasslistan… 
Det är också bra att veta vilken nivå av sekretess som gäller för din elev. Det finns tre olika nivåer av sekretess. Dem kan du läsa mer om här. Det vanligaste är att ha nivå 1 av 3 möjliga.
I korthet innebär nivå 1 att personen har en sekretessmarkering i olika register hos myndigheter. Nivå 2, som kallas ”kvarskrivning”, innebär att man står skriven på en tidigare adress trots att man flyttat, och nivå 3, som är den högsta nivån, är fingerade personuppgifter. Den är mycket ovanlig i Sverige. Då får man en helt ny identitet, och de enda kopplingarna bakåt finns registrerade hos Rikspolisstyrelsen.

Här kan du ladda ner en bok från Skolverket med information och konkreta råd om hur man bör arbeta om man har elever med skyddade personuppgifter!

Nya dataskyddsförordningen?

I maj 2018 börjar en ny dataskyddsförordning, GDPR, gälla i EU, som bland annat innebär ett förstärkt skydd för barns personuppgifter. Här kan du läsa mer om den!

Kommentera