Rekommendation kring Dataskyddsförordningen (GDPR)

(GDPR för förskolan)

Den 25 maj 2018 började nya regler om hantering av personuppgifter att gälla i Sverige, i form av EU:s dataskyddsförordning. Förordningen kallas ofta i dagligt tal för GDPR vilket står för The General Data Protection Regulation. GDPR ersätter den svenska personuppgiftslagen (PuL) och gäller för all hantering av personuppgifter som inte är av rent privat karaktär. Den gäller för alla sektorer i samhället och således även på förskolans område samt för pedagogisk omsorg. Inför ikraftträdandet av GDPR var det mycket uppmärksamhet kring förordningen och de konsekvenser den skull få för olika typer av verksamheter.

I denna text görs en övergripande genomgång av vad GDPR innebär för förskolans verksamhet och vilka förändringar den innebär jämfört med PuL.

Vad är en personuppgift?

Med personuppgift avses i detta sammanhang alla uppgifter som kan härledas till en viss specifik person. Förutom namn, kan det handla om t ex foton och personnummer. Uppgifter som inte kan härledas till viss person, exempelvis foton där personerna inte kan identifieras eller incidentrapporter där barn bara omnämns med bokstavsbeteckningar, är inte att betrakta som personuppgifter och kan därmed behandlas utan beaktande av GDPR:s regler.

GDPR bygger på samma grunder som PuL

Likheterna mellan GDPR och Pul är betydligt större än skillnaderna. Båda regelverken har som utgångspunkt att det ska finnas ett stöd i regelverket för att personuppgifter ska få behandlas. I GDPR, liksom tidigare i PuL, finns en uppräkning av på vilka grunder som personuppgifter får behandlas. Den grund som är mest relevant här är att behandling av personuppgifter är nödvändig för att ”utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning”. Förskola och skola anses vara en uppgift av allmänt intresse och något förenklat uttryckt kan dessa verksamheter härmed anses ha stöd för att behandla de personuppgifter som behövs för att man ska fullgöra sitt uppdrag enligt skollag och läroplan.

När en förskola t ex samlar dokumentation om enskilda barn i form av skriftliga dokument eller fotografier inom ramen för förskolans uppdrag enligt skollag och läroplan är det en tillåten hantering av personuppgifter enligt GDPR och något samtycke behövs inte för detta. Detsamma gäller vid upprättandet och hantering av olika typer av kontaktlistor som kan sägas vara nödvändiga för att förskolan ska fullgöra sitt uppdrag.

På motsvarande sätt som enligt PuL ska det i en verksamhet finnas en personuppgiftsansvarig och i förekommande fall personuppgiftsbiträden. Den personuppgiftsansvarige är oftast den för verksamheten ansvariga huvudmannen som bestämmer ändamål och medel för personuppgiftsbehandling. För en fristående förskola är nog det vanligaste att styrelsen, eller motsvarande funktion som innehar godkännandet, är den som är personuppgiftsansvarig.

Med personuppgiftsbiträde avses någon som behandlar personuppgifter för den personuppgiftsansvariges räkning. I förskolan kan det t ex handla om IT-support och liknande. Den personuppgiftsansvarige ska i dessa fall teckna ett personuppgiftsbiträdesavtal med den som behandlar uppgifterna och både personuppgiftsansvarig och personuppgiftsbiträdet har ett ansvar för att uppgifterna hanteras enligt regelverket. PuL:s krav på personuppgiftsombud har i GDPR ersatts av ett dataskyddsombud som är obligatoriskt för alla myndigheter (således inte för fristående förskolor eller pedagogisk omsorg). Dataskyddsombudet är tänkt att ha en form av controller- och rådgivarfunktion i organisationen avseende hantering av personuppgifter och är även ansvarig för att anmälan görs till Integritetsskyddsmyndigheten (fd Datainspektionen) om det finns misstankar om att personuppgifter hanterats på ett felaktigt sätt.

Restriktivitet i hanteringen

En annan genomgående princip i GDPR som hade en motsvarighet i PuL är att det ska finnas en generell restriktivitet i hanteringen av personuppgifter. Detta tydliggörs bl a genom regler om att det i förväg ska preciseras och tydliggöras vilka uppgifter man tänker samla in och varför. En av de antagligen största förändringarna för den praktiska verksamheten med GDPR är att det ska finnas register över vilka personuppgifter som samlas in och för vilket ändamål mm dessa behandlas i verksamheten. Registren kommenteras vidare under en egen rubrik nedan. Den som är personuppgiftsansvarig ska även vidta lämpliga åtgärder för att skydda de personuppgifter som hanteras och personuppgifter ska inte vara tillgängliga för andra än de som behöver det i sin yrkesutövning. Den personuppgiftsansvarige ska även se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen, uppgifter som inte längre behövs i verksamheten ska alltså gallras så snart det är möjligt.

Precis som enligt PuL gäller särskilt strikta regler för hantering av känsliga personuppgifter. Med känsliga personuppgifter avses här uppgifter om ras och etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa och sexualliv. Här är det extra viktigt att hanteringen av uppgifter är nödvändig för förskolans uppdrag enligt skollagen och att uppgifterna generellt sett hanteras med sådan restriktivitet som beskrivs ovan.

Samtycke

Som nämnts ovan har förskolan stöd i GDPR för att hantera de personuppgifter som behövs för att man ska kunna fullgöra sitt uppdrag enligt skollag och läroplan. För sådan behandling behövs därför inget samtycke från barnets vårdnadshavare. I den utsträckning som en förskola väljer att hantera personuppgifter i andra situationer kan det dock krävas att man inhämtar samtycke från barnens vårdnadshavare. GDPR ställer starkare krav på samtyckets utformning än vad som var fallet enligt PuL. Nu är det viktigare att det är tydliga samtycken där den enskilde så tydligt som möjligt först ska få möjlighet att ta ställning till vad det är samtycket omfattar. Samtycken bör också alltid vara skriftliga och tas in från samtliga vårdnadshavare.

Stärkt skydd för den enskildes rättigheter

Ett av de främsta syftena bakom GDPR är att stärka den enskildes rättigheter vid hantering av integritetskänsliga personuppgifter. I första hand riktar sig dessa regler till mer kommersiell hantering av personuppgifter men de får även betydelse för t ex en förskolas verksamhet. De förstärkta rättigheterna innebär i korthet att de registrerade ska få information om vilka personuppgifter som behandlas, när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har de bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta sina uppgifter samt att göra invändningar mot behandlingen. För en förskolas del torde det främst här handla om att informera vårdnadshavare om vilka uppgifter som hanteras samt en skyldighet att ändra felaktiga uppgifter.

Register

Förutom stärkta rättigheter för den enskilda är ett viktigt syfte med GDPR att säkerställa en mer noggrann hantering av personuppgifter. Både personuppgiftsansvariga och personuppgiftsbiträden är enligt dataskyddsförordningen skyldiga att föra ett register över sina behandlingar av personuppgifter. Vad som ska finnas med i förteckningen framgår uttryckligen i förordningen, till exempel ändamålen med behandlingen, beskrivning av kategorierna av registrerade och kategorierna av personuppgifter, eventuella externa mottagare av personuppgifterna och om uppgifter förs över till tredje land (land utanför EU). Vårdnadshavare har rätt begära registerutdrag för att därigenom få information om vilka personuppgifter om deras barn och dem som t ex en förskola hanterar. Det är därför väldigt viktigt att organisationer underhåller sina register och bl a ser till att de kontinuerligt är uppdaterade med korrekta uppgifter. Hur många register som ska finnas i olika typer av organisationer och hur de närmare ska se ut bör i första hand vara en fråga för den personuppgiftsansvarige att avgöra. Som har nämnts ovan är den personuppgiftsansvarige för en kommunal förskola vanligtvis den politiska nämnd som ansvarar för verksamheten. För en fristående förskola kan lämpligen styrelsen, eller annan funktion som innehar tillståndet för verksamheten, vara den personuppgiftsansvarige.

Klicka här för att komma till Sveriges Kommuner och Regioners (SKR) mall för registerförteckning.

Anmälningsskyldighet och sanktionsavgifter

En nyhet i GDPR är att organisationer som hanterar personuppgifter har en skyldighet att anmäla personuppgiftsincidenter till IMY, som är tillsynsmyndighet på området. En personuppgiftsincident innebär att det finns misstanke om att GDPR:s regler om hantering av personuppgifter inte följts. Det kan handla såväl om situationer där en organisation noterat interna brister i hanteringen av personuppgifter som situationer då t ex en databas har varit utsatt för intrång vilket har inneburit att personuppgifter har spridits i strid med GDPR.

En av de förändringar med GDPR som har fått störst uppmärksamhet är tillsynsmyndighetens möjlighet att utfärda sanktionsavgifter när en organisation inte har levt upp till förordningens krav. En sanktionsavgift kan för en myndighet uppgå till allra högst 10 miljoner kronor, men med största sannolikhet kommer det, åtminstone inte under de närmaste åren, att vara mycket ovanligt med så höga sanktionsavgifter. Integritetsskyddsmyndigheten (fd Datainspektionen) har också flera andra mindre ingripande åtgärder, som t ex varning, att ta till vid konstaterade brister. Även om den bild som ibland har målats upp om hotet av sanktionsavgifter nog har varit ganska överdriven är det ingen tvekan om att GDPR innebär det att det blir viktigare att ha genomarbetade och noggranna rutiner för hantering av personuppgifter. Den i praktiken viktigaste förändringen med GDPR är inte att grunder för hur personuppgifter får behandlas har förändrats, utan att det blir viktigare att följa de regler som finns.

Mikael Hellstadius 2018-12-17

Här kan du läsa mer om dataskyddsförordningen (extern länk till Integritetsskyddsmyndigheten IMY (fd Datainspektionen)

GDPR for preschools in English

Reviderat 2021-03-18© Copyright IV - Idéburen Välfärd