Personuppgiftslagen i skolan - Pedagog Stockholm

Personuppgiftslagen i skolan

Ställ en fråga eller lämna kommentar

Ställ en fråga eller lämna en kommentar. Ange en epostadress om du vill ha svar på din fråga.

* = Obligatorisk uppgift

Ansvarig förvaltning
Utbildningsförvaltningen
08-508 330 00
Kontakt

  •  

I dag jobbar många lärare och elever med bloggar och sociala medier i skolan. Här får du veta vad personuppgiftslagen, PuL, säger om publicering i samband med skolarbete. 

Olika regler gäller vid publicering

I personuppgiftslagen, PuL, gäller olika regler beroende på om de personuppgifter som behandlas är strukturerade eller inte. Med strukturerad behandling avses register och databaser. Personuppgifter i löpande text anses som ett ostrukturerat material och har en förenklad reglering.

En skola kan publicera bilder och löpande texter med elevers personuppgifter så länge inte publiceringen är kränkande enligt PuL. Att publicera bilder från en skolutflykt behöver exempelvis inte vara kränkande. Skolan måste dock tänka på att det kan finnas elever med skyddade personuppgifter och för dem kan en publicering på Internet få allvarliga konsekvenser.

Ostrukturerad publicering tillåten

I normalfallet är personuppgifter som behandlas i en blogg, på Facebook eller Twitter ostrukturerade och då gäller att publiceringen är tillåten så länge uppgifterna inte är kränkande.

Vanligtvis är publicering av namn och foton på personer på bloggar tillåten så länge inte personen kränks. Man bör dock alltid vara återhållsam med att publicera barn och ungdomars personuppgifter på internet.

Så hanterar du samtycke

Datainspektionen rekommenderar att skolan hämtar in ett samtycke eller medgivande från eleverna och/eller deras vårdnadshavare. Det finns ingen särskild bestämmelse i PuL om från vilken ålder unga personer själva kan samtycka till en viss behandling men Datainspektionen brukar ha 15 år som tumregel.

I de fall personuppgifterna är strukturerade, det vill säga ordnade i register, databaser eller på annat sätt är enkelt sökbara, måste hela PuL följas, de så kallade hanteringsreglerna. Dessa omfattar bland annat de grundläggande kraven, regler för när behandlingen är tillåten, när känsliga uppgifter får behandlas samt hur de registrerade måste informeras.

Om skolan vill publicera klasslistor, skolfotokataloger eller förteckningar över elever på en skola på ett sådant sätt att hanteringsreglerna gäller, krävs normalt sett att eleverna och/eller vårdnadshavarna samtyckt till publiceringen.

PuL gäller inte när det finns avvikande bestämmelser i andra lagar eller förordningar, då personuppgifter behandlas för privata ändamål, om det strider mot bestämmelserna om tryck- och yttrandefrihet eller om publiceringen kan bedömas ske för ett uteslutande journalistiskt ändamål, det vill säga om syftet är att informera, utöva kritik och väcka debatt i samhällsfrågor av betydelse för allmänheten.

Personuppgifter lagras i molntjänster

Det blir allt vanligare att skolor använder sig av molntjänster på Internet. Den personuppgiftsansvarige, i regel skolans huvudman, har ett skadeståndssanktionerat ansvar för att all hantering av personuppgifter som utförs på skolan är tillåten enligt personuppgiftslagen.

Skolans huvudman måste vara medveten om att de personuppgifter som hanteras i en molntjänst kommer att lagras och behandlas av ett personuppgiftsbiträde, nämligen molntjänstleverantören. Skolans huvudman är enligt lag skyldig att teckna ett personuppgiftsbiträdesavtal med molntjänstleverantören. För att avgöra om de avtalsvillkor leverantören erbjuder uppfyller alla krav i PuL måste huvudmannen granska samtliga bindande villkor som rör hanteringen av personuppgifter.

Känsliga uppgifter kräver hög säkerhet

Om känsliga eller integritetskänsliga personuppgifter (läs  mer under Frågor och svar om PuL) kommer att hanteras i molntjänsten ställs särskilt höga krav på säkerheten för att skydda uppgifterna. Normalt sett är det inte lämpligt att hantera sådana uppgifter i den här typen av molntjänster.

Utöver att teckna ett personuppgiftsbiträdesavtal är skolans huvudman skyldig att pröva om den tänkta hanteringen av personuppgifter i molntjänsten är förenlig med lag. För att uppfylla denna skyldighet måste huvudmannen bland annat genomföra en riskanalys och en laglighetsprövning för varje molntjänst som ska användas i verksamheten.

Frågor och svar om PuL

Här hittar du vanliga frågor och svar om Personuppgiftslagen, PuL.

Senast uppdaterad 1 mars 2017