Läs senare

Fristående skolor kan tvingas till lagbrott

GDPRFristående skolor och förskolor får inte hantera känsliga personuppgifter, som exempelvis barns allergier, under en period då de nya dataskyddsreglerna införs.

av Lotta Holmström
25 Apr 2018
25 Apr 2018

GDPR

Allmänna dataskydds-

förordningen

Den 25 maj börjar den allmänna dataskydds- förordningen, GDPR, gälla i hela Europa.

Den ersätter personupp- giftslagen (PUL) och medför tydligare regler för behandling av personuppgifter.

Här kan du läsa mer om GDPR och hur förordningen påverkar dig som lärare.

Varje land har möjlighet att förtydliga och komplettera GDPR med egen lagstiftning. I Sverige sker det bland annat genom dataskyddslagen, som liksom GDPR börjar gälla 25 maj. Den anger att personuppgifter får behandlas om en svensk lag gör det nödvändigt att utföra en uppgift av allmänt intresse.

Mycket av den behandling av personuppgifter som sker i skolor och förskolor kan ske med stöd av skollagen. Men det finns undantag. Det är bland annat behandling av känsliga personuppgifter hos fristående utbildningsanordnare som behöver få stöd i lagen. Regeringen har lagt fram en proposition som ska ge det stödet. Men den föreslås börja gälla först 1 augusti. Perioden mellan 25 maj och 1 augusti finns alltså inget sådant stöd i lagen.

Det tydligaste exemplet på hur det kan drabba friskolor och fristående förskolor är när det gäller allergilistor.

Vi kan inte låta barn få skolmat som de kan dö av! Karin Jensen, Academedia.

– Allergier är en uppgift om hälsa och därmed en känslig personuppgift. Bedömningen i propositionen är att det krävs ett ytterligare lagstöd för behandlingen av känsliga personuppgifter i friskolor, det är därför de lägger ett förslag om det. Finns inte det stödet bryter man mot förordningen, säger Ulrika Harnesk, jurist på Datainspektionen.

Elevernas matallergier är en uppgift om hälsa, vilket räknas som en känslig personuppgift. Fristående skolor och förskolor saknar lagligt stöd att behandla sådana uppgifter mellan 25 maj och 1 augusti i år.

Mariette Dennholt, förbundsjurist på Friskolornas riksförbund, är upprörd.

– Det här borde förstås inte drabba friskolorna på grund av en försenad lagstiftningsprocess. Verksamheterna kan ju inte upphöra med nödvändiga behandlingar av personuppgifter, säger hon.

Academediakoncernen är landets största fristående utbildningsanordnare. Karin Jensen är projektledare för dataskydd och GDPR. Hon bedömer att de har rättsligt stöd att fortsätta med allergilistorna.

– Vi har ju en form av myndighetsutövning även om vi inte är en myndighet. Vi ser det som att skollagen står över det här, att känsliga personuppgifter kan behandlas utifrån viktigt allmänt intresse.

Vad är en personuppgift

All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas som personuppgifter.

Foton och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns.

IP-nummer räknas som personuppgifter om de kan kopplas till fysiska personer.

Känsliga personuppgifter kan avslöja:

  • Hälsa
  • Etniskt ursprung
  • Politiska åsikter
  • Fackligt medlemskap
  • Religiös eller filosofisk övertygelse
  • Genetiska eller ­biometriska uppgifter
  • Sexuell läggning eller aktivitet

Källa: Datainspektionen

Att avstå från allergilistorna ser hon inte som ett alternativ.

– Vi kan inte låta barn få skolmat som de kan dö av!

Så det är en risk ni är beredda att ta, att ni kan bryta mot lagen?

– Som vi ser det har vi rättslig grund. Det är möjligt att vi har fel, och då får vi ta de konsekvenserna.

Drazenko Jozic är departementssekreterare på utbildningsdepartementet och en av två som arbetat med propositionen.

– Under de här månaderna saknar privata utbildningsanordnare lagligt stöd för behandlingen av känsliga personuppgifter. I praktiken innebär det förhoppningsvis inte något större problem, säger han.

Vad ska fristående skolor som behöver behandla känsliga personuppgifter göra?

– Tillämparna kan inte göra något åt regelverket, de måste förhålla sig till det.

Ulrika Harnesk på Datainspektionen kan inte säga om tillsynen kommer att påverkas av att lagstiftningsprocessen dragit ut på tiden.

– Utgångspunkten är att all personuppgiftsbehandling ska ske enligt gällande lagstiftning.

ur Lärarförbundets Magasin