Skolan och dataskyddsförordningen

25 maj nästa år träder EU:s dataskyddsförordning i kraft, vilket innebär att samtliga länder i unionen från och med den dagen kommer att ha gemensamma regler för personuppgiftsbehandling. Samtidigt upphör Personuppgiftslagen att gälla, även om de grundläggande principerna, som gällt sedan 1995, förblir desamma. Den nya lagen är avsedd att skydda fysiska personer och ge dem större kontroll över sina egna data. Samtidigt ska flödet av personuppgifter inom unionen underlättas.

I den svenska skolan används dagligen mängder av olika datatjänster där personuppgifter hanteras, alltifrån bloggar och appar till digitala läromedel och system för omdömen och utvecklingsplaner. Hanteringen kommer att fortsätta öka i takt med att digitaliseringen fortsätter. Därför arrangerade SKL igår ett webbinarium för att räta ut frågetecknen. Fler webbinarier kommer säkert att anordnas efterhand som det rättsliga läget klarnar.

Varje medlemsstat har rätt att i viss utsträckning införa kompletterande bestämmelser, och det pågår en rad olika utredningar som kommer att ge förslag kring detta under året. För skolan är det främst dataskyddsutredningen och utredningen om personuppgifter inom utbildningsområdet som är relevanta. De kommer att presenteras senast 12 maj respektive 1 juni.

Även om regelverket inte är helt färdigställt, står det klart vilka övergripande regler som kommer att gälla. I Sverige fortsätter Datainspektionen att vara inspekterande myndighet.

Dataskyddsförordningen ställer högre krav på rapportering och dokumentation, och alla personuppgiftsincidenter ska anmälas till Datainspektionen inom 72 timmar.  En annan nyhet är att Datainspektionen kan påföra sanktionsavgifter om förordningen överträds. Längre fram kommer det att inrättas en europeisk dataskyddsmyndighet för att underlätta en enhetlig tillämpning av den nya lagstiftningen inom unionen. Idag arbetar Artikel 29-gruppen – som inte är någon myndighet – med detta. Gruppen kommer att läggas ned när myndigheten startar sin verksamhet.

För skolans del är det utbildningsnämnden eller motsvarande nämnd i kommunen som är personuppgiftsansvarig. Dataskyddsförordningen ställer större krav på den personuppgiftsansvariges ansvarsskyldighet när det gäller att följa de regler som gäller. Detta kan man göra genom att ta fram en dataskyddspolicy och genom att se till att man i möjligaste mån bygger in integritetsvänliga lösningar i sina system.

Integritet och informationshantering ska hanteras när ett system köps in och ska alltså finnas som inbyggda lösningar direkt när systemet börjar användas. Detta kommer både att ställa ökade krav på leverantören och på kommunens it-avdelning. Än så länge finns inga vägledningar om hur detta arbete ska bedrivas, men sådana kommer sannolikt att tas fram av Datainspektionen eller av den nya europeiska myndigheten.

Den personuppgiftsansvarige måste utse ett dataskyddsombud, det vill säga en person som är mer kunnig inom området än huvudmannen och nämnden och som kan fungera som kontaktpunkt för Datainspektionen. Dataskyddsombudet ersätter dagens personuppgiftsombud, och är en fysisk person som antingen kan vara anställd hos myndigheten eller vara en upphandlad konsult.

Dataskyddsombudet ska informera och ge råd till personuppgiftsansvarig och till personuppgiftsbiträden, ta emot klagomål från registrerade samt se till att reglerna efterlevs. Flera nämnder i en kommun kan dela på ett dataskyddsombud om det är lämpligt och ändamålsenligt.

Personuppgiftsbiträdet är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Normalt rör det sig om ett företag, men det kan även vara en fysisk person. De dataleverantörer som skolan använder i sin verksamhet är personuppgiftsbiträden.

De skyldigheter som gäller för personuppgiftsbiträdet preciseras i lagtexten. Bland annat är personuppgiftsbiträdet skyldig att hålla ett register över olika typer av personuppgiftsbehandlingar och får även ett självständigt skadeståndsansvar gentemot de registrerade. Personuppgiftsbiträdet får bara anlita egna underbiträden om den personuppgiftsansvarige har gett skriftligt underhandstillstånd. Samma skyldigheter – bland annat tystnadsplikt – gäller för underbiträdet som för personuppgiftsbiträdet.

Skolan får behandla personuppgifter om det är nödvändigt för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som del i en myndighetsutövning. Personuppgiftslagens skrivningar om intresseavvägning försvinner och samtycke begränsas.

Sannolikt blir det inte någon heltäckande lag för skolans hantering av personuppgifter. Det öppnar för användning av uppförandekoder, som tar upp hur personuppgifter samlas in och hanteras, säkerhet i systemet, och så vidare. En möjlig lösning är att SKL tar fram dessa på egen hand eller i samverkan med någon annan. Uppförandekoder ska godkännas av Datainspektionen för att gälla.

De som har fått sina personuppgifter registrerade har rätt att få en maskinläsbar kopia av uppgifterna utan kostnad. I regel finns inte inte rätt till radering av offentliga uppgifter, men felaktiga uppgifter ska korrigeras. Än så länge finns ingen vägledning för hur detta ska hanteras och hur man kan säkerställa att det verkligen är rätt person som begär utdrag. Det är dock viktigt att känna till att rätten till kopia även gäller för skolan.

Personuppgiftsansvarig ska föra ett register över de personuppgiftsbehandlingar som hanteras i olika system. Ett sådant register ska innehålla den personuppgiftsansvariges namn och adress, ändamål med behandlingen samt en förteckning över vilka som berörs och vilka typer av uppgifter som det rör sig om. Uppgifter om mottagare eller kategorier av mottagare samt information om uppgifter ska föras över till tredje land (stat utanför EU) krävs också. Dessutom ska registret innehålla en beskrivning som gör det möjligt att bedöma om de säkerhetsåtgärder som vidtagits för att trygga informationsäkerheten är tillräckliga.

 

När förordningen träder i kraft kommer det att ställas betydligt högre krav på ordning och reda än idag. Det kan därför vara bra att skolhuvudmannen inte väntar med att sätta igång arbetet.

SKL har vägledningar och mallar som gör det enkelt att komma igång.