Läs senare

Så påverkas du av nya datadirektivet

JuridikMånga skolor bryter mot lagen när lärarna skapar klasslistor i ­Google ­Dokument och mejlar känslig information. EU:s nya dataskydds­förordning GDPR gör snart reglerna ännu hårdare – och böterna skyhöga.

Så påverkas du av nya datadirektivet
Illustration: Emelie Zetterberg

Att ha koll på vad lärarna gör är en svår uppgift för många skolledare. Lärarna blir allt duktigare på att använda IT i klassrummet, och i tjänster som Google Dokument är det lätt att skapa egna dataregister. Eftersom molntjänster är enklare att använda än skolornas och förskolornas gemensamma system kan det vara frestande att använda dem ”vid sidan om”.

Men Daniel Westman, som är forskare vid Stockholms universitet och fristående rådgivare i IT- och medierätt, avråder bestämt från att låta medarbetarna skapa egna IT-lösningar.
– Jag har full förståelse för att man gör det, men det finns de facto inget rättsligt utrymme för det.

Ur ett juridiskt perspektiv räknas även en harmlös klasslista som ett personregister, och vad som gäller är reglerat i personuppgiftslagen (Pul).
– Dataskydd kan verka lite löjligt, men ytterst handlar det om att den enskilde har rätt till sina personuppgifter, säger Daniel Westman.

Det här är GDPR

  • EU:s dataskyddsförordning GDPR (General Data Protection Regulation) ska stärka skyddet för medborgarnas personuppgifter.
  • GDPR påverkar både offentlig och privat verksamhet.
  • I Sverige ersätter GDPR dagens personuppgiftslag (Pul).
  • GDPR börjar gälla i hela EU den 25 maj. Länderna kan komplettera med nationella regler, och Sverige får flera nya lagar.
  • För skolans område har en utredning lagts fram, SOU 2017:49. En proposition väntas 10 april.

Det är för att skydda individen som det finns regler kring vilken information som får lagras och vilka medarbetare som får ta del av den. Det här är extra viktigt för information om elevernas hälsa. Hur känsliga personuppgifter hanteras är strikt reglerat, och dem får medarbetarna exempelvis inte sprida via vanlig mejl, som har alltför låg säkerhet.

Problemet med medarbetare som går vid sidan om de officiella systemen är vanligt i alla branscher, och det har till och med fått ett eget namn – skugg-IT. Att det blivit så utbrett beror ofta på att de system som arbetsgivaren tillhandahåller är komplicerade.
– När arbetsgivaren erbjuder ett dåligt IT-stöd hittar många medarbetare sina egna lösningar, konstaterar Daniel Westman.

Att tillåta det är dock ingen hållbar lösning. Daniel Westman tycker i stället att en skolledare ska kräva att huvudmannen ser till att det finns tillräckligt bra digitala verktyg. Det är nämligen skolhuvudmannen som bär det juridiska ansvaret – och därmed är personuppgiftsansvarig. På en kommunal skola handlar det ofta om utbildningsnämnden och i en friskola om bolagets styrelse.

Den här rollfördelningen är oklar för många, konstaterar Anna Björklöf som är jurist på Datainspektionen.
– Det är skolhuvudmannen som i egenskap av personuppgiftsansvarig ska ge lärare och skolledare instruktioner om hur de ska behandla personuppgifterna på skolan.

Det är inte heller den enskilde skolledaren som blir juridiskt ansvarig om något fel begåtts.
– Det du gör inom ramen för din anställning är arbetsgivaren ytterst ansvarig för, säger Daniel Westman.

För att en skolledare ska bli personligt ansvarig krävs att hen har brutit grovt mot skolhuvudmannens regler.

Den svenska personuppgiftslagen är 20 år gammal, men nu är den på väg att ändras. Den 25 maj ersätts den av EU:s nya dataskyddsförordning GDPR. Personuppgiftslagens grundtankar finns kvar, men den personliga integriteten skyddas hårdare.

Den mest omtalade förändringen är de enorma bötesbeloppen för brott mot reglerna – upp till 200 miljoner kronor för privata företag och 10 miljoner kronor för den offentliga sektorn.

Läs mer:

Datainspektionen har en checklista för personuppgifter i skolan: www.datainspektionen.se/skolor

Datainspektionen har också en specialsida om GDPR: www.datainspektionen.se/dataskyddsreformen

Sveriges Kommuner och Landsting har också en GDPR-sajt som är under arbete:  skl.se/naringslivarbetedigitalisering/digitalisering.2138.html

Skolverket följer frågan på omvarld.blogg.skolverket.se

Dessutom försvinner den så kallade missbruksregeln. Hittills har reglerna för personuppgifter i ”ostrukturerat material” varit förenklade. Rent praktiskt betyder det att exempelvis personuppgifter i mejl och på webbplatser har varit enklare att hantera än databaser. Nu ska samma regler gälla i båda fallen, något många lär uppfatta som tungjobbat.

I juni 2017 kom en utredning om det nya datadirektivet och utbildningssektorn. Men alla detaljer kring vad GDPR kommer att betyda i skolans värld är inte klara eftersom regeringen ännu inte har lagt fram sin proposition. Datainspektionen efterlyste i sitt remissvar till utredningen en egen lag för skolans område. Den här sortens lagar finns för nästan all annan offentlig verksamhet, men utredningen föreslår ingen speciallag för skolorna.

I skolorna pågår en snabb digitalisering och allt fler uppgifter om elever samlas in och sparas under allt längre tid. Därför tycker Datainspektionen det är viktigt att det finns tydliga regler för hur uppgifterna får registreras och användas.
– Med så stora uppgiftssamlingar som det är fråga om i skolverksamhet, och med uppgifter som dessutom kan vara känsliga, behövs en egen lagstiftning för behandling av elevers personuppgifter, säger Anna Björklöf.

Men oavsett hur den slutgiltiga lagtexten kommer att se ut konstaterar forskaren Daniel Westman att GDPR inte innebär några grundläggande förändringar jämfört med i dag. Däremot tror han att den ökade risken för sanktioner leder till ett större fokus på frågorna.
– Skolorna måste få en mer strukturerad syn på hur man kan hantera information så att man ser till att reglerna verkligen efterlevs – och här är det viktigt att de får tydliga regler från huvudmännen.

ur Lärarförbundets Magasin