Kort svar
Personuppgifter i skolan skyddas främst genom GDPR, kompletterande svenska regler och skolans egna säkerhetsrutiner. Skolverket förklarar att GDPR gäller fullt ut i skolan och att 26 a kapitlet i skollagen innehåller kompletterande bestämmelser om behandling av personuppgifter. För dig betyder det att skolan får behandla uppgifter när det finns lagligt stöd, men inte mer än vad som är nödvändigt.
Fyra grundfrågor skolan måste klara
| Fråga | Vad som krävs |
|---|---|
| Finns rättslig grund? | personuppgifter får inte behandlas utan lagligt stöd |
| Är uppgifterna nödvändiga? | skolan får inte samla in fler uppgifter än den behöver |
| Är säkerheten tillräcklig? | uppgifterna ska skyddas mot obehörig åtkomst och förlust |
| Finns rutiner? | huvudmannen måste organisera hanteringen tydligt |
GDPR gäller i skolan, inte vid sidan av skolan
Det är viktigt att börja där. GDPR är inte något extra regelpaket som kommer in först när skolan använder en särskild app eller ett molnsystem. Skolverket beskriver att dataskyddsförordningen gäller alla verksamheter som hanterar personuppgifter, och alltså också skolor.
För dig betyder det att sådant som namn, personnummer, adress, betyg, frånvaro och andra elevuppgifter inte får hanteras hur som helst bara för att de behövs i vardagen.
Skollagen kompletterar GDPR
Skolverket förklarar att det i 26 a kapitlet skollagen finns kompletterande bestämmelser om behandling av personuppgifter. Samtidigt har GDPR företräde framför nationell lag om reglerna skulle stå i strid med varandra.
Det här är en viktig juridisk poäng. Du behöver alltså inte tänka att skollagen ersätter GDPR eller tvärtom. I stället fungerar de tillsammans, där GDPR sätter den övergripande ramen och skollagen kompletterar den i skolkontexten.
Skolan får inte kräva in fler uppgifter än den behöver
Både Skolverket och IMY betonar principen om dataminimering. Skolan får bara samla in personuppgifter för särskilda och berättigade ändamål, och inte fler uppgifter än vad som behövs för ändamålen.
För dig är det här en av de mest praktiska principerna. Om skolan ber om uppgifter ska det finnas en tydlig anledning. Det betyder inte att skolan aldrig får samla in känsliga eller omfattande uppgifter, men det betyder att den måste kunna motivera varför just de uppgifterna behövs.
IMY förklarar också att huvudmannen är personuppgiftsansvarig för behandlingen i skolan, inte rektorn eller en enskild lärare.
Barns uppgifter har ett särskilt skyddsvärde
Skolverket anger uttryckligen att personuppgifter som rör barn anses särskilt skyddsvärda i GDPR. Det beror bland annat på att barn kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter och förstå hur uppgifterna används.
För dig betyder det att skolans ansvar inte bara handlar om att följa formella krav, utan också om att förstå att elevuppgifter ofta behöver starkare omsorg i praktiken än många andra typer av data.
Säker hantering kräver rutiner, inte bara god vilja
Skolverket skriver att huvudmannen och rektorn tillsammans med personalen kan ta fram rutiner för hur verksamheten ska göra i olika frågor och situationer. Det räcker alltså inte att “alla försöker vara försiktiga”. Det ska finnas tydliga rutiner, begränsad tillgång, säkra it-system och säkra kommunikationsvägar.
Det här gäller extra tydligt för skyddade personuppgifter. Där beskriver både Skolverket och IMY att säkerhetsnivån måste vara särskilt hög, eftersom skadan kan bli stor om uppgifter röjs.
Samtycke är inte alltid kärnan i skolans personuppgiftsbehandling
En vanlig missuppfattning är att all personuppgiftsbehandling i skolan måste bygga på samtycke. IMY förklarar att den rättsliga grunden uppgift av allmänt intresse ofta är den som används inom både offentliga och privata skolor, när uppgiften är fastställd i unionsrätten eller svensk rätt, till exempel i skollagen.
För dig betyder det att GDPR i skolan inte bara handlar om att klicka ja eller nej. Ofta handlar det i stället om att det måste finnas ett faktiskt lagstöd för behandlingen och att skolan måste hålla sig inom det stödet.
Om du vill förstå gränserna för vem som får veta vad går du vidare till Vad betyder sekretess och tystnadsplikt i skolan?. Om din fråga gäller elevhälsosamtal mer specifikt läser du Är samtal med elevhälsan konfidentiellt?.
Officiella underlag bakom råden
- Skolverket: GDPR och skyddade personuppgifter i förskola, skola och vuxenutbildning
- Skolverket: Hantering av personuppgifter (GDPR)
- IMY: För personuppgiftsansvariga inom skola och förskola
- Skollag (2010:800), 26 a kap. - Sveriges riksdag
Vad du kan göra härnäst
Om du vill förstå vem som faktiskt får lämna vidare uppgifter går du vidare till Vad betyder sekretess och tystnadsplikt i skolan?. Om din fråga gäller elevhälsan mer konkret läser du Är samtal med elevhälsan konfidentiellt?. För en annan integritetsfråga i skolan kan du också läsa Vad är registerkontroll i skolan?.