Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Förskola

     

    Vad säger regelverket?

    Församlingen/pastoratet är personuppgiftsansvarig  för sin verksamhet. När man bedriver en förskola har man alltså ett ansvar även i förhållande till dataskyddsregelverket. Dataskyddsförordningen innebär då att följande måste säkerställas:

    • Laglig grund för behandlingen  av personuppgifter är för det mesta arbetet allmänt intresse. För vissa delar tillkommer rättsliga förpliktelser. Detta därför att förskoleverksamheten regleras i skollagen. Av det här skälet skiljer sig många frågor i förskolan från andra behandlingar församlingar/pastorat gör.
    • I skollagen finns i 26 a kapitlet en registerlag som även omfattar förskolans verksamhet. I denna regleras flera viktiga frågor, bland annat behandlingen av känsliga personuppgifter. Man måste noga följa det som sägs där.
    • Det är viktigt att församlingen/pastoratet även kan hantera skyldigheten att informera. Detta görs genom integritetspolicyn. Genom integritetspolicyn får de som överväger att ställa sina barn i kö information. Även de som har barn i förskolan kan hitta information där. 
    • Vidare är det viktigt att ni klarar av att hantera alla principer för behandling. Rent konkret innebär detta bland annat att ni måste se över er behörighetsstyrning då det inte är lämpligt att alla anställda har tillgång till personuppgifter i förskolans verksamhet. Istället bör enbart personal som arbetar i denna verksamhet ha tillgång till information om de enskilda som berörs (detta gäller oavsett om personuppgifterna lagras digitalt eller i papperspärmar eller liknande med register) utifrån de arbetsuppgifter de utför. 
    • Det är givetvis också viktigt att fortlöpande gallra personuppgifter. Här följer församlingen främst Svenska kyrkans arkiv- och gallringsregler och specifika lagregler som gäller i verksamheten. En dokumenthanteringsplan kan underlätta detta arbete.

    Vad behöver församlingen/pastoratet göra?

    Församlingen/pastoratet behöver klargöra hur man behandlar personuppgifter i praktiken. Ett bra sätt att gå igenom sin verksamhet är genom en processkartläggning. Sådana har gjorts på Hässelby församling vilket lett fram till de mallar som finns kopplade till detta avsnitt. Tänk på att man inte bara kan kopiera innehållet i mallarna utan eftertanke: Är det verkligen så här vi arbetar? De dokument ni upprättar måste beskriva er egen verksamhet på ett korrekt sätt. Mallarna är tänkta att ge inspiration, men kan givetvis användas om församlingen/pastoratet säkerställt att man gör på det sätt som beskrivs i dem. 

    Verksamheten bör beskrivas i er integritetspolicy  Exemplet i mallen kommer från Hässelby församlings arbete. En processbeskrivning av den här modellen ger också bra underlag till pastoratets/församlingens behandlingsregister. Mallen täcker enbart vissa aspekter av förskoleverksamheten så vissa delar – till exempel den dagliga verksamheten med barnen – behöver ni hantera själva. Det är viktigt att ni även kartlägger detta arbete, eftersom informationen är viktig att kunna ges.

    Svenska kyrkans bestämmelser SvKB 2017:1 och 2019:1 ska följas i gallringsarbetet. Eftersom arbetet styrs av lagregler är det viktigt att diarieföra handlingar. En dokumenthanteringsplan kan underlätta i arbetet.

    Församlingens/pastoratets dataskyddsombud ska fortlöpande följa upp verksamheten. I detta ingår även att granska och rekommendera förbättringar. Tänk också på att det är viktigt att alltid ange dataskyddsombudets kontaktuppgifter när ni informerar om personuppgiftsbehandling och att kontaktuppgifter till hen finns publicerat på hemsidan. 

    Vad utgör allmänt intresse?

    Personuppgiftsbehandlingar som är nödvändiga för att utföra en uppgift av allmänt intresse i förskolan kan vara följande:

    • Handlägga ett ärende. Detta kan enligt förarbetesuttalanden innefatta ”… alla åtgärder som en myndighet vidtar från det att ett ärende inleds till dess att det avslutas. Uttrycket ärende definieras inte i lagen. Kännetecknande för vad som utgör ett ärende är dock att det regelmässigt avslutas genom ett uttalande från myndighetens sida som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Ett ärende avslutas genom ett beslut av något slag. Vid bedömningen av frågan huruvida en myndighets ställningstagande är att anse som ett beslut i denna mening är det uttalandets syfte och innehåll som avgör uttalandets karaktär, inte dess yttre form” (prop. 2016/17:180 s. 286). 
    • Behandling av personuppgifter för att tillhandahålla, anordna och bedriva verksamheten.
    • Administration av närvaro (får inte innefatta känsliga personuppgifter).
    • Dokumentation av kunskaper inför ett utvecklingssamtal.
    • Uppgifter i en skriftlig individuell utvecklingsplan.

    Vad utgör rättslig förpliktelse?

    Viss verksamhet i förskolan kan utgöra myndighetsutövning mot enskild. Den behandling av personuppgifter som är nödvändig för myndighetsutövningen har den rättsliga grunden myndighetsutövning. Exempel på detta är beslut om särskilt stöd.
    I verksamheten behöver man även följa andra lagar, vilket då innebär att man kan ha en rättslig förpliktelse (det kan även föreligga allmänt intresse). En sådan är att man kan lämna uppgifter till Försäkringskassan om barns frånvaro för kontroll av vård av barn. Man kan också behöva lämna uppgifter till socialtjänsten i dess utredningar enligt socialtjänstlagen och lagen om vård av unga.

    Behandling av känsliga personuppgifter.

    I 26 a kap. 4 § skollagen finns bestämmelser om hur känsliga personuppgifter får behandlas när församlingen/pastoratet är att anse som enskild huvudman för verksamheten. Behandling får ske

    • om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet,
    • i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (den här punkten kan enligt förarbetesuttalanden röra sig om att känsliga personuppgifter framkommer vid kommunikation mellan skola och föräldrar eller inom förskolan i samband med utvärdering av den egna verksamheten).

    Förskolan får inte utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Ett exempel på det är om man genom att göra en sökning i ett system eller app vill ta fram en lista över alla barn med allergier. Det är därför viktigt att kontrollera att IT-system inte möjliggör sådana urval, säkra styrsignaler och undervisa anställda. Inget hindrar att man – om man i övrigt har rätt att behandla personuppgifterna – gör manuella listor eller går igenom varje barn i ett register för att hitta grunddata och sedan sammanställer dem. Det är själva sökningen som inte får ske genom att känsliga personuppgifter används som sökbegrepp.
    Att behandlingen måste vara nödvändig (se båda punkterna ovan) innebär bl.a. att bara sådana känsliga personuppgifter som verkligen behövs i ett ärende eller för annan jämförbar hantering får behandlas. Det innebär dock inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed vara tillåten om den leder till effektivitetsvinster (tänket kring detta bör då vara tydligt dokumenterat).

    I proposition 2017/18:218 s 130 uttalas också följande som kan vara intressant beträffande begreppet ”otillbörligt intrång”:

    Vid bedömningen av om behandlingen utgör ett otillbörligt intrång bör vikt läggas vid t.ex. uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till att uppgiften behandlas, den spridning uppgifterna kan komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet.

    Konfessionella inslag

    Det får finnas konfessionella inslag i förskolans verksamhet om vårdnadshavare har godkänt detta. När man hanterar en förskola som en församling/ett pastorat bedriver behöver man alltså ta in ett godkännande, vilket innebär att man kommer att behandla uppgifter som kan avslöja religiös tillhörighet. Rätten att behandla känsliga personuppgifter för detta ändamål kan härledas från skollagen. Vidare måste man informera om detta vilket kan göras genom integritetspolicyn. I Hässelby församling använder man en mall som kopplar ihop godkännandet med integritetspolicyn. 

    Var försiktiga med att använda samtycke

    I ett tillsynsärende enligt dataskyddsförordningen har Datainspektionen fått anledning att titta på användning av samtycke i kommunal skolverksamhet. Det är mycket svårt att anse att samtycken i den här typen av verksamhet är frivilliga. Datainspektionen konstaterade i ärendet bland annat:

    Det innebär att bedömningen om ett samtycke har lämnats frivilligt inte bara ska ske utifrån vilken valfrihet som råder, utan även vilket förhållande som föreligger mellan den registrerade och den personuppgiftsansvarige... Inom skolområdet är det tydligt att eleven står i beroendeställning till skolan vad gäller betyg, studiemedel, utbildning och därmed möjlighet till framtida arbete eller fortsatta studier. Det är dessutom ofta frågan om barn.  

    Det sagda innebär normalt sett att man ska undvika samtycken i verksamheten (offentlig sektor, som fallet rörde får normalt . Datainspektionen uttalade dock att det finns ett visst utrymme rörande skolfoton som möjligen kan användas:

    Ett exempel på när samtycke skulle kunna vara lämplig grund för personuppgiftsbehandling är inför fotografering av eleverna i syfte att skapa elektroniska skolkataloger eller fotografering för att dokumentera verksamheten i förskola och skola, inte minst i syfte att kunna redogöra för den för barnens vårdnadshavare.
    (SOU 2017:49 EU:s dataskyddsförordning och utbildningsområdet s. 137).

    Eftersom privata aktörer som församlingar och pastorat inte är förhindrade att använda berättigat intresse som laglig grund har vi tagit fram en mall baserat på detta. För att kunna göra en bra intresseavvägning ber vi föräldrarna att delge oss sina val.

    Registerkontroll

    I 2 kap. 31 § skollagen finns bestämmelser om registerkontroll av de som ska arbeta i en förskola. Ett registerutdrag kan innehålla personuppgifter om lagöverträdelser och behöver därför hanteras mycket varsamt. En kontroll av ett registerutdrag får inte dokumenteras på något annat sätt än genom en anteckning om att utdraget har visats upp. Församlingen/pastoratet får alltså inte spara utdraget (eller en kopia av det) eller göra några anteckningar om vad det innehåller. Däremot får en anteckning göras att det har uppvisats. 

    Var försiktig att använda appar/verktyg i verksamheten

    Man kan inte använda sociala medier som Facebook, WhatsAp, Instagram  etc som kommunikationsverktyg i verksamheten eftersom dessa kan profilera på data som hanteras.
    Det finns särskilda appar eller andra verktyg som erbjuds av tillverkare för att hantera deltagarhantering, hälsouppgifter etc. Här måste församlingen/pastoratet säkerställa att appen endast kan användas för ändamål som framgår av skollagen. I ett tillsynsärende på personuppgiftslagens tid har Datainspektionen bedömt ett sådant verktyg. Omständigheterna var följande:

    Varje användare kan utveckla sin profil genom att lägga till ytterligare information om sig själv på sitt konto. Elever kan också ”lägga till” andra elever som vänner. Det finns också en chatt-funktion där användaren kan logga in och chatta med andra elever och lärare. Lärare och elever har också möjlighet att blogga via ett bloggverktyg som är direkt kopplat till varje användarkonto. Användaren avgör själv om bloggen ska vara publik, dvs. synlig för alla andra användare, eller om endast en begränsad grupp ska kunna ta del av bloggposterna. Det är valfritt att använda funktionerna för sociala medier och de utnyttjas väldigt sparsamt såväl av lärare som av elever. 

    Datainspektionen gjorde följande bedömning:

    Datainspektionen konstaterar att skolans fullgörande av sitt uppdrag är exempel på en …arbetsuppgift av allmänt intresse. Detta förutsätter dock att kravet …på att personuppgifter bara samlas in för berättigade ändamål är uppfyllt. Insamling av personuppgifter för ändamål som inte kan anses berättigade är inte tillåten… 
    Datainspektionen är medveten om svårigheterna att i skolverksamhet skilja på vad som ingår i skolans uppdrag och vad som enbart rör eleven privat. I detta ärende tillhandahåller skolan ett socialt medium för rent privat användning utan koppling till skolans verksamhet. Ett av de syften som anges för detta sociala medium är att skolan ska kunna ta del av de uppgifter som behandlas där. Det innebär att uppgifter som inte ens uppges röra skolverksamhet kan komma att behandlas i skolans verksamhet. Att låta elever använda sociala funktioner i skolans verksamhetssystem i syfte att få insyn i deras privata förehavanden är inte en tillåten insamling då det inte sker för ett berättigat ändamål.

    Datainspektionen gjorde även ett intressant uttalande om säkerheten i sådana verktyg/appar: 

    Bestämmelsen innebär att när känsliga personuppgifter enligt personuppgiftslagen eller andra personuppgifter som kan anses vara integritetskänsliga, t.ex. för att de omfattas av sekretess eller rör den enskildes personliga förhållanden, kommuniceras via internet ska uppgifterna skyddas på ett sådant sätt att obehöriga inte kan ta del av dem. Den personuppgiftsansvarige måste använda sig av stark autentisering vid åtkomst till uppgifterna, exempelvis e-legitimation, engångslösenord eller motsvarande. - - - 

    Ska man använda appar/verktyg i verksamheten är det viktigt att innan detta påbörjas göra en konsekvensbedömning.

    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2020-04-15
    X
    Dokumentid: 1490801- Webid: 28950 - Unitid: 14