Störningsinformation:
Kokningsrekommendation av dricksvatten för boende i Tullingeberg
Dölj meddelande
  • Barn & utbildning
  • Bibliotek & kultur
  • Idrott, fritid & natur
  • Klimat & miljö
  • Bo & bygga
  • Omsorg & socialt stöd
  • Näringsliv & arbete
  • Kommun & politik

Så här får du som anställd på utbildningsförvaltningen hantera personuppgifter i ditt arbete

På utbildningsförvaltningen behandlar vi varje dag mängder av personuppgifter för barn, elever, vårdnadshavare, anställda och andra som vi har kontakt med. I de flesta fall är behandlingen nödvändig för att vi ska kunna utföra vårt arbete. För att vi ska få behandla personuppgifter krävs det att vi uppfyller vissa krav och följer vissa principer som lagstadgas i EU:s dataskyddsförordning. Nedan kan du läsa mer om hur vi får behandla personuppgifter i olika sammanhang.

Lagliga grunder för att behandla personuppgifter
För att vi på utbildningsförvaltningen ska få behandla personuppgifter måste det finnas stöd för det i dataskyddsförordningen. De lagliga grunder som gäller för icke känsliga personuppgifter är:

  • Samtycke. På utbildningsförvaltningen används samtycke för att det ska vara tillåtet att behandla bilder/filmer på barn, elever och anställda. I övrigt kan vi mycket sällan använda samtycke som grund för att behandla personuppgifter eftersom ett samtycke måste vara helt frivilligt. Det får inte få för stora konsekvenser att inte lämna samtycke, och samtycket ska kunna återkallas. Vi ska inte efterfråga samtycke ”för säkerhets skull” utan vi måste i de flesta fall ha någon annan laglig grund för att behandla personuppgifterna.
  • Avtal. Vi får behandla personuppgifter om det är nödvändigt för att fullgöra ett avtal med den registrerade.
  • Rättslig förpliktelse. Vi får behandla personuppgifter om det uttryckligen står i lagen att vi måste göra det. Ett exempel är betyg, som är en personuppgift och som det finns lagkrav på att utbildningsförvaltningen ska hantera.
  • Skydda intressen av grundläggande betydelse för en person. Det handlar om extrema situationer, exempelvis vid livshotande tillstånd, och kommer därför sannolikt inte att användas som en grund för utbildningsförvaltningens personuppgiftsbehandling.
  • Allmänt intresse. Vi får behandla personuppgifter om det är nödvändigt för att vi ska kunna utföra en uppgift som det står i lagen att vi ska utföra. Exempelvis får vi behandla personuppgifter i den utsträckning som krävs för att vi ska kunna tillhandahålla utbildning i förskola och skola enligt skollagens krav.
  • Myndighetsutövning. Vi får behandla personuppgifter som ett led i vår myndighetsutövning. Exempelvis får vi behandla personuppgifter om det är nödvändigt för att kunna fatta korrekta beslut om exempelvis betyg, skolskjuts eller tilläggsbelopp.

För känsliga personuppgifter gäller följande lagliga grunder:

  • Samtycke. Se ovan.
  • Arbetsrätt. Vi får behandla känsliga personuppgifter om det är nödvändigt för att utbildningsförvaltningen eller den registrerade ska kunna fullgöra skyldigheter och utöva rättigheter inom arbetsrätten, enligt svensk lag eller kollektivavtal.
  • Skydda intressen av grundläggande betydelse för en person. Se ovan.
  • Offentliggjorda uppgifter. Vi får behandla känsliga personuppgifter om den registrerade på ett tydligt sätt har offentliggjort dessa uppgifter. Ett exempel är att vi får behandla uppgifter om vilket parti en folkvald politiker representerar.
  • Rättsliga anspråk. Vi får behandla känsliga personuppgifter om det är nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk.
  • Allmänt intresse.

Webbaserade pedagogiska tjänster
Utbildningsförvaltningen har avtal med ett antal webbaserade pedagogiska tjänster som används av förskolor och skolor. Det är exempelvis G Suite, Nationalencyklopedin och olika typer av läromedel. I många av dessa används personuppgifter enbart för att logga in i tjänsten, och därefter konsumerar användarna bara information. I en del av tjänsterna finns möjlighet för användarna att själva lägga in viss information, exempelvis i elevuppgifter eller för kommunikationen mellan elever och personal.

I dessa webbtjänster får du behandla icke känsliga personuppgifter som krävs för att du ska kunna använda tjänsterna för undervisning och lärande inklusive kommunikation med elever. Du får inte behandla känsliga personuppgifter, omdömen och liknande.

Informationssida om G Suite på http://www.botkyrka.selänk till annan webbplats

Vklass
Ändamål med behandlingen av personuppgifter
Vklass är ett verksamhetssystem som i viss utsträckning används för administration men framför allt för kommunikation mellan elever, vårdnadshavare och personal samt som ett pedagogiskt verktyg. Behandlingen av personuppgifter i Vklass har framför allt följande ändamål:

  • Kommunikation mellan hem och skola
  • Möjliggöra samspel mellan elever och personal för undervisning och lärande, t.ex. genom grupparbeten och ämnes diskussioner
  • Möjliggöra stöd i lärandeprocessen, t.ex. genom omdömen och provresultat
  • Frånvarohantering

Kategorier av personuppgifter som behandlas
De personuppgifter som behandlas i Vklass är framför allt:

  • Namn
  • Personnummer
  • Adress, e-postadress, telefonnummer
  • Omdömen, provresultat
  • Bilder, filmer

Grunder för behandling av personuppgifter
För att utbildningsförvaltningen ska få behandla personuppgifter krävs det att behandlingen uppfyller någon av de lagliga grunder som definieras i EU:s dataskyddsförordning, artikel 6. Den behandling av personuppgifter som görs i Vklass stödjer sig på någon av följande lagliga grunder:

  • Behandlingen är nödvändig för att fullgöra en av utbildningsnämndens/förvaltningens rättsliga förpliktelser (t.ex. omdömen).
  • Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (t.ex. upprätthålla en effektiv kommunikation mellan vårdnadshavare och personal, tillhandahålla undervisning av god kvalitet till alla som har rätt och/eller skyldighet att ta del av den samt stödja barn och eleverna i deras lärande).
  • Bilder och filmer där barn och elever kan identifieras behandlas bara om vårdnadshavarna (eller de äldre eleverna själva) har lämnat sitt samtycke.

EU:s dataskyddsförordning anger också vissa principer för hur personuppgifter får behandlas, bland annat att personuppgifter inte får behandlas längre än nödvändigt för att uppfylla ändamålen med behandlingen. I Vklass lagras personuppgifter så länge barnet/eleven har en plats i förskola eller skola i Botkyrka kommun.

Källor till personuppgifterna

  • Många personuppgifter överförs till Vklass från förvaltningens barn- och elevadministrationssystem. Av dessa uppgifter är det vissa som samlas in från de registrerade själva och vissa som kommer från Skatteverket, se rubriken ”Administrativa system” ovan.
  • Vissa personuppgifter registreras av personalen, exempelvis uppgifter om omdömen, provresultat och frånvaro.
  • Personuppgifter kan också lämnas av de registrerade själva i kommunikationen mellan elever, vårdnadshavare och personal samt i lärandeprocessen.

Utlämnande av personuppgifter
Personuppgifter kan ibland lämnas ut från Vklass. Framför allt följande mottagare är aktuella:

  • Elever och vårdnadshavare får del av de uppgifter som rör dem själva/deras barn. Exempelvis skickas automatiska veckorapporter om frånvaro till vårdnadshavarna.
  • Inloggning i många av de pedagogiska tjänster som används i Botkyrka kommun sker via Vklass, vilket innebär att leverantörerna av dessa tjänster får de uppgifter de behöver för att kunna identifiera dem som loggar in (vanligtvis namn, skola och eventuellt personnummer).
  • Viss information, t.ex. om frånvaro, hämtas från Vklass till elevadministrationssystemet.

Administrativa system
På utbildningsförvaltningen finns en rad administrativa verksamhetssystem där personuppgifter behandlas i större eller mindre utsträckning. Det är t.ex. Extens, PMO, Dexter, Visma IOF, HRM/Mitt jobb, Novaschem, UEDB, Urkund, Lex m.fl.

Generellt gäller att vi får behandla de personuppgifter som är nödvändiga för att uppfylla ändamålen med behandlingen. Det innebär att vi får använda systemen som det är tänkt och lägga in eller hämta den information vi behöver för olika arbetsuppgifter, men inte använda uppgifterna för något annat syfte. Vi får inte heller lagra information som inte är nödvändig.

Fritextfält
I många av systemen finns möjlighet att själv lägga in uppgifter i fritextfält. Det som är viktigt att tänka på då är:

  • Det är enbart i PMO som det är tillåtet att lägga in känsliga personuppgifter i fritextfält (t.ex. uppgifter om hälsa). Om du registrerar frånvaro får du t.ex. inte skriva att eleven varit sjuk, utan bara notera att eleven varit frånvarande och om frånvaron är giltig eller inte.
  • Du får fylla i nödvändiga personuppgifter, men inte överflödiga uppgifter som ”kan vara bra att ha”.
  • I Lex får du registrera namn på avsändare/mottagare av en handling i fälten för detta, men i handlingsrubriken får du enbart skriva initialer – inga hela namn, födelsedatum eller personnummer. (Själva handlingarna får och ska vi registrera precis som de är oavsett vilka uppgifter de innehåller.)


Behandling av personuppgifter utanför digitala system
Dataskyddsförordningens regler ska även tillämpas på behandling av personuppgifter som sker utanför digitala system om personuppgifterna ingår i eller kommer att ingå i ett register. Några exempel på personuppgiftsbehandling som omfattas är:

  • Kontaktlistor i Word eller motsvarande format
  • Excelfiler där det förekommer personuppgifter, oavsett om personuppgiftshanteringen är listans huvudsakliga syfte eller inte
  • E-postmeddelanden
  • Dokument med löpande text som diarieförs

Att dessa typer av dokument omfattas av dataskyddsförordningens regler innebär att du för att få hantera personuppgifter på de här sätten måste följa principerna för behandling av personuppgifter och att det måste finnas lagstöd för att behandla personuppgifterna (se första rubriken ovan). Det betyder bland annat:

  • Du behöver fundera på vilken av de lagliga grunderna för att behandla personuppgifter som du kan stödja dig på (se ”Lagliga grunder för personuppgiftsbehandling” ovan).
  • Om du hämtar personuppgifterna från exempelvis ett administrativt system får du inte använda uppgifterna för något annat syfte än de som systemet är tänkt för.
  • Om du samlar in personuppgifter från de registrerade ska du informera dem om varför du behöver behandla personuppgifterna, och du får inte vid något senare tillfälle använda dem till något annat.
  • Du får bara behandla de personuppgifter som är nödvändiga, och inte samla in eller spara uppgifter som kan vara ”bra att ha”.
  • När du inte längre behöver uppgifterna för det ursprungliga syftet ska de raderas.
Skriv ut
Senast uppdaterad: 28 juni 2018
Kommun & politik