2003-10-10
Riktlinjer för behandling av personuppgifter inom skolans område
När är PuL tillämplig ?
Personuppgiftslagen, PuL, är tillämplig när det är fråga om behandling av personuppgifter.
Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Lagen är alltså inte tillämplig på uppgifter om juridiska personer, t ex bolag och föreningar
Behandling av personuppgifter avser varje åtgärd som vidtas i fråga om personuppgifter t ex insamling, registrering, lagring, bearbetning, användning, översändande, sammanställning.
Lagen är tillämplig såväl på automatiserad behandling av personuppgifter som på viss manuell behandling av sådana uppgifter.
PuL är automatiskt tillämplig då personuppgifter databehandlas, även om det är fråga om behandling av endast enstaka personuppgifter t ex namn i löpande text. Vad gäller manuell behandling är PuL tillämplig bara om uppgifterna ingår i en strukturerad samling av
personuppgifter, som är tillgängliga för sökning enligt minst två kriterier. Man kan säga att det krävs någon form av register.
Lagen är inte tillämplig på privat behandling av personuppgifter, t ex en privat adressbok.
Utlämnande av handlingar är behandling i PuL´s mening men PUL ska inte tillämpas om det skulle innebära inskränkning i skyldigheten att lämna ut allmänna och offentliga handlingar.
PuL är inte tillämplig på behandling av personuppgifter som sker uteslutande för journalistiskt ändamål eller för konstnärligt eller litterärt skapande.
Inom skolans område
Inom skolans område är PuL tillämplig främst i följande situationer:
1. personuppgifter om elever behandlas för elevadministrativa ändamål
2. lärare behandlar personuppgifter om elever, t ex genom att föra minnesanteckningar och upprätta underlag för utvecklingssamtal och åtgärdsprogram
3. personuppgifter om elever publiceras på skolans webbplats på Internet, t ex klasslistor, foton
4. elever publicerar personuppgifter på Internet.
De personuppgifter som behandlas är i huvudsak elevers namn, adress, personnummer, telefonnummer, klass samt anhörigas namn och telefonnummer.
PuL är tillämplig även när läraren utför sitt arbete hemifrån oavsett om han/hon använder skolans eller sin privata dator.
Grundläggande krav på behandling av personuppgifter Den som är personuppgiftsansvarig ska enligt 9 § PuL se till att a) personuppgifter behandlas bara om det är lagligt,
b) personuppgifter alltid behandlas på ett korrekt sätt,
c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, d) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket
uppgifterna samlades in
e) de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen
f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,
g) de personuppgifter som behandlas är riktiga och aktuella, h) felaktiga eller ofullständiga uppgifter rättas eller utplånas,
i) personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
De grundläggande kraven innebär bl a att läraren får behandla bara sådan personuppgifter som han/hon behöver för sitt arbete.
En skola måste vid behov kunna kontakta en elevs föräldrar eller vårdnadshavare. Att
behandla uppgift om förälders namn får därför anses relevant i förhållande till ändamålet med behandlingen, dvs elevadministration. Däremot kan det inte anses nödvändigt med hänsyn till ändamålet att behandla föräldrars personnummer eller syskons namn och personnummer.
Vad gäller bevarande av personuppgifter ankommer det på skolstyrelsen (eller motsvarande) att i sin dokumenthanteringsplan ange hur länge uppgifter (dokument) ska bevaras. Här förekommer tre kategorier av dokument:
1. dokument i elevvårdsärenden – sparas för evigt.
2. elevakter med okontroversiella uppgifter, t ex löpande anteckningar som läraren för i samband med utvecklingssamtal, betygssättning osv – gallras vid inaktualitet (vilket är olika i olika situationer)
3. dokument inom speciell verksamhet såsom SYO-konsulentverksamhet – sparas elevvis tills eleven lämnar skolat
(Frågor angående dokumenthanteringsplaner besvaras av stadsarkivarien Rolf Sjögren).
När är behandling av personuppgifter tillåten ?
Enligt huvudregeln i 10 § PuL får personuppgifter inte behandlas utan samtycke av den registrerade.
I nedan angivna situationer a)-f) får dock personuppgifter behandlas även utan samtycke om det är nödvändigt för att
a) ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas
Hit hör behandling av personuppgifter om anställda, eftersom rättsförhållandet med de anställda bygger på anställningsavtal.
Andra exempel på tillåten behandling enligt denna punkt är fakturering, förande av
kundregister, kreditupplysning och kontroll av att den registrerade har nödvändiga tillstånd.
b) den personuppgiftsansvarige ska kunna fullfölja en rättslig skyldighet
Denna undantagsregel blir ofta tillämplig inom skolans område. Undantaget avser rättsliga skyldigheter som grundar sig på lagar, förordningar och myndighetsbeslut. Hit hör skollagen.
Det är alltså möjligt att utan samtycke behandla elevers personuppgifter, om det behövs för att skolan ska kunna fullgöra skyldigheter enligt skollagen t ex att sätta betyg.
Elevadministration över huvud taget anses falla under denna undantagsregel.
Även lärares minnesanteckningar får anses ligga inom ramen för den rättsliga skyldigheten enligt undantagsregeln. Det gäller åtminstone om minnesanteckningarna används för t ex betygssättning, utvecklingssamtal, underlag för beslut i elevvårdsärenden mm. Med andra ord för att utföra rättsliga skyldigheter.
Det är även möjligt att behandla personuppgifter om de anställda för att t. ex. kunna fullgöra den rättsliga skyldigheten att redovisa sociala avgifter för dessa.
c) vitala intressen för den registrerade ska kunna skyddas
Ett exempel som faller under denna bestämmelse är att personuppgifter om den som plötsligt blivit sjuk och förlorat medvetandet behöver behandlas för att underrätta de anhöriga.
d) en arbetsuppgift av allmänt intresse ska kunna utföras
Hit hör exempelvis arkivering, framställning av statistik och opinionsundersökningar avseende samhällsfrågor.
e) den personuppgiftsansvarige ska kunna utföra en arbetsuppgift i samband med myndighetsutövning
f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
Enligt denna undantagsregel får man göra en avvägning mellan olika intressen.
Regeln är tillämplig t ex när en idrottsförening begär att få ut allmän handling i form av klasslistor på samtliga elever i skolans tredje klasser för att kunna skicka ut information om föreningen till eleverna i syfte att värva nya medlemmar.
Att lämna ut klasslistan i form av papperskopia är förenligt med PuL. Ska listan däremot lämnas digitalt måste myndigheten från fall till fall göra en bedömning om föreningens (i exemplet) intresse av att få behandla personuppgifterna väger tyngre än elevernas intresse av att inte behöva besväras av informationen. Det troliga är att föreningens intresse väger över i det nämnda exemplet.
Lämna inte ut personuppgifter om elev som har skyddad identitet. Ej heller personummer ! (Se sidan 5-6 nedan).
Särskilda regler om känsliga personuppgifter
Enligt 13 § PuL är det förbjudet att behandla känsliga personuppgifter. Känsliga personuppgifter är uppgifter som avslöjar
a) ras eller etniskt ursprung b) politiska åsikter
c) religiös eller filosofisk övertygelse d) medlemskap i fackförening
e) uppgifter som rör hälsa och sexualliv
Inom skolans område är det främst uppgifter om elevers hälsa t ex allergier och om elevers etniska ursprung som är att hänföra till känsliga uppgifter. Uppgift om en elevs modersmål kan i vissa fall utgöra en uppgift om etniskt ursprung och på den grunden vara känslig.
Känsliga personuppgifter får enligt huvudregeln inte behandlas för elevadministrativa ändamål.
Känsliga personuppgifter får dock behandlas dels om den registrerade har lämnat sitt uttryckliga samtycke och dels om den registrerade själv på ett tydligt sätt har offentliggjort uppgifterna.
Exempel på offentliggörande är när en person avslöjar sin religionstillhörighet genom sin klädsel.
I 16-19 §§ PuL anges de undantagsfall då behandling av känsliga personuppgifter är tillåten utan samtycke. För skolans del kan följande situationer vara aktuella:
1. Behandligen är nödvändig för att
a) den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, t ex följa kollektivavtal
b) den registrerades eller någon annans vitala intressen ska kunna skyddas och den registrerade inte kan lämna sitt samtycke
c) rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras
Med ”rättsligt anspråk” avses en specifik situation t ex när någon för talan inför domstol för att få sitt anspråk prövat. Undantaget kan inte åberopas när skolan fullgör sina generella skyldigheter enligt skollagen.
Exempel på tillämpning av punkt c) utgör det fallet att det är nödvändigt att behandla uppgift om en elevs modersmål för att elevens rättsliga anspråk på att få undervisning i modersmålet ska kunna fastställas eller göras gällande. Undantagsregeln är tillämplig även när uppgiften
om modersmål behandlas för att administrera sådan beviljad undervisning. Under nämnda omständigheter krävs alltså inget samtycke till behandlingen.
2. Behandling av känsliga personuppgifter för hälso- och sjukvårdsändamål får med stöd av 18 § PuL ske utan samtycke, om behandlingen är nödvändig för
förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård.
Nämnda regel samt lagen (1998:544) om vårdregister gör det möjligt att utan samtycke behandla personuppgifter inom elevhälsovården.
Undantagsegeln omfattar däremot inte behandling av personuppgifter hos skolpsykolog och - kurator.
3. Känsliga personuppgifter får enligt 19 § PuL behandlas för forskning och statistik om samhällsintresset klart väger över risken för otillbörligt intrång i den enskildes personliga integritet.
Utöver ovan angivna undantag får enligt 8 § personuppgiftsförordningen (SFS 1998:1191) känsliga personuppgifter behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Detta innebär att känsliga uppgifter, såsom skolpsykologens eller skolkuratorns anteckningar, får behandlas i ärende om t ex upprättande av åtgärdsprogram eller andra stödåtgärder eller ärende om skolskjuts.
Om det däremot inte är fråga om ärendehandläggning utan t ex om anteckningar för allmän elevvårdsplanering, registerhantering för skolskjuts, anteckningar om specialkost, allmän elevadministration etc eller lärares planerings- och minnesanteckningar, finns inget författningsstöd för att behandla känsliga personuppgifter.
De möjligheter att behandla känsliga personuppgifter som då återstår är att inhämta samtycke eller att behandla uppgifterna manuellt (dock inte i register som är sökbart på minst två kriterier som avser personuppgifter).
Personnummer
Personnummer får, enligt 22 § PuL, behandlas utan samtycke endast om det är klart motiverat med hänsyn till
a) ändamålet med behandlingen b) vikten av en säker identifiering c) något annat beaktansvärt skäl.
Detta innebär att personnummer får utan samtycke användas för elevadministration, eftersom det är nödvändigt bl a på grund av vikten av en säker identifiering, t ex för administration av elevhälsovård och betygssättning.
Personnummer bör dock inte skrivas på klasslistor som tas ut för den allmänna, löpande administrationen av klasserna och deras aktiviteter.
Elevadministrativa register får heller inte innehålla uppgifter om föräldrars eller syskons personnummer.
Behandling av personuppgifter på Internet
Det är förbjudet att utan samtycke publicera personuppgifter på Internet.
Undantag gäller om publiceringen är nödvändig för att:
1. ett avtal mellan den registrerade och den personuppgiftsansvarige ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas.
T ex när en resebyrå beställer en resa och bokar hotell utomlands åt en person.
2. avtal i den registrerades intresse ska kunna ingås eller fullgöras mellan den personuppgiftsansvarige och tredje man
T ex lämna adressuppgift vid förmedling av blommor eller postförsändelse till någon utomlands.
3. rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras 4. vitala intressen för den registrerade ska kunna skyddas.
Vidare gäller att publicering på Internet kan ske utan samtycke om uppgifterna är harmlösa.
Uppgifter om elevs namn, klass och e-postadress till skolan anses normalt harmlösa. Däremot kan uppgifter om t ex hemadress, telefonnummer och elevens foto inte anses som harmlösa.
En gruppbild där det går att identifiera en person är att betrakta som en personuppgift.
Samtycke krävs därför innan en sådan bild publiceras på Internet.
Samtycke
När samtycke krävs för behandling av personuppgifter ska detta inhämtas från
vårdnadshavaren, när det är fråga om ett barn som inte nått sådan mognad att barnet självt kan tillgodogöra sig information om vad en behandling innebär och som faktiskt kan avge ett frivilligt samtycke. När denna mognadsålder inträffar varierar från individ till individ.
Tonåringar torde som regel ha uppnått sådan mognad.
Ett samtycke behöver inte vara skriftligt, men det ska ha lämnats frivilligt, särskilt och informerat, d.v.s. lämnats efter det att information om behandlingen getts. Samtycket ska också vara en otvedydig viljeyttring.
Samtycke bör inhämtas skriftligen när detta är möjligt.
Personuppgiftsansvarig
Personuppgiftsansvarig kan vara en fysisk person, en juridisk person eller en myndighet. Flera kan vara gemensamt personuppgiftsansvariga för viss behandling. För behandling av
personuppgifter hos juridiska personer är det normalt den juridiska personen själv som är personuppgiftsansvarig och inte någon anställd eller chef.
För behandlingen av personuppgifter i en kommunal skola är det myndigheten, i vår kommun barn- och ungdomsnämnden, gymnasienämnden respektive arbetmarknads- och vuxenutbild- ningsnämnden som är personuppgiftsansvarig för behandlingen av personuppgifter inom sina respektive verksamheter och inte någon enskild befattningshavare.
Brott mot PuL kan leda till såväl skadestånds- som straffansvar. Skadeståndsansvar för skador som behandling av personuppgifter i strid med PuL har orsakat åvilar i kommunala skolor den juridiska personen, dvs kommunen. Straff kan bara ådömas fysiska personer.
Personuppgiftsombud
Den personuppgiftsansvarige kan utse ett personuppgiftsombud som har till uppgift bl a att kontrollera att behandlingen av personuppgifterna är i överensstämmelse med PuL.
Även om det finns ett personuppgiftsombud är det den personuppgiftsansvarige som har det yttersta ansvaret.
Personuppgiftsombudet ska föra förteckning över de behandlingar som den
personuppgiftsansvarige genomför med angivande av ändamålet med behandlingen.
Personuppgiftsombud för barn och ungdomsnämnden, gymnasienämnden inklusive gymnasieintagningen samt arbetsmarknads- och vuxenutbildningsnämnden är Peter Gustafsson utbildningskontoret.
Information
Den vars personuppgifter behandlas måste informeras om behandlingen. Information ska lämnas om den personuppgiftsansvariges identitet, vilka personuppgifter som samlas in och vad uppgifterna ska användas till. Information ska också lämnas om att den registrerade har rätt att ansöka om information och begära rättelse av felaktiga uppgifter. Det är lämpligt att ett informationsblad delas ut till samtliga vårdnadshavare och elever vid läsårets början.
Mer om PuL
Den som vill läsa mer om PuL kan gå in på Datainspektionens hemsida www.datainspektionen.se.
Siv Lejefors
stadsjurist och samordnare
för kommunens personuppgiftsombud
