GDPR och hantering av personuppgifter


På varje grundskola hanteras dagligen personuppgifter för att kunna utföra skolans uppdrag och ge eleverna det stöd de behöver. Även på huvudmannanivå utförs daglig personuppgiftshantering. För att kunna värna elevernas och vårdnadshavarna rätt till integritet och trygghet ska varje rektor och varje medarbetare på skolorna medvetet hantera personuppgifter enligt dessa riktlinjer.

Inom Centrinas verksamhet används även olika digitala tjänster. Dessa hanteras för exempelvis administration, köhantering, bedömningar och lektionsplaneringar, men även som stöd direkt i det pedagogiska arbetet. Som en del i detta samlar vi in och lagrar information om elever, till exempel namn, personnummer och kontaktinformation. Vi registrerar även information i våra system, till exempel pedagogiska planer, bedömningar och betyg samt medicinsk information inom ramen för skolornas elevhälsoarbete.

Det är viktigt för oss att vi hanterar information på ett tryggt och ansvarsfullt sätt. Vi har tagit fram riktlinjer för hur vi hanterar personuppgifter och hur vi arbetar med bl a personuppgifter och digitala tjänster.

Personuppgifter

Så fort en uppgift, direkt eller indirekt, kan leda fram till en individ kan det vara en personuppgift. Det kan exempelvis vara namn, adress, personnummer, ljudupptagning, IP-nummer eller porträtt. Vår hantering och lagring av personuppgifter regleras i EU:s dataskyddsförordning GDPR. Huvudmannen är personuppgiftsansvarig för verksamheten. Om du har frågor kring vår behandling av dina uppgifter är du välkommen att ta kontakt med personuppgiftsansvarig via Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den..

Vill du ha ett registerutdrag, rättelse eller radering av dina personuppgifter så ska du vända dig till personuppgiftsansvarig. Man har också rätt att vända sig till Integritetsskyddsmyndigheten med klagomål om man anser att personuppgifterna behandlats på ett felaktigt sätt av ett företag eller en myndighet.

Lagliga grunder för hantering:

·         Inhämta samtycke från den registrerade, i möjligaste mån och med förtydligande om att samtycke kan återkallas utan att det är till nackdel för den som väljer det. 

·         Säkerställ att uppgiftsbehandlingen är nödvändigexempelvis som ett led i att fullgöra ett avtal mellan verksamheten och den uppgifterna avser såsom fullgörande av anställningsavtalet eller annan överenskommelse med en anställd.

·         Uppgiftsbehandlingen kan vara nödvändig för att en verksamhet ska kunna fullgöra en rättslig förpliktelse som följer av de lagar som reglerar verksamheten beträffande skolpliktsansvar, försäkringar, arbetsmiljöansvar och liknande eller kollektivavtal på en arbetsplats.

·         Laglig grund är också hantering av uppgifter i syfte att skydda fysisk persons liv och hälsa.

·         Behandling som behövs för att fullgöra arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning.

·         Laglig grund är också den behandling av uppgifter som behövs för att tillgodose ett berättigat intresse hos verksamheten om detta intresse väger tyngre än den registrerades integritet. Uppgifter om elevers/personals anhöriga kan till exempel behövas för att säkerställa kontakt i händelse av olycka eller sjukdomstillbud exempelvis. 

Känsliga uppgifter

Viss information som vi samlar in kommer vi att dela till dem som behöver känna till dessa uppgifter inom vår organisation, exempelvis information om allergier eller beslut om anpassningar av undervisningen.
Våra skolors medicinska arbete inom elevhälsan är separerad från den pedagogiska verksamheten och regleras bland annat av hälso- och sjukvårdslagen. Det innebär att övrig personal på skolan inte har tillgång till den information och de personuppgifter som hanteras inom denna verksamhet.

Molntjänster

Vi använder oss av digitala tjänster som kallas molntjänster, bl a i form av Google Workspace for Education och eleverna har Chromebooks. För att garantera att personlig information inte sprids vidare har vi tecknat avtal med leverantörerna av molntjänster, så kallade personuppgiftsbiträdesavtal. Enligt avtalet får leverantörerna inte dela med sig av våra användares personuppgifter och material till tredje part.

När en elev slutar hos oss

Om eleven vill behålla sitt material efter din utbildning måste eleven själv föra över det till ett privat konto eller egen lagringsplats. Användarkontot inaktiveras i samband med att eleven lämnar utbildningen och datan raderas en månad efter detta. Det gäller även material som lagras hos våra leverantörer (inklusive molntjänster som till exempel Google Workspace for Education). Viss administrativ information, till exempel betyg och nationella provresultat, lagras även efter utbildningens slut för att uppfylla kraven kring myndighetsutövning. Registrerade kontaktuppgifter till vårdnadshavare som gått på skolan sparas i syfte att kunna avgöra eventuell syskonförtur.

Att tänka på

·         Dataskyddsförordningen är en rättighetslagstiftning som stärker individens rättigheter.

·         Elevernas och vårdnadshavarnas personuppgifter är deras, vi lånar dem bara.

·         Vi ska enbart använda de personuppgifter som vi verkligen behöver för det aktuella syftet.

·         Vi ska i så liten utsträckning som möjligt hantera (samla in, lagra och sprida) känsliga personuppgifter.


Begrepp och ansvarsområden

Personuppgiftsansvarig

För Centrinas skolor är huvudmannen för skolorna som är personuppgiftsansvarig för behandlingen av elevernas och vårdnadshavarnas personuppgifter.

Dataskyddsombud

För Centrinas grundskolor är rektor på respektive skola dataskyddsombud och har tillsynsansvaret för hanteringen av elevernas och vårdnadshavarnas personuppgifter. Dataskyddsombudet har också rapporteringsansvar till Integritetsskyddsmyndigheten vid personuppgiftsincidenter. Ombudet arbetar på uppdrag av huvudmannen och återkopplar direkt till huvudmannen.

Personuppgiftsbiträde

Den externa part som behandlar elevernas eller vårdnadshavarnas personuppgifter på uppdrag av Centrina blir ett så kallas personuppgiftsbiträde. För denna part ska det finnas ett personuppgiftsbiträdesavtal upprättat. I det regleras vad den externa parten får göra med personuppgifterna. Där Centrinas skolor har ramavtal med extern part (till exempel Skola24 och skolfotoföretaget Exakta Photo) ligger ansvaret på huvudmannen för att ett korrekt personuppgiftsbiträdesavtal upprättats.

Tredjepartsappar

Med en tredjepartsapp avses en app som laddas ner till en dator, surfplatta, Chromebook eller ett annat tekniskt hjälpmedel. Denna app kan hämta eller läsa information från en annan redan installerad app och i vissa fall från en annan mjukvara eller annat systeminnehåll. Med digitala lärtjänster avses de olika webbaserade tjänster som används i undervisningen eller för att följa elevernas kunskapsutveckling.

För att trygga elevernas personuppgifter vid användning av tredjepartsappar eller digitala lärtjänster finns det behörighetsbegränsningar för vilka som kan installeras via Google. De appar som grundskolorna kan välja mellan är granskade och godkända av den personuppgiftsansvariga. Endast godkända tredjepartsappar får användas som en del i undervisningen. 

Personuppgiftsincident

En personuppgiftsincident är en händelse där vi oavsiktligt förlorat, ändrat eller delat med oss av personuppgifter till någon obehörig. Exempel på personuppgiftsincidenter är när ett mail med integritetskänsliga personuppgifter om en elev har skickats till fel person eller ett misstänkt intrång skett i exempelvis Skola24. När en personuppgiftsincident har inträffat ska huvudmannen omgående informeras och incidenten ska anmälas till dataskyddsombudet (rektor). Rektor ansvarar för dokumentation och eventuell rapportering till Integritetsskyddsmyndigheten (inom 72 timmar från att incidenten identifierats). Vid behov informeras vårdnadshavare och elever om vad som skett och vilka åtgärder som vidtagits.

Dataskydd i specifika IT-system

Vilka personuppgifter hanterar vi?

När vi analyserat vilka personuppgifter vi hanterar så har vi kommit fram till följande:

adress, e-post, grupp (skola, klass, gruppindelning), IP-adress, namn, personnummer, telefonnummer, inloggningsuppgifter (användarnamn/lösenord), loggdata, foton/film, modersmål, planeringar, närvaro, pedagogiska bedömningar/matriser, extra anpassningar, åtgärdsprogram, resultat nationella prov, medicinska journalanteckningar, elevhälsoteamets anteckningar och specialpedagogiska behov, elevhälsans testmaterial och utredningar egenvård, medicinska behandlingsscheman, orosanmälningar till socialtjänst, specialkost, dokumentation utvecklingssamtal, kommunens utbetalningsunderlag, ersättning/skolpeng, klagomålsärenden, uppföljningar/analyser, disciplinära åtgärder, utvärderingar, inlämnade uppgifter, återkoppling pedagogisk progress, diskriminering/kränkande behandling, incidenter/tillbudsrapport, betyg.

Elevkö

I samband med att man anmäler sitt barn till skolans elevkö samtycker man till att de personuppgifter man registrerat sparas under tiden som barnet står i kö, Eleverna tas in i åk 6 och även löpande ifall vakanser uppstår. Man kvarstår som sökande till dess att barnet ej längre har en ålder som motsvara åk 9, som är Centrinas sista skolår. I samband med att den aktuella årskursen gått ut grundskolan raderas personuppgifterna. Vårdnadshavare kan genom att maila Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den. få sina angivna personuppgifter raderade i förtid.

Externa parter som vi delar personuppgifter med:

Statistiska centralbyrån: betyg, resultat nationella prov, namn, personnummer, modersmål, lärares undervisningsämnen.

Kommun/socialtjänst: Elevförändringar, skolpliktsbevakning, orosanmälningar.

Kommunarkiv: Betyg, Namn, Personnummer.

Exempel på externa parter som vi har personbiträdesavtal med:

·         Skola24 (Närvaro, schema)

·         Google

·         Exakta (skolfoto)

·         PMO

Centrinas Intranät

Skolans Intranät är ett digitalt system för personal, elever och vårdnadshavare. Programmet är webbaserat och kan användas när som helst under dygnet med en dator, läsplatta eller mobiltelefon som har internetuppkoppling. Inom Centrina är Intranätet källsystem för personuppgifter och kontoskapande.

Tillträde till systemet har den som behöver det i sin yrkesroll plus elever och vårdnadshavare. Tillträde till de olika delarna i systemet tilldelas utifrån behov och definieras som roller. Rektor har det övergripande ansvaret för hur systemet används på enheten.

Följande delar finns att tillgå i Intranätet:

·         register över elever, vårdnadshavare och personal

·         kalenderfunktion

·         länkar till epost, schema- och frånvarosystem

·         planeringar och arbetsuppgifter/prov

·         allmän information

Riktlinjer för fritextfält

Fritextfälten i de system vi använder får inte användas för att registrera andra uppgifter än vad fälten är till för. När fritextfunktioner används ska personal uttrycka sig professionellt och sakligt till den aktuella frågan, rättvist och i övrigt i överensstämmelse med likabehandlingsplanen, god etik samt gällande lagar och förordningar. Integritetskänsliga eller känsliga uppgifter och kränkande uttalanden får inte förekomma.  Vid registrering av frånvaro får inga fritexter användas.

Profdoc Medical Office (PMO)

Elevhälsan använder Profdoc Medical Office, PMO, vilket är ett elektroniskt dokumentationssystem som stödjer hanteringen av medicinska journaler, psykologiska journaler och ärendedokumentation i elevakten. PMO är CE-certifierat som en medicinteknisk produkt och samma system som exempelvis Göteborgs stad använder. Behörighet att logga in i medicinsk journal har legitimerad sjuksköterska och legitimerad skolläkare. Tvåfaktorsautentisering tillämpas.

Elevhälsans medicinska insats erbjuder hälsobesök, vaccinationer och öppen mottagning som dokumenteras i den medicinska journalen. Elevhälsans medicinska insats tillämpar bestämmelsen om skyldighet att föra medicinsk patientjournal enligt patientdatalagen. Det innefattar dokumentation av personuppgifter och uppgifter om upplevelse av skolsituation och inlärning, trivsel, kamratrelationer, hälsa, sjukdom, utveckling inlärningssvårigheter, matvanor, fysisk aktivitet samt social situation och vaccinationsstatus. 

Elevhälsans psykosociala och specialpedagogiska insatser dokumenteras vid behov löpande i elevhälsoarbetet och elevhälsan arbetar individuellt och i grupp med elever på elevhälsans uppdrag. Exempel på det som dokumenteras är personuppgifter, uppgifter som är relevanta i utredningar om upplevelse av skolsituation, inlärning, testresultat, kamratrelationer, psykisk hälsa, utveckling, inlärningssvårigheter, matvanor, fysisk aktivitet samt social situation liksom dokumentation av överenskommelser med elev, pedagog/elevhälsa, vårdnadshavare, insatser som utförts och utvärdering av dessa insatser.