Upphovsrätt och GDPR
Verksamheten i förskola och skola styrs av skollagen, läroplaner och kursplaner. Det finns också en mängd andra lagar och förordningar att förhålla sig till. Två områden som ofta är aktuella i pedagogiska sammanhang är upphovsrätt samt dataskyddsförordningen (GDPR).
I det pedagogiska arbetet uppstår exempelvis situationer där det är viktigt att känna till hur upphovsrätten fungerar. Det kan handla om att använda bilder i undervisningsmaterial eller om att visa film för barn eller elever.
Som pedagog ställs man också ofta inför frågor kopplade till dataskyddsförordningen. Bland annat kräver många digitala lärresurser en inloggning. Man kan också bli uppmanad att skapa en grupp eller en klass där man sedan lägger in barn eller elever. I dessa situationer är det viktigt att känna till vad som är en personuppgift samt hur man undviker att sprida dessa.
Dataskyddsförordningen (GDPR)
En personuppgift är en uppgift som på något sätt kan kopplas till en fysisk person. Exempel på personuppgifter:
- Personnummer
- Namn
- Foto
- Röst
- IP-adress
- e-postadress
Även annan typ av information kan vara en personuppgift om man med hjälp av anslutande uppgifter kan förstå vem det rör sig om.
En personuppgiftsbehandling är alla former av åtgärder som man kan tänkas göra med personuppgifter, exempelvis:
- Insamling
- Registrering
- Lagring
- Ändring
- Bearbetning
- Användning
- Utlämning
- Spridning eller tillhandahållande på annat sätt
Dina personuppgifter är en värdehandling
I den digitala världen kan man jämföra en personuppgift med en värdehandling.
När vi lämnar ifrån oss t.ex. vårt namn, vår adress, vårt personnummer etc. på nätet händer bland annat följande:
- Vi ger ifrån oss en uppgift som har ett värde för mottagaren
- Som privatperson tappar jag som regel kontrollen över hur mina uppgifter hanteras vidare
Det innebär i sin tur att bland annat följande kan hända:
- Det är inte ovanligt att den som registrerar dina personuppgifter använder dem för att kartlägga dig och tjäna pengar på denna kartläggning, t.ex. ditt köpbeteende, hur du rör dig geografiskt, vad du konsumerar på nätet o.s.v.
- Det är inte ovanligt att det handlas med personuppgifter - att tredje part köper dina personuppgifter för att t.ex. kunna rikta anpassad reklam till dig
- Det är inte ovanligt att kriminella på olika sätt försöker fiska upp dina personuppgifter för att göra olagliga saker med dem, t.ex. komma åt dina kontouppgifter för att kunna stjäla dina pengar
- Det är inte ovanligt att tredje part eller tom företrädare för främmande makt kan tänkas använda dina personuppgifter för att försöka påverka dina politiska eller religiösa åsikter och skicka riktad information till dig
Vem ansvarar för hur vi behandlar personuppgifter?
Som privatperson som finns på nätet ansvarar du själv för var du väljer att ge ifrån dig dina personuppgifter. Men när du arbetar tas detta ansvar över av den som är juridiskt "personuppgiftsansvarig".
Inom utbildningsförvaltningen är det våra nämnder; Barn- och utbildningsnämnden och Utbildnings- och arbetsmarknadsnämnden, som är personuppgiftsansvariga.
Viktigt skydda barn/elever, brukare och dig själv
Det innebär dock inte att du och jag kan agera som vi vill. Vi är ändå skyldiga att följa de anvisningar och riktlinjer som nämnderna beslutat om, och som till exempel tas upp på denna sida.
Den viktigaste anledningen att följa anvisningarna är att det innebär att vi gör vårt bästa för att skydda barn, elever, kollegor och oss själva från onödig exponering för risker.
Att oreflekterat ge ifrån och/eller på annat sätt behandla andras och sina egna personuppgifter kan leda till skada för dig och andra. Vi vill verka för att undvika att du eller andra lider skada av detta slag.
Som individ finns det några konkreta saker som du kan tänka på för att uppfylla rimliga krav på en lagenlig personuppgiftsbehandling:
Vilket är ändamålet med behandlingen?
Det mesta vi gör i förskola och skola har sin bakgrund i en lag eller en förordning.
Så länge vi sysslar med kunskapsdokumentation, betygsättning, skolmåltid, skolskjuts etc. så har vi ett godkänt ändamål för personuppgiftsbehandling.
Det finns ett antal andra godkända ändamål, men som regel utgår vi inom utbildningssektorn från ändamålet "rättslig grund".
Rent konkret innebär det t.ex. att vi inte är skyldiga att informera den registrerade om att vi behandlar deras personuppgifter, att hen ej kan begära att de raderas etc.
Vilket är syftet med behandlingen?
Förutom ändamålet är det bra att fundera lite över varför jag gör just den enskilda behandlingen. Om du t.ex. skapat ett register över eleverna i en grupp har du kanske gjort det med syftet att registrera deras kunskapsutveckling på något sätt.
När du kommit fram till ett syfte så måste du enligt lagen hålla dig till det, och inte använda de insamlade uppgifterna till något annat än det ursprungliga syftet. Man ska undvika vad lagen kallar för uppgiftsglidning.
Inte ta in mer personuppgifter än vad som behövs
När du kommit fram till ett syfte bör du även fundera över hur många personuppgifter du behandlar. Använder du verkligen alla insamlade uppgifter till något? Fyller de en uppgift?
Gör du inte det bör de ej samlas in. Det är ej tillåtet att samla på sig uppgifter bara för att de är eller kan komma att vara "bra att ha". Detta kallas ur lagens perspektiv för uppgiftsminimering.
Inte lagra personuppgifter längre än vad som behövs
När vi behandlar personuppgifter är det viktigt att radera dem om vi inte längre använder dem till det ursprungliga syftet.
Någon gång om året rekommenderas du att titta igenom dina dokument och radera de som innehåller personuppgifter och som du inte längre använder - elevlistor från en undervisningsgrupp du inte längre träffar, bilder på elever, klassfoton o.s.v.
Inte spara känsliga personuppgifter
Känsliga personuppgifter är en särskilt kategori uppgifter som anses kunna orsaka särskild skada om de läcker ut eller registreras. Det handlar bland annat om uppgifter om politisk åsikt, religiös åsikt, etnicitet, funktionshinder, hälsa, facklig tillhörighet, sexualitet, DNA, biometriska uppgifter o.s.v.
Grundregeln är att inte registrera denna typ av personuppgifter alls.
Det finns dock enskilda undantag från detta i vår verksamhet. Det handlar om verksamheter som har en uppgift som inte går att utföra om en viss typ av känsliga uppgifter registreras.
Det kan till exempel handla om modersmålsenheten, som måste registrera en elevs modersmål för att kunna uppfylla sin uppgift eller skolmåltidspersonal som måste kunna registrera matallergier för att kunna ta tillvara barns och elevers intressen.
Inte sprida personuppgifter
Tänk på att inte sprida de personuppgifter du hanterar till obehöriga. Publicera exempelvis inte personuppgifter utan samtycke.
Eftersom barn kan ha svårare att förstå risker med att lämna ifrån sig personuppgifter anses deras uppgifter vara särskilt skyddsvärda. Integritetsskyddsmyndigheten ger vägledning och råd för skolor och förskolor.
Finns det ett biträdesavtal med den tjänst/app jag vill använda
Den personuppgiftsansvarige (d.v.s. våra nämnder) är enligt lag skyldig att upprätta avtal med varje leverantör av en digital tjänst (t.ex. Vklass, Office 365 etc) eller en applikation (t.ex. Vklass-appen, appar i lokal appstore) om hur de får hantera personals och barns/elevers personuppgifter. Denna typ av avtal kallas för personuppgiftsbiträdesavtal (eller kort: biträdesavtal).
Om ett sådant avtal inte finns med en tjänst eller en app som behöver matas med personuppgifter för att fungera, får tjänsten som regel ej användas.
I jönköpings kommun arbetar vi med att skapa överenskommelser och avtal med olika leverantörer av appar och tjänster utifrån gällande lagstiftning. Vi arbetar med följande nivåer:
OK att använda
Dessa appar och tjänster har bedömts vara okej att använda. Ett personuppgiftsbiträdesavtal med leverantören finns om sådant behövs (d.v.s. om appen/tjänsten behandlar personuppgifter).
OK att använda med anvisningar
Vissa appar har bedömts vara okej att använda om man följer anvisningar.
Nekad
Att en app/tjänst är nekad kan till exempel bero på att leverantören inte alls vill teckna något personuppgiftsbiträdesavtal med Jönköpings kommun även om appen/tjänsten kräver personuppgifter för att fungera. Vi kan alltså inte använda den och samtidigt uppfylla lagen. Det kan också vara så att appen/tjänsten innehåller reklam.
Vilka appar/tjänster får jag använda? (för anställda i jönköpings kommun)
Lär dig mer om personuppgifter och hur de ska hanteras via Sveriges kommuner och landsting (SKR). De har en grundutbildning i GDPR och en avdelning där de svarar på vanligt förekommande frågor.
Skolverket informerar på sin webbplats om att dataskyddsförordningen gäller som lag i Sverige och att det innebär att dataskyddsförordningen är överordnad skollagen i de delar som gäller just persondataskydd. Skolverket hänvisar till Integritetsskyddsmyndigheten (IMY) för vägledning kring GDPR.
- Publicerad: 19 okt 2022
- Senast uppdaterad: 29 apr 2024