Av:Bosse Andersson
E-Post:bosse.andersson@utbildning.lerum.se

Datainspektionen granskar skolor

Skolorna och PuL, personuppgiftslagen, är en ständigt aktuell fråga. I flera artiklar har vi tagit upp PuL i anslutning till elevers och skolors webbpublicering.
Men det handlar också om vilken elevinformation lärarna behandlar på sina datorer, vilka uppgifter som finns hos skoladministrationen. Och vem är egentligen ansvarig?

Läser man tidningar och ser på tv verkar det som om alla skolor bryter mot PuL och hos Datainspektionen har telefonerna stundtals gått varma. De har fått många frågor och en hel del klagomål kring hur skolor sköter sin behandling av personuppgifter.

För att undersöka hur det i realiteten såg ut på skolorna genomförde Datainspektionen en granskning av 39 slumpvis valda kommuner och grundskolor. Att det finns stora brister i hur PuL följs i skolorna är uppenbart, konstaterar Datainspektionen. Men påpekar också att det är viktigt att framhålla att det finns skolor som följer lagstiftningen.

– Till stor del handlar problemen om okunskap, säger Catarina Sjölin jurist på Datainspektionen och ansvarig för granskningen.

– En tänkbar orsak till detta kan vara att ansvarsfördelningen i många skolorganisationer är oklar. En annat skäl till okunskap är att på vissa skolor är datormognaden låg. Använder man datorer i liten utsträckning så har inte frågorna kring PuL aktualiserats,

ansvaret politiskt
I en kommun är normalt både kommunstyrelsen och de kommunala nämnderna — personuppgiftsansvariga, var och en i sin verksamhet. Personuppgiftsansvarig är alltså en juridisk person.

– Det är politikerna i en nämnd som har ansvaret för att PuL följs. Det är de som kan åtalas för brott mot lagen, säger Catarina Sjölin. De har också ett skadeståndsansvar, vilket innebär att en elev som anser sig kränkt genom att en skola inte följt PuL kan kräva ersättning för den skada som uppkommit.

Personuppgiftsombud är däremot en fysisk person. I Lerums kommun där jag har min arbetsplats är det nämndsekreterarna som är personuppgiftsombud och som har till uppgift att se till att de olika verksamheterna inom respektive förvaltning följer PuL.

– Ombudet ska vara en person som har en självständig roll, det är ett tjänstemannauppdrag. Men den personuppgiftsansvarige, det vill säga politikerna, har alltid det yttersta ansvaret, även om det finns ett utsett ombud, berättar Catarina Sjölin.

Det är frivilligt att ha ett personuppgiftsombud. Tanken är att personuppgiftsombudet ska vara en tillgång för den personuppgiftsansvarige när det gäller integritetsskydd vid behandling av personuppgifter. Ombudet har bland annat till uppgift att kontrollera den personuppgiftsansvariges behandling av personuppgifter, att föra förteckning över behandlingar och att hjälpa registrerade att få rättelse. Vid behov ska ombudet samråda med Datainspektionen.

Datainspektionen anser att de som är personuppgiftsansvariga måste bli bättre på att nå ut i sina organisationer med information om vem som är ansvarig och vilka regler som gäller då personuppgifter behandlas i skolan. Av de 29 skolor som besvarade Datainspektionens enkät har endast åtta skolor angett korrekt personuppgiftsansvarig.

känsliga uppgifter
Enligt PuL definieras känsliga personuppgifter som sådana som kan avslöja ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller personuppgifter som rör hälsa och sexualliv. Huvudregeln är att det är förbjudet att behandla känsliga uppgifter om inte den registrerade har lämnat sitt samtycke.

Flera skolor bryter mot detta enligt granskningen, i huvudsak handlar det om uppgifter om elevers hälsa till exempel allergier. Även registrering av elevers modersmål, som kan vara en uppgift om elevers etniska ursprung, förekommer. Men om detta krävs för att eleverna ska få rätt till lagstadgad modersmålsundervisning behöver man inte ha inhämtat elevernas samtycke.

elevens familj
I en del skolor finns elevernas samtliga familjemedlemmar registrerade och deras personnummer. Skolorna har förklarat det med att de automatiskt får uppgifterna från kommunregistret när skolan hämtar uppgifter om sina elever. Datainspektionen anser att en skola måste kunna kontakta en elevs föräldrar eller vårdnadshavare och då behövs deras namn. Däremot får personnummer bara registreras om föräldern godkänt detta.

Elevernas personnummer – de sista fyra siffrorna – får endast behandlas om eleven eller vårdnadshavaren gett sitt samtycke eller om det är motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

lärares behandling av personuppgifter
Datainspektionens granskning visar att lärarna i de undersökta skolorna i liten utsträckning behandlar uppgifter om elever digitalt. De flesta använder traditionella ”lärarkalendrar” för minnesanteckningar, betyg och liknande uppgifter. Underlag för utvecklingssamtal, som kan innehålla känsliga uppgifter, skriver lärarna till största delen på papper.

I de fall då personuppgifter behandlas är många lärare omedvetna om vilka regler som gäller enligt PuL. De vet inte heller att PuL gäller även vid arbete hemifrån med den egna datorn. Det är bara ett fåtal av de granskade skolorna som har en policy för hur lärare får behandla personuppgifter om elever. Säkerhet i det här fallet innebär bland annat att ingen obehörig får komma åt uppgifterna – datorn och löstagbara lagringsmedia måste förvaras säkert.

Datainspektionen poängterar att det är den personuppgiftsansvarige som kan bli ansvarig för de skador som anställda kan orsaka genom att bryta mot lagen. De uppmanas att utforma interna regler för hur personuppgiftsbehandling ska bedrivas, genomföra muntlig information och utbildning om reglerna i PuL. I en skrift om säkerhet uppmanar Datainspektionen den personuppgiftsansvarige att bland annat sätta mätbara mål för säkerhet, fastställa en policy och skapa en fungerande organisation för säkerhet.

namn – harmlös uppgift
Nästan hälften av skolorna i undersökningen uppger att de publicerar uppgifter om elever på skolans webbplats. Ett fåtal av dem inhämtar godkännande från eleverna eller deras föräldrar innan personuppgifterna publiceras på Internet.

Endast några skolor låter eleverna själva lägga ut uppgifter på Internet och då oftast efter att en lärare godkänt publiceringen. Många av skolorna hade en policy för Internetanvändningen men endast en av dem innehöll information om regler för personuppgiftspublicering enligt PuL.

Datainspektionen anser att uppgifter om elevers namn, klass och e-postadress till skolan är harmlösa och kan publiceras på Internet utan samtycke. Däremot betraktas hemadress, telefonnummer, elevers foto (även gruppfoto) och uppgifter som omfattas av sekretess inte som harmlösa och därför ska de godkännas av eleven eller vårdnadshavarna. Anses eleverna nått en mognad så att de själva kan överblicka vad en publicering kan innebära behöver de inte vara myndiga för att själva godkänna en publicering. Enligt Datainspektionen går det inte säga en fix ålder men att det kan handla om ungdomar från 14-16 år men det ska bedömas från fall till fall.

Att vi i skolan kan publicera elevernas namn, klass och e-postadress utan samtycke förvånar mig.

– Uppgifter som har anknytning till elevens skolvardag bedömer vi som harmlösa. Däremot kan publicering av andra personuppgifter vara ett brott mot PuL. De kan få som konsekvens att någon utomstående person genom personuppgifter på en webbplats kan kartlägga en elevs vanor och rutiner som dess väg till skolan, fritidsaktiviteter och var eleven bor, säger Catarina Sjölin.

informationsskyldighet
Närmare hälften av de skolor som granskades publicerade uppgifter om elever på skolans webbplats, ett fåtal inhämtade samtycke av föräldrarna. Det är också bara ett fåtal av de granskade skolorna som informerar sina elever eller deras vårdnadshavare om hur personuppgifter behandlas generellt på skolan.

Enligt PuL ska skolor informera om vem som är personuppgiftsansvarig, vilka uppgifter som samlas in och vad de ska användas till. Informationen skall också omfatta att den som registreras har rätt att ansöka om information och begära rättelser av felaktiga uppgifter.

Det är den personuppgiftsansvarige som har bevisbördan för att elever har fått den information som krävs.

Catarina Sjölin ger skolor följande råd för att bli bättre på att följa PuL.

– Börja med att klargöra vem som är ansvarig för att lagen följs på skolan. Se därefter till att alla berörda i organisation nås av information om innehållet i Personuppgiftslagen och vilka rutiner som finns på skolan.

Bosse Andersson,
Lerums Gymnasieskola
E-Post:bosse.andersson@utbildning.lerum.se