GDPR: Detta gäller för lärare

Om bara några dagar, den 25 maj, träder den nya dataskyddsförordningen (GDPR) i kraft och ersätter personuppgiftslagen (PUL). GDPR får konsekvenser för alla som hanterar personuppgifter, däribland de som arbetar inom skolan.

Skolvärlden ringde upp Kristina Rollbäck, chefsjurist på Lärarnas Riksförbunds kansli, för att ta reda på vad som gäller.

– Det är skolhuvudmannen som har det yttersta ansvaret för hur personuppgifterna behandlas. Det vill säga den kommunala nämnden eller, om det handlar om en fristående skola, bolaget eller stiftelsen. Det är alltså aldrig den enskilda läraren som är ytterst ansvarig, säger Kristina Rollbäck.

Däremot finns det vissa saker som även lärare måste ha koll på. Kristina Rollbäck tipsar om Datainspektionens checklista för hur skolor ska hantera personuppgifter.

– Den talar i och för sig om PUL men det går att applicera på GDPR, säger hon.

Datainspektionen tar till exempel upp frågan om alla lärare har rätt att ta del av information om alla elever. Svaret är att bara den som behöver personuppgifterna i sitt arbete får ta del av dem.

– Det innebär att skolan måste införa någon slags begränsning i läs- och skrivmöjligheterna i sina IT-system. Och det ska finnas interna skriftliga regler på skolan så att alla lärare vet exakt vad som gäller.

Får man som enskild lärare föra listor över exempelvis hemförhållanden, matpreferenser som ”halal-kost” och allergier?

– Det här är lite känsligt. Till exempel hälsouppgifter är extremt känsliga och man måste verkligen kunna motivera varför man behöver dem. Skolhälsovården har ännu strängare krav på sig men våra vanliga lärare måste få klara besked från skolledningen om hur saker och ting ska hanteras. Dessutom ska informationen bara hanteras under den tid som det verkligen behövs. Sen ska det tas bort. Så hela ledet måste integritetssäkras.

Men som enskild lärare måste man väl kunna ha uppgifter som ”Kalle är allergisk mot nötter” någonstans?

– Ja, du måste förstås kunna hantera din lärargärning. Men du måste vara ytterst noggrann med hur du uttrycker dig.

Lärare får till exempel inte skriva ”sjuk” när det handlar om närvarorapportering om inte vårdnadshavaren har samtyckt till detta, säger Kristina Rollbäck.

– Du får skriva frånvaro eller liknande. Just ”sjuk” är känsligt och en sådan uppgift som ska hanteras med största varsamhet.

Nästa fråga handlar om hur länge uppgifter ska sparas. Generellt kan man säga att de bara får sparas så länge de behövs.

– När en elev slutar till exempel, då ska uppgifterna rensas bort.

Skolan måste också informera vårdnadshavare och elever om hur personuppgifterna behandlas i skolans IT-system och den registrerade har rätt att begära ut ett registerutdrag.

Många lärare arbetar i lärplattformar, exempelvis för att skriva omdömen. Är det bara att köra på som förut?

– Nja, först och främst måste man reda ut vilka som har tillgång till informationen och i vilket syfte informationen ska användas. Och även där ska informationen gallras, när den inte längre behövs.

Inför införandet av GDPR den 25 maj kan säkert en och annan känna lite stress.

– Vi måste använda något slags bondförnuft och inte hetsa upp oss. Vi saknar praxis och erfarenheter och kommer att få lära oss hanteringen av de viktiga integritetsfrågorna eftersom, säger Kristina Rollbäck och tillägger.

– Huvudmannen har det yttersta ansvaret men våra lärare känner förstås ett starkt ansvar för att hantera frågorna på rätt sätt. Det talar ytterligare för att skolhuvudman ska se till att personalen utbildas, så att lärarna vet hur de ska göra.