GDPR – så påverkas förskolan

Hittills har personuppgiftslagen, PuL, styrt hur och vem som får hantera personuppgifter, men nu kommer istället GDPR – General Data Protection Regulation. Den nya dataskyddsförordningen gäller som lag i alla EU:s medlemsländer och slår fast reglerna för all behandling av information som direkt eller indirekt kan knytas till en person. ​

Vad innebär den nya dataskyddsförordningen – GDPR?​

– Dataskyddsförordningen gäller som lag i alla EU:s medlemsländer från och med den 25 maj 2018. Den innebär en del förändringar för de organisationer som behandlar personuppgifter, men de flesta bestämmelserna liknar de nuvarande. Den innebär också en risk att råka ut för stora ekonomiska sanktioner och skadestånd, om man inte följer de regler som medger behandling av personuppgifter.

En EU-förordning innebär att reglerna kommer att gälla som lag direkt och på samma sätt i alla EU:s medlemsstater. Ett direktiv sätter ramarna för en nationell lagstiftning, vilket inte sällan får till följd att reglerna ser olika ut i olika länder. Dataskyddsförordningen kommer att ersätta EU:s nuvarande dataskyddsdirektiv från 1995 som den svenska personuppgiftslagen, PuL, bygger på. När förordningen träder i kraft kommer den att ersätta PuL, som då går i graven.

Varför kommer det ny lag?

– Ett av syftena med dataskyddsförordningen är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Dataskyddsförordningen har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU så att det fria flödet av uppgifter inom unionen inte hindras.

Andra syften med att ta fram en ny dataskyddsförordning har varit att modernisera dataskyddsdirektivets regler från 1995 och på så vis anpassa dessa till det nya digitala samhället. De stora bötesbeloppen syftar till att sätta dataskyddsfrågorna på agendan hos alla ledningsgrupper – ekonomiska sanktioner får de flesta att lyssna bättre!

Vilka är de största skillnaderna från dagens PuL och hur påverkas förskolorna?​

– Den största skillnaden är de höga ekonomiska sanktioner som kan komma att bli aktuella om en organisation bryter mot reglerna om hur man får behandla personuppgifter. Brott mot PUL ger ofta inte några kännbara påföljder.

Informationsplikten, som har funnits sedan PuL trädde i kraft 1998, utökas. Det innebär att alla informationstexter om behandlingen av personuppgifter på förskolan, som riktas till föräldrar och anställda, måste skrivas om. Trots ihärdiga rykten är det dock mycket sällan som man behöver inhämta samtycken inom förskolan. Det gäller normalt bara känsliga personuppgifter som allergier, särskilda hjälpmedel och så vidare. Och om man vill publicera foton förstås.

”En stark rekommendation är att aldrig publicera foton eller filmer utan ett tydligt samtycke från föräldrarna.”

En annan skillnad är kravet på att man ska kunna visa och bevisa att man följer lagstiftningen. Det kräver ordning och reda, att man gör en kartläggning och dokumenterar hur man hanterar personuppgifter och varför. Man kan också visa det med avtal, styrande dokument, vägledningar och så vidare.  

Skulle en organisation någon gång exempelvis bli utsatt för dataintrång eller förlora kontrollen över personuppgifter för att en dator har blivit stulen, måste detta rapporteras till Datainspektionen inom 72 timmar, vilket är ett nytt krav.

Vidare så försvinner den så kallade missbruksregeln helt. Missbruksregeln innebär att man idag kan använda enklare regler för personuppgifter i ostrukturerat material. Det gäller ofta till exempel information om personer i e-post, på internet eller i en enkel lista som man har i datorn. Den som idag behandlar personuppgifter med stöd av missbruksregeln kommer alltså att behöva ta hänsyn till fler regler än idag för att veta att man gör rätt. För att förbereda sig för dataskyddsförordningen är ett lämpligt första steg att kartlägga vilka personuppgifter som man hanterar med stöd av missbruksregeln och på vilken rättslig grund man behandlar uppgifterna.

Förskolorna måste ta fram instruktioner till dem som hanterar personuppgifter och se över sina avtal med IT-systemleverantörerna. Myndigheter kommer i fortsättningen inte att kunna använda en intresseavvägning som rättslig grund för sina behandlingar av personuppgifter och man måste ta särskild hänsyn till att uppgifterna handlar om barn. Men som vi ser det nu, kommer det inte att direkt påverka förskolornas verksamhet. Möjligen måste man vara ännu mer noggrann när man publicerar bilder och liknande.

Det är också viktigt att vara beredd att redogöra för hur man hanterar personuppgifter, om till exempel föräldrar, kommunen, media eller facket ställer frågor.

Hur kan förskolorna förbereda verksamheten? ​

– Konkret kan förskolorna gå igenom sina register och rensa bort sådant som man enligt dataskyddsförordningen inte har fog för att spara. Se till att man har ett syfte med behandlingen av personuppgifterna och att man har analyserat hur länge de behöver finnas kvar. Se till att rätt personer ser rätt information, behörigheter ska bara ges till personer som behöver se informationen för att utföra sina arbetsuppgifter. Dela inte foton och uppgifter om barn på en lärplattform, hemsida eller liknande, om föräldrarna inte har godkänt det.

Vems är ansvaret att lagen följs, när det gäller förskolorna?​

– Om det är en kommunal förskola är det den ansvariga nämnden. Är det en privat förskola är det den juridiska personen, aktiebolaget eller stiftelsen. Det gäller utåt, gentemot de registrerade och Datainspektionen. Sedan finns det ju ett internt ansvar också, som det förstås är bra att man har klart för sig.  

Vilka problemområden för dataskydd finns som man behöver känna till när man arbetar inom förskolan? ​

– Generellt sett är det IT-säkerheten, informationsplikten, bevarande och gallring och hur man hanterar foton och filmer. Tänk på att det finns mycket sekretessbelagd information på en förskola. Dessa kan man till exempel inte skicka med e-post hur som helst, utan det finns många beslut från Datainspektionen om hur man ska skydda integritetskänsliga personuppgifter. Det kan förstås handla om personalärenden också så glöm inte bort HR-verksamheten.  

Foton och filmer som inkluderar förskolebarn – hur och vad får du publicera digitalt? Hur påverkar det här lagring av bilder och barnens uppgifter?

– En stark rekommendation är att aldrig publicera foton eller filmer utan ett tydligt samtycke från föräldrarna, där de förstår i vilket sammanhang publiceringen kan komma att ske.  

Har den nya lagen någon betydelse när det gäller sekretess och tystnadsplikt i förskolan?​

– Reglerna om sekretess och offentlighet kommer inte att ändras från tidigare.

Vad kan hända om man bryter mot förordningen?​

– Organisationer som inte efterlever lagstiftningen i dataskyddsförordningen kan komma att straffas med höga sanktionsavgifter. Företag som bryter mot dataskyddsförordningen kan få böter på upp till 20 miljoner euro, eller fyra procent av koncernens årliga globala omsättning. För myndigheter är det fortfarande inte riktigt klart hur det kommer att se ut. Dataskyddsutredningen har föreslagit ett maxbelopp på 20 miljoner kronor. Riksdagen kommer förhoppningsvis att avgöra det före årsskiftet.

Föräldrar och anställda kan begära skadestånd. Datainspektionen kan ge varningar och reprimander. Alltihop kan förstås leda till negativ publicitet och en skada på varumärket. ​

Taggar
Digitalt MIK/IKT
Systematiskt kvalitetsarbete

Lotta Kavtaradze

Lotta Kavtaradze

Jurist. Har jobbat med dataskyddsfrågor i 25 år; på Datainspektionen, som bolagsjurist och som konsult för allt från kommuner och skolor till multinationella företag. privacyline.se

Läsa vidare?

Denna artikel är publicerad i Förskoletidningen.
För att läsa vidare behöver du logga in.

Är du inte prenumerant än?
Förskoletidningen och Förskoletidningen Praktisk pedagogik ger dig inspiration, fördjupning, diskussionsfrågor och övningar – verksamhetsnära kompetensutveckling när den är som bäst!

Bli prenumerant

Är du redan prenumerant? Logga in här

Vi hittar dessvärre ingen aktiv prenumeration kopplad till uppgifterna du angivit

Om du redan är prenumerant

Har du en prenumeration på Förskoletidningen men lyckas inte logga in? Då kan någon av de två nedan förslagen hjälpa dig med detta.

  • Har du inget digitalt konto ännu? Då skapar du enkelt upp ett konto kopplat till din prenumeration för att kunna logga in och läsa alla artiklar.

Skapa ditt digitala konto

Vill du bli prenumerant?

Förskoletidningen ger dig inspiration, fördjupning, diskussionsfrågor och övningar – verksamhetsnära kompetensutveckling när den är som bäst!

Bli prenumerant