Webbinarium

GDPR, vad var det nu igen?

Den 21 februari 2023 sände Sveriges folkhögskolor ett webbinarium om dataskyddsförordningen, GDPR, för att ge en grundläggande förståelse för vilket ansvar folkhögskolorna har när det kommer till dataskydd.
Uppdaterad: 4 mars 2024

Webbinariet riktade sig till personal som hanterar personuppgifter på folkhögskola.

Medverkande

Peter Hjalmarsson, Olingo

Peter Hjalmarson har bland annat lett GDPR-införandet i en stor internationell koncern. Peter arbetar idag som verksamhetskonsult på Olingo. Olingo har flerårig erfarenhet av utbildning och rådgivning inom privata och publika sektorn kring GDPR.

Filmen är 1 timme och 15 minuter lång.

Svar på frågor från webbinariet

Här hittar du Peters svar på frågor som han fick under webbinariet.

Hur går GDPR ihop med önskan om att spara information om viktiga händelser inför framtiden?

Inte speciellt bra, tyvärr. Men vad menas med ”viktiga händelser”? Och vad är ”framtiden”?

Grundregeln i GDPR är tydlig: ni får spara personuppgifter så länge som de behövs för ändamålet med personuppgiftsbehandlingen. När personuppgifterna inte längre behövs för ändamålet ska ni radera eller avidentifiera dem.

Det finns dock undantag för kulturhistoriska samlingar som kan användas, där man t.ex. kan använda uppgifter av allmänt intresse som rättslig grund, sådant som ”historisk forskning i framtiden” om det verkligen är viktiga händelser. Om ni redan när ni samlat in personuppgifterna hade ett sådant syfte (naturligtvis med relevant rättslig grund) och informerade om det kan ni spara relevanta uppgifter.

Viss gallring är antagligen lämplig dock. Om inte syftet fanns och angavs från början rekommenderar jag att ni om möjligt aktivt informerar om den nya behandlingen (dvs lagringen av information om ”viktiga händelser inför framtiden”).

Vi tar mycket foton i vår verksamhet. Ska vi kunna identifiera varje foto som en enskild individ är med på om individen begär ut all info vi har om hen?

Det korta och formella svaret är ”ja”.

En lösning är:

  1. Informera alla som fotograferas om att bilder på dem kan komma att användas för ert
  2. Anteckna noga vilka som inte vill vara med
  3. Efteråt, gallra hårt. Radera först alla bilder på de som inte ville vara Radera sedan alla utom ett fåtal som ni använder i er behandling.
  4. Det är trevligt om personerna på de bilder som används i behandlingen meddelas, men det är inte nödvändigt.
  5. Radera sedan även de bilder som ni använde i er behandling när de inte behövs längre.

Det är okej att fotografera och behandla bilderna, men gör det med försiktighet, och spara definitivt inte massvis med bilder ”bara för att”.

Hur rekommenderar du att vi resonerar kring bilder och namn på sociala medier, där elever och personal ofta kan synas?

Jag tycker att man ska vara försiktig. Även om inget formellt krav på samtycke finns, och ni antagligen som hävda uppgifter av allmänt intresse som rättslig grund är det riskfyllt: vad är det som säger att skolans intresse väger tyngre än elevens/den anställde, speciellt om det handlar om barn? Jag skulle hantera det ”mjukt”, och prata med personerna på bilderna, och låta dem vara med och välja ut bilder. Och förstås plocka bort dem om eleven ber om dem.

Namn borde man kunna undvika helt; varför ha med namnet på den som bara ”är med” på en bild? Att nämna personens namn i en text om hen är relevant för ”berättelsen” (till exempel om det är en bild till en text som meddelar att en elev vunnit ett pris, eller rektorn tillkännager nya rekordresultat, etc.) är normalt okej, i alla fall för vuxna. Men även här: fråga!

Fastna inte alltför mycket i juridiken, utan sätt er även in i den behandlades situation. Vill hen vara med i sociala medier? Ta reda på det, och om hen inte vill, låt bli. Inte för juridiken, utan för att vara en schysst människa.

Vi får ju årligen uppgifter om facklig tillhörighet inför lönerevisionen. Ska den infon raderas efter revisionen?

Alla personuppgifter ska sparas så länge den behövs. Finns det risk/möjlighet till överklagande av revisionen så ska den behållas under den perioden. Jag kan tycka att till och med under delar av lönerevisionen ska den fackliga tillhörigheten döljas för de inblandade; den är knappast relevant under de flesta lönesamtal, eller diskussionerna om lönebeslut.

Hur länge ska man spara gamla nivåintyg (fysiska papper) med namn och personnummer som elever aviseras till skolan med? Går de bra att scanna in och lagra på USB-minne och att man sen tuggar pappret i dokumentförstörare?

Det gör ingen skillnad på ett fysiskt papper (om det är sökbart i till exempel pärmar eller mappar) och elektroniskt media som USB-minnen. USB-minnen är för övrigt generellt olämpliga att lagra personuppgifter på. De försvinner lätt, och data på dem kan lättare förstöras ”av sig självt” än på hårddiskar, i molnet, etc.

Oavsett hur du lagrar nivåintyget ska du bara behålla det så länge du behöver behandla personuppgiften för ditt syfte.

Vi arbetar mycket i Teams och det är bara behörig personal som har tillgång till gruppen där namnlistor spars (närvarolistor med enbart för- och efternamn). Är det okej?

Ett problem med Microsoft Teams är att standardinställningen är att Teamägaren kan dela ut behörigheter hur som helst. Om inte Teamägaren är kunnig i behörighetshantering skulle jag rekommendera att man ställer in Teams så att ”it-avdelningen” ansvarar för att lägga till och ta bort teammedlemmar, och specifikt teamägare.

Jag rekommenderar också att man använder möjligheten till privata kanaler i sitt team, för att ytterligare snäva ned tillgången till speciellt känslig information.

Informationen behöver förstås också rensas/gallras när den inte behövs längre för sitt syfte.

Förstod jag det rätt att man ska ta bort all info om tidigare anställda och inte sätta den i en pärm med personal som har slutat?

Det beror på om det finns rättslig grund för att behålla personuppgifterna eller ej. Utan att vara jurist gissar jag att det till exempel finns skatterättsliga krav på att spara information om anställda under en period. Att arkivera det i ett separat pärmsystem så att det inte är tillgängligt i det dagliga arbetet låter som ett bra (om än inte så miljövänligt sätt) att arkivera information.

Men se till att gallra bort informationen ur pärmarna när den inte längre behövs för era behandlingar!

Vad är det absolut första som vi borde göra när vi går från det här webbinariet?

Då måste jag göra det lätt för mig och återvända till sista bilden i min presentation:

  1. Utse ett dataskyddsombud och ge hen all utbildning och tid som behövs för att sköta jobbet. Respektera att jobbet är viktigt och måste få ta tid!
  2. Skapa en eller flera informations- och integritetspolicyer.
  3. Bryt ned dem i konkreta arbetssätt som har stöd i era policyer.
  4. Skapa ett Behandlingsregister och registrera alla behandlingar där. Säkerställ att de följer de grundläggande principerna, följer rättslig grund, och dokumentera.
  5. Skapa rutiner för behörighetshantering.
  6. Skapa rutiner för enskildas rättigheter och personuppgiftsincident.

Så svaret blir att allra först utse ett dataskyddsombud!

Vem är ytterst ansvarig för att lagen följs på vår skola?

Generellt är det den person som bestämmer hur vi jobbar och vad vi ska göra som är personuppgiftsansvarig (PUA). Jag kan inte exakt hur organisationsformen ser ut för folkhögskolor, men i en kommunal skola är det normalt utbildningsnämnden, och i en privat skola VD i företaget som äger den. Det är normalt inte rektorn, utan hen arbetar enligt instruktioner från utbildningsnämnd/VD, precis som andra anställda.

För vem är det vi förklarar vad och varför vi behandlar en viss personuppgift?

För den vars personuppgifter vi behandlar. Ingen har rätt att veta vilka personuppgifter vi behandlar för någon annan.

Vem kollar att vi gör rätt?

Det finns ingen myndighet som certifierar och GDPR-godkänner, som det till exempel är för företag som jobbar med matlagning. Det är ett egenkontrollansvar som ligger på den personuppgiftsansvarige att se till att det utförs. Integritetsskyddsmyndigheten jobbar aktivt med återkommande kontroller mot vissa branscher, som finans och molnjättar, men mig veterligen inte mot skolor, utan i praktiken händer inget om ni gör fel, förrän någon anmäler er. Men då kan det å andra sidan svida desto mer – de potentiella ”böterna” är höga!

Kontakt

Vid frågor, kontakta Pär Wallin: par.wallin@sverigesfolkhogskolor.se