Fallgropar
Dataskyddsförordningen - steg 10 (av 13)
Här följer ett antal vanliga fallgropar. Använd gärna de fyra vägledande frågorna och fundera på hur du borde agera, innan du läser kommentaren.
Känsliga uppgifter registreras i ett system som inte får hantera dessa
Jag anger frånvaro i Vklass och registrerar information om varför en elev är frånvarande genom att exempelvis skriva "eleven är sjuk" i en digital tjänst.
Hur borde jag göra?
Uppgifter om hälsa får bara hanteras i PMO som har höjd säkerhet och begränsad behörighet. Frånvaroregistreringen anger endast om frånvaron är giltig eller ej.
Uppgifter hanteras inte enligt de ursprungliga ändamålen
Skolan har fått in samtycke från mina elever att använda bilder på dem i marknadsföringsinsats på skolans webbplats. Jag låter även en teatergrupp som samarbetar med klassen använda bilder på mina elever på sin egen hemsida.
Varför går inte det?
Uppgifterna får bara användas till det som vi har sagt att vi ska använda dem till.
Uppgifter sparas längre än nödvändigt
En vårdnadshavare beskriver i ett mejl att sonen har det jobbigt hemma pga jobbiga hemförhållanden och en förälders sjukdom, och att han därför kan behöva extra stöd.
Hur gör jag?
Följer rutinerna för att informera kollegor om extra stöd. Slänger mejlet eller ser till att det slängs när ärendet inte längre är aktuellt.
Molntjänst eller digitalt läromedel används utan att det finns ett personuppgiftsbiträdesavtal
Jag har hittat ett nytt digitalt verktyg som jag vill använda i undervisningen, men verktyget kräver att alla elevers namn och e-postadress registreras.
Hur gör jag?
Jag måste först säkerställa att leverantören lever upp till dataskyddsförordningen. Jag kontaktar avdelningen för digitalisering och innovation som hjälper till att kontakta leverantören och upprätta ett personuppgiftsbiträdesavtal.
Elever anvisas (tvingas använda) sociala medier.
Varför går inte det?
Jag får inte hänvisa till ett socialt medium som en förutsättning för att klara kursen/delta i undervisningen. Om skolan har egna sociala kanaler måste de följa Göteborgs Stads riktlinjer för sociala medier.
Fler uppgifter än ändamålet kräver samlas in
Hur borde jag göra?
Jag får inte samla in fler uppgifter än ändamålet kräver. Om ändamålet bara kräver att jag samlar in namn och adress så ska inget mer samlas in. Inte samla in uppgifter som "kan vara bra att ha". Oavsett om vi kan komma att behöva det senare.