Många av våra större system har säkerhet inbyggd i sig, men när det gäller mindre system som digitala läromedel eller digitala verktyg så kan det vara så att det är lärare eller rektor som ansvarar för hur elevernas personuppgifter hanteras i dessa system . Ytterst ansvarig är vår nämnd men varje länk i kedjan bär ett ansvar.
Innan skolan skaffar en ny digital tjänst behövs det undersökas hur informationsbehandlingen är i tjänsten och i vissa fall upprätta ett PUB-avtal med leverantören.
Använder skolan en tjänst som behandlar personuppgifter ska detta i de flesta fall anmälas och syftet med behandlingen tydliggöras. Personuppgifterna får inte användas i annat syfte än det som ursprungligen angetts, utan att göra en ny anmälan. Det är inte heller tillåtet att samla in fler personuppgifter än nödvändigt.
Syftet med ett personuppgiftsbiträdesavtal (PUB-avtal) är att reglera förhållandet mellan personuppgiftsansvarig och personuppgiftsbiträdet, när det gäller dataskydd. PUB-avtalet avser främst att ge instruktioner om vilka personuppgifter som ska behandlas, hur behandlingen ska gå till och ändamålet med behandlingen.
Läs mer om PUB-avtal hos IMY.
Personuppgiftsansvarig är den organisation som exempelvis aktiebolag, stiftelse, förening eller myndighet, som bestämmer för vilka ändamål personuppgifterna ska behandlas och hur behandlingen ska gå till. Det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. För Barn & Skola är det Barn- och skolnämnden som är personuppgiftsansvarig.
En personuppgiftsansvarig kan överlåta behandling av personuppgifter till ett personuppgiftsbiträde. Då ska ett PUB-avtal upprättas.
Personuppgiftsbiträdet får endast behandla personuppgifterna i enlighet med de instruktioner som den personuppgiftsansvarige lämnar. Avviker personuppgiftsbiträdet från den personuppgiftsansvariges instruktioner kan personuppgiftsbiträdet göra sig skyldig till brott mot bestämmelserna i både PUB-avtalet och bestämmelserna i GDPR.
Enligt delegationsordningen för Barn och Skolnämnden är det Förvaltningschef som undertecknar ett personuppgiftsbiträdesavtal. För att upprätta ett PUB-avtal vänd dig till kontaktpersonen för GDPR inom Barn & Skola. Se kontaktuppgifter nedan.
Det är dock inte säkert att det är just PUB-avtal som krävs för att använda en it-tjänst från en leverantör. PUB-avtal behövs när en annan aktör behandlar personuppgifter för den personuppgiftsansvariges räkning.
Kontaktperson för GDPR inom Barn och Skolförvaltningen
Sofia Andreasson
E-post: Sofia.Andreasson@edu.lidkoping.se
Tele: 0510-77 02 40