Frågor och svar
GDPR i förskola och skola
GDPR i förskola och skola
På den här sidan kan du få svar på dina frågor om GDPR. Om du saknar en fråga kan du skicka in den i formuläret längst ner på sidan.
Som personuppgift räknas all information som enskilt eller i kombination med andra uppgifter kan knytas till en levande person.
Typiska personuppgifter är personnummer, namn och adress. Bilder på och ljudupptagningar av individer kan vara personuppgifter även om inga namn nämns.
Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, oavsett om det sker automatiserat eller inte.
Till exempel:
insamling
registrering
lagring, ändring
framtagning
läsning
arkivering
utlämning
radering
gallring
Inom Sundbybergs stad hanterar vi personuppgifter i verksamhetssystemen. Våra verksamhetssystem på Sektorn för lärande och bildning är bland annat Edlevo, Prorenata, InfoMentor och Vklass.
1. Du samlar bara in de personuppgifter du behöver för att kunna bedriva verksamheten eller för att uppfylla dina skyldigheter i myndighetsutövning
2. Du skyddar de personuppgifter du samlat in.
3. Du använder bara de insamlade personuppgifterna för det syfte det samlats in.
4. Du tar bort de personuppgifter du inte längre behöver.
5. Du informerar berörda om hur och när du samlar in personuppgifter.
6. Du informerar de som berörs samt GPDR-ansvarig på barn- och utbildningsförvaltningen om en incident skulle uppstå relaterad till din behandling av personuppgifter.
När du kommunicerar via e-post är det viktigt att inte skicka eller vidarebefordra känsliga eller sekretessbelagda uppgifter. Du ska också undvika långa mejltrådar och endast skicka meddelandet till de som verkligen ska ha det. Tänk också på vilka personer som verkligen behöver informationen.
Använd funktion CC med eftertanke och förnuft. GDPR säger att bara de personer som behöver ta del av information ska få ta del av informationen.
Meddelanden som skickas inom kommunen, alltså mellan e-postadresser som slutar på @sundbyberg.se är krypterade och därför tillräckligt säkra att skicka utan att använda säkra meddelanden-tjänsten. Det innebär att det är fullt möjligt att skicka personalrelaterade uppgifter mellan e-postmottagare inom staden, det vill säga anställd till anställd, chef till anställd och tvärtom, chef till chef och förvaltning till förvaltning via den vanliga mejlen så länge informationen inte är sekretessbelagd. Tänk alltså på att inte skicka personuppgifter på barn/elever och vårdnadshavare som har sekretesskyddade personuppgifter.
Kom dock ihåg att det alltid krävs en riskbedömning innan mejlen skickas där risken med att skicka meddelandet via e-post vägs mot nyttan av att skicka det via e-post.
Om personuppgifter ska skickas till extern mottagare, till e-postadress som inte slutar på @sundbyberg.se, ska det skickas på ett säkert sätt och mejlet ska krypteras. Om du ska skicka känsliga, extra skyddsvärda eller sekretessbelagda uppgifter till externa parter kan du använda dig av meddelandeverktyget Säkra meddelanden.
Du kan också lösenordsskydda dina Word- och Excelfiler. Det gör att du kan skicka information som inte borde skickas över e-post, med vetskap om att det endast är mottagare av lösenordet som kan läsa bilagan.
I både Word och Excel kan du sätta lösenord på filerna. Detta möjliggör att tills vidare skicka information som inte borde skickas över e-post, med vetskap om att det endast är mottagare av lösenordet som kan läsa bilagan.
I Word/Excel, under Arkiv-menyn, under fliken Info, klicka på Skydda arbetsbok
Klicka på den lilla pilen och markera Kryptera md Lösenord.
Välj sedan ett lösenord, som du skickar med e-post/SMS till mottagaren av filen.
Säkra meddelanden ska användas när du behöver skicka känsliga, extra skyddsvärda och eventuellt sekretessbelagda uppgifter.
För att kunna skicka säkra meddelanden behöver du ladda ner verktyget Säkra meddelanden i Software Center.
Ikonen Säkra meddelanden hamnar i verktygsfältet Snabbåtkomst i Outlook (du måste först starta om Outlook för att funktionen ska visas).
När du klickar på ikonen Skicka säkert meddelande hänvisas du till en inloggningsportal.
För att kunna skicka säkra meddelanden behöver du identifiera dig med e-legitimation (BankID, Mobilt BankID eller Telia e-legitimation).
När du skickar e-post till flera externa mottagare ska du som grundregel lägga deras mejladresser i hemlig/dold kopia-fältet, så att mottagarna inte kan se varandras e-postadresser. Undantag kan vara om du till exempel kommunicerar med ett barns vårdnadshavare, där du behöver visa att du har gett samma information till båda.
Skickar du e-post till många interna mottagare kan det också vara bra att lägga adresserna i hemlig/dold kopia-fältet, om mottagarna inte behöver kunna se vilka som får mejlutskicket.
För att dölja mottagarna lägger du mottagarna/mejllistan i fältet Hemlig kopia (dator) eller Dold kopia (iPad). Gör så här:
Klicka på Kopia i mejlet (Kopia/Dolt kopia på iPad)
Välj Hemlig kopia (Dold Kopia på iPad) och skriv där in mottagarna/mejllistan
Vill du ha en synlig mottagare kan du skriva din egen mejadress som mottagare (efter "Till:")
Det är viktigt att tänka på vad du skriver i ämnesraden i mejl. Det ska inte finnas några känsliga eller extra skyddsvärda personuppgifter i ämnesraden, så undvik till exempel personnummer. Rekommendationen är att du inte skriver några personuppgifter överhuvudtaget där.
Tänk på att ta bort känsliga personuppgifter från det mottagna mejlet innan du svarar, utom i fall då uppgifterna behöver inkluderas även i svarsmejlet.
Var också noga med att kontinuerligt rensa både mottagna och skickade mejl, och i förekommande fall diarieföra enligt dokumenthanteringsplanen, då de inte ska lagras i Outlook.
Det måste finnas ett tydligt ändamål/syfte samt en laglig grund till varför ni ska fotografera eller filma elever. Är syftet att använda bilder för att kunna bedriva undervisning och utbildning är den lagliga grunden Allmänt intresse. Då behövs inget samtycke. Om syftet däremot är av annat skäl som inte rör undervisning och utbildning måste det finnas ett Samtycke från vårdnadshavare för att ta bilder/publicera bilder där personer är identifierbara.
Se exempel:
Fotografering/filmning/ljudupptagning av barn och elever i undervisningen och/eller använda i bedömningssyfte:
Fotografering, filmning eller ljudupptagning av barn och elever får ske utan samtycke om du ska använda bilderna i undervisningen och/eller i bedömningssyfte. I dessa fall är den lagliga grunden Allmänt intresse för att bedriva undervisning och utbildning enligt skollagen.
Fotografera/filma elever för vid uppträdanden, till skolans officiella Facebook- och/eller Instagramsida:
Om barn och elever fotograferas/filmas och ska publiceras där andra för externt bruk (sådant som kan ses av andra, eller allmänheten) måste det alltid finnas ett giltigt skriftligt samtycke.
Får bilden publiceras för externt bruk? Kontrollera om du har ett giltigt samtycke som tillåter publicering. Publicering av bilder på barn och elever får endast ske med samtycke och tydligt ändamål.
OBS! Var vaksam på om du har barn och elever med skyddade personuppgifter. Om fotografier sitter uppsatta på alla barn och elever utom de med sekretesskydd kan det vara utpekande.
Kontakta alltid vårdnadshavare till barn som har sekretesskydd och kom överens om vad som gäller för just deras barn.
Om du använder samtycke som laglig grund bör du tänka på att den som ger sitt samtycke ska ha förmåga att förstå innebörden av ett lämnat samtycke. För att ett samtycke ska vara giltigt krävs det att det är frivilligt och att det ges efter att den registrerade har fått information om personuppgiftsbehandlingen.
Samtycket bör vara skriftligt.
Sociala medier uppställer ofta egna regler och omfattande användarvillkor. Användarvillkoren innebär ofta att det material du publicerar på medier också överlåts till det sociala mediet. Du måste därför säkerställa att du har rätt att överlåta sådana licenser gentemot upphovsmännen. Många sociala medier har även överföring av information till tredje land, varför även detta måste regleras.
Staden har riktlinjer för hur publicering på sociala medier ska gå till. Kontakta PR-ansvarig på kommunikationsavdelningen om du vill veta mer om riktlinjer för sociala medier i Sundbybergs stad.
I många fall är det enklare att hantera saker och ting om man skriver ut informationen på papper. Om utskrifterna innehåller personuppgifter ska de hanteras på motsvarande sätt som informationen hanteras i verksamhetssystemen.
Det betyder:
Åtkomst till utskriften ska begränsas, t ex låsas in utanför arbetstid.
När utskriften inte längre behövs, ska den förstöras, antingen via tugg eller sekretesstunna.
Undvik att skriva ut känslig personinformation överhuvudtaget.
Om du måste skapa ett dokument där personuppgifter förekommer (ej känsliga personuppgifter) kan du spara dessa tillfälligt i din z-mapp. Känsliga personuppgifter får endast sparas i verksamhetssystem.
Utskrift av klasslistor sker helst från Edlevo, InfoMentor eller Vklass. Minimera personuppgifterna i de listor du skriver ut, använd inte fler personuppgifter än vad du verkligen behöver. När listorna inte längre behövs ska de gallras via tugg eller sekretesstunna.
Det är viktigt att du hanterar den information och de handlingar i form av dokument och filer du behöver för att utföra ditt arbete på ett strukturerat och säkert sätt. Matrisen nedan är inte en komplett beskrivning utan ska ses som en lathund för vilka regler du ska följa och vilka verktyg och resurser som finns till ditt förfogande.
Välkommen till kursen om GDPR – EU:s nya dataskyddsförordning
GDPR - Vad menas med personuppgifter?
GDPR - Personuppgifter måste behandlas enligt lag
GDPR - Behandling av personuppgifter: Vilka är involverade?
GDPR - Vi behöver personuppgiftsbiträdesavtal
GDPR - Medborgare får utökade personliga rättigheter
GDPR - Integritetspolicy, information och öppenhet
GDPR - Anmäla personuppgiftsincidenter - när något händer
GDPR - Personuppgiftshantering - vilka risker finns?
GDPR - Integritet först - i tjänster och lösningar
GDPR - Är skolan redo för den nya förordningen?