Får skolan registrera uppgifter om den elev som utsätter andra elever för kränkningar?

Vi vill inledningsvis upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.

Fråga:

Vår kommun planerar att införa ett system som heter Adato-LISA för att registrera olyckor, tillbud och kränkningar. I vårt nuvarande system registrerar vi uppgifter om den elev som blivit utsatt för en kränkning (offret). Nu vill vi även "bokföra" vem/vilka som utförde kränkningen (förövaren).

Är detta lagligt?

skola_krankning_uppgifter16x9.jpg

Svar:

Jag uppfattar det som att den planerade behandlingen är ett led i skolans arbete mot kränkande behandling, i vilket det ingår ett krav på att upprätta dokumentation av den typ du beskriver i din fråga. Skolinspektionen har i ett antal beslut uttryckt att huvudmän bör göra så och jag förstår därför syftet med era planer.

Däremot är det ett antal saker ni bör vara vaksamma med för att inte dokumentationen i systemet ska komma i konflikt med GDPR.

I Art. 9 i GDPR beskrivs det som vi normalt kallar känsliga personuppgifter. Detta är uppgifter om: 

  • religiös övertygelse
  • etniskt ursprung
  • politiska åsikter
  • sexualliv
  • genetiska uppgifter
  • sexuell läggning
  • filosofisk övertygelse
  • biometriska uppgifter
  • fackmedlemskap
  • hälsotillstånd

Ett antal av de uppgifter som regelmässigt förekommer i ärenden om kränkande behandling är alltså känsliga personuppgifter enligt GDPR. Känsliga personuppgifter får bara behandlas om det finns uttryckligt lagstöd för detta. Ett sådant lagstöd finns i 3 kap. 3 § dataskyddslagen (för offentligt drivna skolor) och i 26 a kap. 4 § skollagen (för fristående skolor). Detta lagstöd möjliggör sådan behandling av känsliga personuppgifter som krävs (eller motsvarar vad som krävs) vid ärendehandläggning hos en myndighet. Hit torde man räkna skolhuvudmannens och personalens skyldighet enligt 6 kap. skollagen att anmäla, utreda och sätta in åtgärder mot kränkande behandling.

Normalt ska personuppgifter inte lagras längre än vad som är motiverat utifrån syftet med att det samlats in – och detta är inte mindre viktigt när uppgifterna som behandlas är känsliga. Skolinspektionen och BEO har dock i vissa fall ställt krav på skolorna att även bedriva ett långtgående och systematiskt arbete för att grundligt kunna utreda omständigheterna kring kränkningar, vilket torde kräva att uppgifter lagras över längre tid.

Enligt min bedömning är lagstödet för att behandla känsliga personuppgifter med detta syfte inte alls lika tydligt. Man bör också ha i åtanke att lagen uttryckligen förbjuder sökningar som syftar till att få fram ett urval av personer grundat på känsliga personuppgifter – och det är därför olämpligt att lagra känsliga personuppgifter på ett sätt som möjliggör sådana sökningar.

Innan en behandling som sannolikt innebär hög risk för de enskildas fri- och rättigheter inleds (vilket införandet av detta system borde räknas som) krävs, enligt artikel 36 GDPR, att en konsekvensbedömning görs. Denna ska innehålla följande:

  • en beskrivning av den planerade behandlingen och behandlingens syften,
  • en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena,
  • en bedömning av riskerna för de registrerades rättigheter, och
  • de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att denna förordning efterlevs.

Om risken fortfarande bedöms vara hög efter genomförd konsekvensbedömning (med beaktande av de planerade skyddsåtgärderna) krävs att ett förhandssamråd genomförs med Datainspektionen.

Kan ni inte avvakta med detta är mitt råd att dokumentera hur ni beaktat GDPR i processen, motivera varför ni uppfattat att behandlingen är nödvändig som ett led i skolans arbete mot kränkande behandling, samt tekniskt begränsa behörigheten så mycket det bara är möjligt så att endast någon enstaka person eller några få personer kan komma åt just de här personuppgifterna. Om ni uppfattar att det är nödvändigt att spara känsliga personuppgifter även efter att själva ”kränkningsärendet” avslutats, kan ni också överväga att pseudonymisera eller anonymisera uppgifterna.

Frågan besvarades av Simon Jernelöv, rådgivare och jurist på JP Skolnet samt Didrik Värmon, rådgivare och jurist på JP ITnet

Dataskyddsförordningen GDPR ur ett skolperspektiv - gå vår kurs!

Den öppna utbildningen riktar sig till rektorer och andra med lednings- eller samordningsansvar. Läs mer här. Är ni flera i er arbetsgrupp som vill gå kursen? Vi kommer gärna till er arbetsplats och hålla en kundanpassad utbildning. Läs mer här

Senast uppdaterad 12 nov 2018

Mer om Skola

Utbildningar

  • Under denna heldagskurs gör vi en noggrann genomgång av det regelverk och praxis som finns på området, med inriktning på vad reglerna innebär för den praktiska verksamheten. Särskild fokus riktas mot skolans ansvar för att motverka och agera vid kränkningar på nätet.

    Stockholm Föreläsare: Mikael Hellstadius
  • Kursen innehåller en genomgång av den juridik som har praktisk betydelse för förskolan, såsom skollagens inflytande, förvaltningsrätt, offentlighet och sekretess m.m. Kursen vänder sig till dig som arbetar med lednings-  eller samordningsansvar inom förskolan, såväl inom kommunal som privat verksamhet.

    Stockholm Föreläsare: Mikael Hellstadius
  • Denna halvdagskurs fokuserar på tilläggsbeloppet ur ett praktiskt perspektiv och riktar sig till alla som arbetar med detta inom såväl kommun som fristående verksamheter.

    Stockholm ½-dagskurs Föreläsare: Mikael Hellstadius

Prenumerera på vårt fokusbrev Skola

Se vår integritetspolicy

Webbtjänster inom området