Vilka personuppgifter får en lärare mejla enligt GDPR?

Fråga:

Vad får jag som lärare mejla enligt GDPR? Kan man mejla initialer för en elev? Kan jag mejla elevens namn i ett mejl och infon i ett annat? Kan jag mejla en logoped/lärare/psykolog och skriva att jag vill ha kontakt gällande en viss elev?

skola_maila_gdpr16x9.jpg

Svar:

Utbildningsverksamheten är ett allmänt intresse, vilket gör att en stor del av den personuppgiftsbehandlingen som sker i skolan kan härledas till allmänt intresse. I en del fall finns kommunikation mellan t.ex. hem och skola också som en rättslig förpliktelse enligt t.ex. skollagen. Där finns också en laglig grund för viss personuppgiftsbehandling.

Men trots att det finns ett lagligt intresse bör inte personuppgifter spridas genom e-post i onödan utan de ska skickas endast om det är nödvändigt för ett specifikt ändamål och enbart till de personer som behöver få ta del av dem. Personuppgifter ska inte vara kvar i ett svar på meddelandet, speciellt med tanke på att meddelandet kan komma att vidarebefordras. Om möjligt bör alltså personuppgifterna raderas innan man svarar på ett mejl – under förutsättning att de inte behövs för ärendet i fråga.

Om initialer kan härledas till en viss person är initialerna en personuppgift som gör att GDPR blir tillämplig. I det andra exemplet är namn och info i olika mejl tänkta att höra ihop, vilket gör att detta också blir personuppgifter. Det går inte att gå runt GDPR genom att använda sådana här alternativ om det ändå kan härledas till en viss person.

Undvik att skicka känsliga eller integritetskänsliga personuppgifter via mejl, art 9.1 GDPR. Kommunikation av känsliga personuppgifter via mejl kräver säker överföring något som kan uppnås genom att överföringen skyddas och det säkerställas att enbart rätt mottagare kan få tillgång till innehållet i mejlet. Detta kan uppnås genom till exempel kryptering.

  • Är mejlprogrammet ni använder krypterat?
  • Är wi-fi krypterat?
  • Finns lösenord på mejl och arbetstelefoner hos sändare och mottagare lärare?

Känsliga eller integritetskänsliga personuppgifter som ska sparas för ett specifikt ändamål ska så snabbt som möjligt flyttas till ett lämpligt ärendehanteringssystem som omfattas av tillräckligt tekniskt skydd och får inte lagras i mejlinkorgen. Känsliga/integritetskänsliga personuppgifter som kommit in oskyddade via e-post ska klippas bort, eller på annat sätt raderas, ur ett oskyddat e-postsvar eller vid vidarebefordran. Tänk på att aldrig behandla personuppgifter i verktyg som inte är tillräckligt säkert, art 5.1.f och art 32.

Att ta kontakt med logoped eller psykolog med anledning av en elev utgör behandling av känsliga personuppgifter, art 9.1 GDPR. Mejlet avslöjar uppgifter om elevens hälsa eftersom mejlet är riktat till en mottagare så som logoped eller psykolog. Ni bör undvika att skicka dessa uppgifter via mejl. Istället kan ni ringa logopeden eller psykologen och förklara vilken elev ni avser i mejlet innan samtalet om eleven äger rum.

Laura Gashi
Jurist/rådgivare, JP Infonet

Maria Bjurholm Lindensved
Jurist/rådgivare, JP Skolnet

Vi vill upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.

Senast uppdaterad 7 mar 2019

Mer om IT och dataskydd
Utbildningar
  • Denna kurs fokuserar på tilläggsbeloppet ur ett praktiskt perspektiv och riktar sig till alla som arbetar med detta inom såväl kommun som fristående verksamheter.

    Göteborg ½-dagskurs
    Omdöme om kursen (5)
    Föreläsare: Mikael Hellstadius
  • Kursen erbjuder en  genomgång av skollagens mest aktuella frågeställningar med fokus på ansvarsfördelningen och större förändringar i lagen. Kursen är lämplig för såväl kommunal som fristående verksamhet och riktar sig främst till dig med ledningsansvar.

    Stockholm 1-dagskurs
    Omdöme om kursen (5)
    Föreläsare: Lars Werner
  • Denna utbildning går med ett praktiskt perspektiv igenom uppbyggnaden och tillämpningen av det regelverk som ofta upplevs som krångligt och som styr fördelning av resurser och mottagande av barn och elever. 

    Stockholm 1-dagskurs
    Omdöme om kursen (5)
    Föreläsare: Mikael Hellstadius

Prenumerera på vårt fokusbrev dataskydd

Se vår integritetspolicy

Webbtjänster inom området