Hantering av personuppgifter (GDPR)

Alla verksamheter som hanterar personuppgifter måste följa dataskyddsförordningen (GDPR), som reglerar hur personuppgifter får behandlas. Här finns information om detta samt om hantering av skyddade personuppgifter.

Denna sida är en del av Skolverkets stöd för dig som arbetar med eller ansvarar för antagning till gymnasieskolan och anpassade gymnasieskolan.

Dataskyddsförordningen (GDPR)

Med personuppgift menas varje upplysning som rör en identifierad eller identifierbar fysisk person. Det som avgör är om uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Typiska personuppgifter är namn, personnummer och adress.

Dataskyddsförordningen, även kallad GDPR, reglerar hur personuppgifter får behandlas. Dataskyddsförordningen gäller i hela EU och syftar bland annat till att skydda enskildas grundläggande rättigheter och friheter. Förordningen har företräde framför nationell lag. Det innebär att om en svensk lag skulle stå i strid med förordningen är det förordningens bestämmelser som ska tillämpas. Alla typer av verksamheter som hanterar personuppgifter måste följa dataskyddsförordningen. I 26 a kapitlet skollagen finns kompletterande bestämmelser om behandling av personuppgifter.

All behandling av personuppgifter måste följa de grundläggande principerna i dataskyddsförordningen. Dessa principer sätter de yttersta ramarna för vad som är en tillåten behandling. Av dessa framgår bland annat att personuppgifter bara får samlas in för specifika, särskilt angivna och berättigade ändamål, att inte fler personuppgifter ska behandlas än vad som behövs för ändamålen samt att personuppgifterna ska raderas när de inte längre behövs. För att personuppgifter ska få behandlas måste det också finnas stöd för detta i någon av de sex rättsliga grunderna i dataskyddsförordningen. Utan en rättslig grund är behandlingen av personuppgifter inte laglig.

Vissa personuppgifter är till sin natur särskilt känsliga (känsliga personuppgifter) och har därför ett starkare skydd i dataskyddsförordningen. Det är som huvudregel förbjudet att behandla känsliga personuppgifter, men det finns vissa undantag.

Personuppgifter som rör barn anses särskilt skyddsvärda i dataskyddsförordningen eftersom barn kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter och förstå vilken rätt till skydd för sina uppgifter som de har.

Personnummer och samordningsnummer är inte känsliga personuppgifter enligt dataskyddsförordningen, men är enligt svensk lagstiftning extra skyddsvärda. Enligt dataskyddslagen får personnummer och samordningsnummer behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Dataskyddsförordningen innehåller även bestämmelser om särskilda skyldigheter för de som behandlar personuppgifter, det vill säga för personuppgiftsansvariga och personuppgiftsbiträden. Personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att föra ett register över sina behandlingar av personuppgifter. Ett sådant register ska upprättas skriftligen, vara tillgängligt i elektroniskt format och uppdaterat. Vad som ska finnas med i registret beskrivs i artikel 30 i dataskyddsförordningen.

I dataskyddsförordningen finns också bestämmelser om bland annat informationssäkerhet. Informationssäkerhet handlar framför allt om att hindra information från att läcka ut, förvanskas och förstöras. Olika åtgärder och teknik kan användas, men varje verksamhets arbete med informationssäkerhet måste planeras och genomföras på ett sätt som uppfyller kraven i dataskyddsförordningen.

Dataskyddsombud

Vissa verksamheter som behandlar personuppgifter måste utse ett dataskyddsombud. Det gäller exempelvis kommunala verksamheter. Ombudet ska kontrollera att dataskyddsreglerna följs inom verksamheten och ge råd om hur behandlingen av personuppgifter bör gå till. Dataskyddsombudet ska också vara kontaktperson för de registrerade och personalen inom verksamheten samt för Integritetsskyddsmyndigheten (IMY), som är ansvarig myndighet för frågor om dataskydd.

Dataöverföring mellan olika antagningskanslier

I samband med antagningsarbetet utbyts filer med uppgifter om sökande samt uppgifter om betyg mellan olika antagningskanslier. Det är viktigt att denna dataöverföring sker i enlighet med dataskyddsförordningens bestämmelser och med beaktande av sekretessbestämmelserna

Mer information om dataskyddsförordningen finns hos IMY. Kommuner, regioner och offentliga huvudmän kan också vända sig till Sveriges Kommuner och Regioner (SKR) för information och vägledning om dataskyddsförordningen. Enskilda huvudmän som är medlemmar i en branschorganisation kan vända sig dit för vägledning.

Källor: EU:s dataskyddsförordning (2016/679), 26 a kapitlet skollagen samt 3 kapitlet 10 § dataskyddslagen (2018:218).

Integritetsskyddsmyndigheten, IMY Länk till annan webbplats.

GDPR och skyddade personuppgifter i förskola, skola och vuxenutbildning

Dataskyddsförordningen, GDPR, SKR:s webbplats Länk till annan webbplats.

Offentlighet, sekretess och tystnadsplikt

Skyddade personuppgifter

Uppgifter som registreras i folkbokföringen, exempelvis elevers namn, personnummer och adress, är som huvudregel offentliga. I vissa fall kan det dock skada en person om uppgifter om personen lämnas ut. Det kan exempelvis gälla den som riskerar att utsättas för hot eller förföljelse. Personen kan då ansöka om skyddade personuppgifter.

Det finns tre nivåer av skyddade personuppgifter: sekretessmarkering, skyddad folkbokföring och fingerade personuppgifter. Ansökan om sekretessmarkering och skyddad folkbokföring görs hos Skatteverket, medan ansökan om medgivande att använda fingerade personuppgifter prövas av Polismyndigheten.

En sekretessmarkering är den lägsta nivån av skyddade personuppgifter, som innebär att det görs en markering folkbokföringsdatabasen och som aviseras via Navet, som är Skatteverkets informationstjänst för offentliga aktörer. En sekretessmarkering har inte någon självständig betydelse, utan utgör enbart en varningssignal om att det behöver göras en noggrann sekretessprövning för varje uppgift om eleven som begärs ut. Sekretessmarkeringen i sig innebär dock inte att uppgifter om personen blir sekretessbelagda.

Skyddad folkbokföring är den högsta nivån av skyddade personuppgifter som Skatteverket kan besluta om. En elev med skyddad folkbokföring får vara folkbokförd i sin tidigare hemkommun även om hen har flyttat därifrån, eller i en annan kommun. När en elev har skyddad folkbokföring framgår inte den verkliga adressen av folkbokföringen och sprids inte heller till andra myndigheter via Navet. Elevens post går i stället till en särskild postadress, det vill säga till ett skattekontor som har den faktiska adressen manuellt förvarad och som vidarebefordrar posten.

Fingerade personuppgifter utgör det starkaste skyddet för personuppgifter och används endast i undantagsfall, när skyddad folkbokföring inte räcker till. Det innebär att en person, efter medgivande från Polismyndigheten, registreras inom folkbokföringen med andra identitetsuppgifter än de verkliga.

I ärenden om skyddad folkbokföring och i ärenden om fingerade personuppgifter gäller sekretess som utgångspunkt, och uppgifter kan endast lämnas ut om det står klart att den enskilde eller någon närstående inte kan lida men av det. Om en myndighet får uppgifter från Skatteverket eller Polismyndigheten om en elev som har skyddad folkbokföring eller fingerade personuppgifter överförs sekretessen till den mottagande myndigheten. Det innebär att uppgifterna som utgångspunkt är sekretessbelagda även hos myndigheten.

Även personer som inte är folkbokförda i Sverige kan i vissa fall lida men av att uppgifter om deras identitet lämnas ut, men eftersom de inte är folkbokförda kan de inte få skyddade personuppgifter. Det kan exempelvis gälla barn och unga som är papperslösa. I Skolverkets stödmaterial om skolans arbete med elever som är papperslösa finns stöd för att på olika sätt skydda uppgifter om dessa barn och unga.

Källor: 16 § folkbokföringslagen (1991:481), lagen (1991:483) om fingerade personuppgifter samt 22 kapitlet 2–3 §§ offentlighets- och sekretesslagen (2009:400).

Skolans arbete med elever som är papperslösa

Hur ska antagningskanslier, kommuner och huvudmän hantera skyddade personuppgifter?

För att skydda sökande och elever är det av stor vikt att personuppgifter hanteras på ett säkert sätt, vare sig uppgifterna finns digitalt eller på papper. Skyddade personuppgifter ska inte i onödan tas in i en handling.

En säker hantering av skyddade personuppgifter bygger bland annat på

  • att det finns tydliga rutiner för hur skyddade personuppgifter ska hanteras
  • att det regelbundet följs upp att rutiner för skyddade personuppgifter är uppdaterade, efterlevs och respekteras
  • att tillgången till skyddade personuppgifter begränsas
  • att de som ska hantera uppgifterna har goda kunskaper om skyddsåtgärderna och tillämpliga bestämmelser om sekretess och tystnadsplikt
  • säkra it-system och kommunikationskanaler.

På Skatteverkets webbplats finns en vägledning för offentliga aktörers hantering av skyddade personuppgifter.

Enskilda huvudmän som är anslutna till en branschorganisation kan vända sig dit för stöd och vägledning kring hantering av skyddade personuppgifter.

Vägledning för offentliga aktörers hantering av skyddade personuppgifter, Skatteverkets webbplats Länk till annan webbplats.

Senast uppdaterad 16 december 2024

Innehåll på denna sida