Hantering av personuppgifter (GDPR)
Alla verksamheter som hanterar personuppgifter måste följa dataskyddsförordningen (GDPR), som reglerar hur personuppgifter får behandlas. Här finns information om detta.
Denna sida är en del av Skolverkets stöd för dig som arbetar med eller ansvarar för antagning till gymnasieskolan och anpassade gymnasieskolan. Då sidan till stor del består av generell information om regelverket kan innehållet dock vara användbart även för andra målgrupper.
Den officiella versionen av dataskyddsförordningen, EUR-lex
Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, riksdagens webbplats
Dataskyddsförordningen (GDPR)
Med personuppgift menas varje upplysning som rör en identifierad eller identifierbar fysisk person. Det som avgör är om uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Typiska personuppgifter är namn, personnummer och adress.
Dataskyddsförordningen, även kallad GDPR, reglerar hur personuppgifter får behandlas. Dataskyddsförordningen gäller i hela EU och syftar bland annat till att skydda enskildas grundläggande rättigheter och friheter. Förordningen har företräde framför nationell lag. Det innebär att om en svensk lag skulle stå i strid med förordningen är det förordningens bestämmelser som ska tillämpas. Alla typer av verksamheter som hanterar personuppgifter måste följa dataskyddsförordningen. I 26 a kapitlet skollagen finns kompletterande bestämmelser om behandling av personuppgifter.
All behandling av personuppgifter måste följa de grundläggande principerna i dataskyddsförordningen. Dessa principer sätter de yttersta ramarna för vad som är en tillåten behandling. Av dessa framgår bland annat att personuppgifter bara får samlas in för specifika, särskilt angivna och berättigade ändamål, att inte fler personuppgifter ska behandlas än vad som behövs för ändamålen samt att personuppgifterna ska raderas när de inte längre behövs. För att personuppgifter ska få behandlas måste det också finnas stöd för detta i någon av de sex rättsliga grunderna i dataskyddsförordningen. Utan en rättslig grund är behandlingen av personuppgifter inte laglig.
Vissa personuppgifter är till sin natur särskilt känsliga (känsliga personuppgifter) och har därför ett starkare skydd i dataskyddsförordningen. Det är som huvudregel förbjudet att behandla känsliga personuppgifter, men det finns vissa undantag.
Personuppgifter som rör barn anses särskilt skyddsvärda i dataskyddsförordningen eftersom barn kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter och förstå vilken rätt till skydd för sina uppgifter som de har.
Personnummer och samordningsnummer är inte känsliga personuppgifter enligt dataskyddsförordningen, men är enligt svensk lagstiftning extra skyddsvärda. Enligt dataskyddslagen får personnummer och samordningsnummer behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Dataskyddsförordningen innehåller även bestämmelser om särskilda skyldigheter för de som behandlar personuppgifter, det vill säga för personuppgiftsansvariga och personuppgiftsbiträden. Personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att föra ett register över sina behandlingar av personuppgifter. Ett sådant register ska upprättas skriftligen, vara tillgängligt i elektroniskt format och uppdaterat. Vad som ska finnas med i registret beskrivs i artikel 30 i dataskyddsförordningen.
I dataskyddsförordningen finns också bestämmelser om bland annat informationssäkerhet. Informationssäkerhet handlar framför allt om att hindra information från att läcka ut, förvanskas och förstöras. Olika åtgärder och teknik kan användas, men varje verksamhets arbete med informationssäkerhet måste planeras och genomföras på ett sätt som uppfyller kraven i dataskyddsförordningen.
Dataskyddsombud
Vissa verksamheter som behandlar personuppgifter måste utse ett dataskyddsombud. Det gäller exempelvis kommunala verksamheter. Ombudet ska kontrollera att dataskyddsreglerna följs inom verksamheten och ge råd om hur behandlingen av personuppgifter bör gå till. Dataskyddsombudet ska också vara kontaktperson för de registrerade och personalen inom verksamheten samt för Integritetsskyddsmyndigheten (IMY), som är ansvarig myndighet för frågor om dataskydd.
Dataöverföring mellan olika antagningskanslier
I samband med antagningsarbetet utbyts filer med uppgifter om sökande samt uppgifter om betyg mellan olika antagningskanslier. Det är viktigt att denna dataöverföring sker i enlighet med dataskyddsförordningens bestämmelser och med beaktande av sekretessbestämmelserna.
Mer information om dataskyddsförordningen finns hos IMY. Kommuner, regioner och offentliga huvudmän kan också vända sig till Sveriges Kommuner och Regioner (SKR) för information och vägledning om dataskyddsförordningen. Enskilda huvudmän som är medlemmar i en branschorganisation kan vända sig dit för vägledning.
Källor: EU:s dataskyddsförordning (2016/679), 26 a kapitlet skollagen samt 3 kapitlet 10 § dataskyddslagen (2018:218).
Integritetsskyddsmyndigheten, IMY
Dataskyddsförordningen, GDPR, SKR:s webbplats
Offentlighet, sekretess, tystnadsplikt och skyddade personuppgifter
Senast uppdaterad 15 januari 2026.