Behandling av personuppgifter inom barn- och utbildningsförvaltningen

Syftet med dataskyddsförordningen är att stärka den enskilda personens rättigheter och skärpa kraven för den myndighet, förening eller företag som behandlar personuppgifter.

Dataskyddsförordningen har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom hela EU och anpassa regelverket till det digitala samhället.

Viktiga ord och begrepp

Personuppgifter:

Personuppgifter är all information som rör en identifierad eller identifierbar fysisk person som är i livet. En personuppgift kan exempelvis vara en individs namn, adress, telefonnummer, e-postadress, födelsedatum och personnummer. Även bilder, filmer och ljudklipp där det går att identifiera någon betraktas som personuppgifter, likaså fastighetsbeteckning. En IP-adress som går att koppla till en nu levande person är också en personuppgift.

Känsliga personuppgifter:

Vissa kategorier av personuppgifter betraktas enligt dataskyddsförordningen som känsliga:

• etniskt ursprung
• politiska åsikter
• religiös eller filosofisk övertygelse
• medlemskap i en fackförening
• uppgifter rörande hälsa och sjukdom
• uppgifter om en persons sexualliv eller sexuella läggning
• genetiska eller biometriska uppgifter

Det ställs högre krav på oss som personuppgiftsansvariga när vi behandlar sådana uppgifter. Känsliga personuppgifter får som huvudregel inte behandlas, om det inte är nödvändigt av hänsyn till ett viktigt allmänt intresse som finns reglerat i till exempel skollagen och dessutom står i proportion till det eftersträvade syftet. Det är exempelvis tillåtet att behandla personuppgifter om etnicitet om det är nödvändigt för handläggningen av en elevs modersmålsundervisning. Det är också tillåtet för elevhälsan att behandla uppgifter om en elevs sjukdom, om det behövs för att utföra sina ålagda uppgifter inom verksamheten. På samma sätt är det tillåtet att behandla uppgifter om specialkost (till exempel på grund av allergier) i samband med servering av skolmat, om detta är nödvändigt för att kunna säkerställa att rätt mat serveras till rätt person.

Behandling av personuppgift:

Begreppet behandling av personuppgifter innefattar i princip allt som går att göra med en personuppgift. Det kan vara insamling, lagring, registrering, organisering, sammanställning, överföring och utplåning av uppgiften, med mera. Viktigt att tänka på är att en behandling inte är beroende av att det görs på en dator eller annat digitalt verktyg – en behandling innefattar även manuell hantering där uppgifterna finns i pappersformat.

Personuppgiftsansvarig:

Personuppgiftsansvarig är den organisation som bestämmer syftet med personuppgiftsbehandlingen, alltså den som bestämmer hur behandlingen ska gå till och vilka uppgifter som ska behandlas. Den personuppgiftsansvarige är i detta fall barn- och utbildningsnämnden i Luleå kommun.

Personuppgiftsbiträde:

I vissa fall kommer ditt barns och/eller dina personuppgifter även att behandlas av ett så kallat personuppgiftsbiträde. Detta handlar om en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter för vår räkning. Det kan då röra sig om exempelvis ett företag som levererar ett IT-system åt oss som myndighet, vilket är nödvändigt för att utföra vår verksamhet.

Ett personuppgiftsbiträde får bara behandla personuppgifterna enligt våra uttryckliga instruktioner, och omfattas också av kraven i dataskyddslagstiftningen. Instruktionerna regleras i ett så kallat personuppgiftsbiträdesavtal (PUB-avtal).

Registrerad:

Begrepp som används för att beskriva den person vars uppgifter behandlas.

Rättslig grund:

För att vi ska få behandla ditt barns och/eller dina personuppgifter krävs en så kallad rättslig grund för detta. Exempel på rättslig grund är att utföra uppgift av allmänt intresse, myndighetsutövning, avtal eller samtycke.

Ibland kallas detta även för laglig grund.

De personuppgifter som behandlas om ditt barn och/eller dig görs främst för att verkställa skollagen och läroplanen.

Syftet med denna behandling är att administrera, tillhandahålla och/eller handlägga:

• Barnomsorg (förskola/fritids)
• Grundskola/grundsärskola (betyg, ekonomiunderlag, nationella prov, praktik)
• Gymnasieskola/gymnasiesärskola (betyg, ekonomiunderlag, nationella prov, antagning, praktik/APL)
• Kulturskola
• Lärplattformen (dokumentation för elevutveckling, närvaro/frånvaro)
• Schemaläggning
• Skolskjuts
• Skolmåltider, specialkost
• Elevhälsa
• Skolapplikationer
• Skoldatorer/Chromebooks/iPads
• Skolfotografering
• Studie- och yrkesvägledning
• Arkiv (pappers- och/eller digitala arkiv)
• Anmälningar om tillbud, olycksfall och kränkande behandling (elever)
• Office 365, digital kommunikations- och samarbetsplattform för skolan
• Enkäter, formulär, nyhetsbrev och e-post
• Självservice via e-tjänster och blanketter (interna/externa tjänster)

Vad gäller elevhälsan är den en självständig verksamhet inom barn- och utbildningsförvaltningen, vilket innebär att elevhälsans personal inte hur som helst kan överlämna personuppgifter till annan personal på skolan. Inom barn- och elevhälsan förekommer ofta sekretess och just denna verksamhet måste förhålla sig till fler lagar än till exempel skollagen och GDPR, såsom hälso- och sjukvårdslagen och patientdatalagen. Detta kan påverka vad barn- och elevhälsan får och inte får göra utifrån ett dataskyddsperspektiv. Vi kommer inte att behandla sådana uppgifter om ditt barn eller dig som inte är relevanta för det ändamål för just den insats som ditt barn och du är mottagare av. Det är bara de personer som behöver ditt barns och/eller dina uppgifter för att kunna utföra sina arbetsuppgifter som har tillgång till dem.

Barn- och utbildningsförvaltningen använder även ett digitalt analys- och planeringsverktyg, som innehåller information om befolkningsprognoser, hyrda lokaler samt uppgifter om barn/elever i alla skolformer. Detta verktyg används för uppföljning och statistik och där informationsförsörjning sker via våra verksamhetssystem (dvs spegling av grunddatat, samma data som finns i verksamhetssystemen).

Personuppgifter kan även förekomma i andra analysverktyg (enkäter, formulär eller nyhetsbrev) som tagits fram för statistik eller informationssyfte. Barn- och utbildningsförvaltningen använder även ett digitalt register (diarium) där inkommande, utgående och upprättade handlingar registreras.

Rättslig grund

De rättsliga grunder som är aktuella för barn- och utbildningsförvaltningen är främst sådan som är nödvändig för att utföra uppgift av allmänt intresse eller har samband med myndighetsutövning och rättslig förpliktelse.

Att ordna och bedriva barnomsorg och utbildning är i många fall en uppgift av allmänt intresse genom de krav som ställs utifrån skollagens bestämmelser.

När det handlar om rättslig förpliktelse som grund så kan det handla om att vi måste kunna verkställa barnomsorg och utbildning enligt de krav som finns i skollagen – det kan exempelvis handla om att administrera ansökan om plats i förskola, pedagogisk omsorg och fritidshem, bevaka skolplikt och administrera val av skola, planera och organisera verksamhet för förskola, grundskola och grundsärskola, gymnasieskola, gymnasiesärskola ordna modersmålsundervisning eller studiehandledning på modersmålet.

När det handlar om myndighetsutövning inom våra verksamheter kan det röra områden som betygssättning, pröva och tillgodose rätt till skolskjuts, besluta om mottagande i särskola, särskilt stöd, åtgärdsprogram, disciplinära åtgärder samt hantera och utreda anmälan gällande diskriminering, trakasserier och kränkande behandling.

Kopplat till viss verksamhet används även den rättsliga grunden avtal. Det handlar om när det är frivillig pedagogisk verksamhet, till exempel placering i förskola och fritidshem eller när du hyr instrument av kulturskolan. I dessa fall tecknar du ett avtal med kommunen om detta.

I några begränsade fall kan det också handla om samtycke. Behandling som görs med samtycke som rättslig grund kan vara när exempelvis förskolan/skolan/kulturskolan/idrottsutbildningarna tar bilder (foto, film eller ljudupptagningar) för att lägga upp på sociala medier för att presentera sin verksamhet. I dessa fall inhämtar skolan ett samtycke från vårdnadshavare för barn/elever som är yngre än 15 år. Äldre elever kan lämna ett sådant samtycke själva.
Samtycke som rättslig grund rör de situationer där behandling av personuppgifter inte är kopplat till en uppgift för att fullgöra utbildning och som går utanför den utbildningsverksamhet som regleras i författning eller förordning, exempelvis skollagen.

Vi får tillgång till personuppgifterna när du vänder dig till oss, exempelvis genom att fylla i en ansökningsblankett, e-tjänst eller har kontakt med oss via telefon och e-post. I vissa fall kan vi få tillgång till dina uppgifter från en tredje part, exempelvis andra förvaltningar inom Luleå kommun, andra kommuners förskolor/skolor och förskole- och utbildningsförvaltningar eller privatpersoner. Utöver detta hämtas också uppgifter om barn och vårdnadshavare från kommunens invånarregister där samtliga barn samt uppgift om vårdnadshavare finns registrerade.

Uppgifter till kommunens invånarregister hämtas från Skatteverket.

Ditt barns och/eller dina personuppgifter kan komma att delas med exempelvis:

• UHR (Universitet och Högskolerådet)
• CSN (Centrala Studiestödsnämnden)
• SCB (Statistiska Central Byrån)
• Nordea (utbetalningar via bank)
• Försäkringskassan
• Andra förvaltningar inom vår kommun, myndigheter och i vissa fall andra kommuner.
• Personuppgiftsbiträden -dvs leverantörer som tillhandahåller de IT-system som är nödvändiga för vår verksamhet.
• Dig själv

Från elevhälsan lämnar vi ut följande information (efter ditt samtycke):

• Vid rekvirering av journalhandling hos annan kommun, landsting.

Information av känslig karaktär, exempelvis journaler, skickas i rekommenderat brev till din folkbokföringsadress eller lämnas direkt till dig efter id-kontroll.

För handläggning av skolskjuts lämnar vi ut personuppgifter till kommunens avtalsparter för elevtransporter.

I vissa fall kan även privata utförare av förskole- och skolverksamhet, såsom företag som driver fristående för-, grund- och gymnasieskolor, få tillgång till ditt barns och/eller dina personuppgifter. Dessa företag är då själva personuppgiftsansvariga för den behandling som de genomför i sin verksamhet.

Notera att barn- och utbildningsförvaltningen i Luleå kommun är en offentlig myndighet och det innebär att ärenden som inte är av sekretessbelagd karaktär är allmänna handlingar som skall lämnas ut på begäran.

Insamling för publicering

Förskolan/skolan/kulturskolan/idrottsutbildningarna tar ibland bilder (foto, film) eller gör ljudupptagningar för att lägga upp på sociala medier i syfte att presentera sin verksamhet. I dessa fall inhämtar skolan ett samtycke.

För vissa av våra idrottsutbildningar, till exempel Riksbasketgymnasiet Luleå, delar vi foto-/filmmaterial med respektive specialidrottsförbund. Idrottsförbundet är då själv personuppgiftsansvarig för sin behandling.

Överföring tredjeland

Vi kan även komma att dela dina personuppgifter med ett tredje land under förutsättning att det är förenligt med lagstiftningen och att vi behöver göra det för att kunna utföra vårt uppdrag. I de fall personuppgifter förs över till länder utanför EU/EES sker det bara om berört land har en så kallad adekvat skyddsnivå, eller om överföringen omfattas av lämpliga skyddsåtgärder enligt dataskyddsförordningen.

Offentlighetsprincipen

Eftersom barn- och utbildningsförvaltningen är en myndighet gäller den så kallade offentlighetsprincipen. Detta innebär att det är möjligt att begära ut allmänna handlingar från oss. Sådana handlingar är de som, enligt Tryckfrihetsförordningen, blivit upprättade eller har inkommit till myndigheten. Exempel på allmänna handlingar är bland annat brev, protokoll och beslut. Syftet är att ge allmänheten insyn i hur myndigheter och andra offentliga organ arbetar.

Allmänna handlingar kan innehålla personuppgifter. När en handling begärs ut görs en sekretessprövning. Detta innebär att viss information kan komma att undantas från utlämningsskyldigheten. Detta till exempel om informationen bedöms kränka någons integritet. Det måste alltid finnas lagstöd för att vi ska ha rätt att belägga handlingar med sekretess.

Barn- och utbildningsförvaltningen behandlar ditt barns och/eller dina personuppgifter under den tid som krävs för att handlägga berört ärende och/eller så länge som ditt barn går på någon av kommunens kommunala förskolor, grundskolor, gymnasieskola och särskolor.

När berört ärende är slutbehandlat eller ditt barn har slutat på en förskola, alternativt slutfört sin skolplikt, kommer personuppgifterna antingen att bevaras (sparas) eller att gallras (raderas/förstöras) i enlighet med arkivlagstiftning (i de fall uppgifterna förekommer i handlingar som räknas som allmän handling). Vilka handlingar som faktiskt bevaras respektive gallras bestäms utifrån tillämplig lagstiftning och nämndens dokumenthanteringsplan.

Du som har dina personuppgifter registrerade hos oss har ett antal rättigheter enligt den allmänna dataskyddsförordningen:

• Du har rätt att få information om och tillgång till dina personuppgifter.
• Du har rätt att begära rättelse av felaktiga uppgifter.
• Du har även en möjlighet att begära komplettering av felaktig information.
• Du har rätt att begära att dina uppgifter ska raderas, till exempel om du anser att vi behandlar uppgifterna felaktigt eller om rättslig grund saknas. Men det gäller inte om det är nödvändigt för oss att behålla uppgifterna, exempelvis för att följa lagen eller fullgöra ett avtal som vi har med dig.
• Du har rätt att begära begränsning av vår behandling av dina uppgifter. I vissa fall kan du begära att kommunens behandling av dina personuppgifter ska begränsas. Detta bland annat om du bestrider personuppgifternas korrekthet under den tid som kommunen kontrollerar om de är korrekta. Eller om behandlingen är olaglig och du motsätter dig radering. Det kan även vara på grund av att personuppgifterna inte längre behövs eller under den tid som kommunen bedömer en invändning mot behandling.
• Du har rätt göra en begäran om dataportabilitet. Om den rättsliga grunden är samtycke eller avtal kan du begära att få ut uppgifterna du lämnat i ett strukturerat och maskinläsbart format.
• Du har rätt att invända mot behandlingen av uppgifterna. Om behandlingen grundas på intresseavvägning eller allmänt intresse kan du invända mot behandlingen. Kommunen har då att bedöma om kommunen har tvingande berättigade skäl för behandlingen som väger tyngre än dina intressen, rättigheter och friheter eller om det sker utifrån rättsliga anspråk.

Vill du använda dig av dina rättigheter ska du använda dig av vår e-tjänst Länk till annan webbplats.för registerutdrag och övriga rättigheter enligt Dataskyddsförordningen. Länk till annan webbplats.

Vill du rapportera en personuppgiftsincident kan du göra det i vår e-tjänst för personuppgiftsincident Länk till annan webbplats..

Om du har frågor/funderingar eller kanske inte är nöjd med hur vi hanterar dina personuppgifter så kan du vända dig till kommunens dataskyddsombud dataskyddsombud@lulea.se

Du har även rätt att vända dig till tillsynsmyndigheten, Integritetsskyddsmyndigheten (IMY). För mer information se Lämna ett klagomål enligt GDPR (imy.se) Länk till annan webbplats.

Personuppgiftsansvarig

Barn- och utbildningsnämnden är personuppgiftsansvarig för de behandlingar av personuppgifter som sker inom deras ansvarsområde.

Postadress: Barn-och utbildningsnämnden, Luleå Kommun, 971 85 Luleå
E-post: bufkansli@lulea.se
Telefon (växel): 0920-45 30 00

Dataskyddsombudet

Barn-och utbildningsnämnden har ett dataskyddsombud. Dataskyddsombudet svarar på allmänna frågor kring kommunens hantering av personuppgifter. Om du har frågor/funderingar eller kanske inte är nöjd med hur vi hanterar dina personuppgifter så kan du vända dig till kommunens dataskyddsombud dataskyddsombud@lulea.se

Kontaktuppgifter till dataskyddsombudet:
Postadress: Dataskyddsombud, Luleå kommun, 971 85 Luleå
E-post: dataskyddsombud@lulea.se