Att behandla personuppgifter i skola/förskola

Det uppstår många frågor i arbetet med personuppgifter. Barns uppgifter som behandlas i skola/förskola är, det man kallar för, särskilt skyddsvärda. Det betyder att det ställs högre krav på behandlingen än det gör med vuxnas personuppgifter.

Inte minst viktigt är att alla behandlingar registreras i den registerförteckning som ska finnas. Alla kommuner där jag är dataskyddsombud har valt Draftit för hantering av register. Se till att registerförteckningen hålls uppdaterad, lägg till de som gör behandlingar och låt dem ta hand om sina egna register.

Draftit – Behörigheter

Det finns fyra olika typer av behörighet i Records.

Produktadministratör
Produktadministratören har full behörighet och är en behörighet som vi på Draftit Privacy lägger till. När en produktadmin blivit tillagd så skickas det ut e-post till densamme innehållandes en aktiveringslänk. Genom att klicka på den länken så får produtadmin möjlighet att skapa ett lösenord för att ha möjlighet att kunna logga in i produkten. Produktadministratören har möjlighet att tilldela behörigheter och har full insyn i Records. Produktadministratören kan utnyttja all funktionalitet i produkten.

Formuläradministratör
Formuläradministratören erhåller egna inloggningsuppgifter till Records. Möjlighet att skapa inlogg skickas med e-post av systemet när användaren skapas. Observera att Formuläradministratören behöver vara behörig till minst ett formulär för att kunna arbeta i Records. Formuläradministratören kan:

  • Logga in i Records
  • Administrera och ändra de formulär som de har behörighet till.
  • Administrera och ändra de registreringar som kopplas till de formulär de har behörighet till
  • Skriva ut rapporter på behandlingar kopplade till deras formulär

För att ge denna behörighet går du in på kontakten och trycker på behörigheter där möjligheten finns att fylla i vilket eller vilka formulär användaren ska ha tillgång till.

Klicka på texten Användare och du ser vilka behörigheter personen har. Du ser även vilka formulär som kan användas.

Användare
En vanlig Användare är en registrant ute i organisationen som får möjlighet att skapa registreringar på begäran av produktadmin eller formuläradmin för Records. Användaren kan göra följande åtgärder i förhållande till Records:

  • Ta emot meddelanden som mottagare
  • Fylla i de formulär som produktadmin eller formuläradmin begärt registreringar genom

En vanlig Användare kan inte logga in i Records utan har enbart tillgång till det formulär som skickats till Kontakten samt de registreringar som kontakten själv skapat. Tillgången till dessa sker genom länkar som skickas ut via e-post.

Standardanvändare
En Standardanvändare är en registrant ute i organisationen som får möjlighet att skapa registreringar på begäran av produktadmin eller formuläradmin för Records. En standardanvändare skapas när man kräver inlogg vid begäran av en registrering. Tillsammans med länken till begäran så skickas även ett aktiverings e-post ut där standardanvändaren får möjlighet att skapa ett lösenord för att kunna logga in i Records. Som standardanvändare kan man göra följande:

  • Logga in i Records
  • Se de inbjudningslänkar man mottagit och från dem skapa registreingar
  • Redigera sina behandlingar
  • Se en översikt över de behandlingar som man är ansvarig för.
  • Skriva ut rapporter på de behandlingar som man är ansvarig för.

Sociala medier – vem har ansvar?

Det finns en mängd saker att ta hänsyn till i fråga om sociala medier. Det tar tid mycket tid att hålla ex Facebook uppdaterat och intressant. Dessutom har du ansvar för vad som skrivs, inte bara det du skriver själv utan även de kommentarer som läggs in. Om någon skriver något olämpligt eller namnger någon är det ditt ansvar att se till att det tas bort omgående.

I dagarna kom en fällande dom för en person som inte tagit bort kränkande inlägg på en Facebooksida där han var administratör. Han ansåg sig inte ha den möjligheten eftersom han har ett annat heltidsarbete. Domen blev relativt mild i första instans; villkorlig dom och 60 dagsböter. Dock visar det att även om det kan finnas andra omständigheter så kan den som är ansvrig för en sida inte underlåta att administrera och kontrollera det man har ansvar för. I det här fallet är det ganska uppenbart vad som har hänt, men en mediastorm kan bryta ut över en ”småsak” och plötsligt delas inlägg och kommenteras utan att man har direkt kontroll.

Om någon kommenterar och nämner en annan person vid namn eller lägger in bilder där personer är identifierbara så är det en personuppgift. Vad gäller då? Alla personuppgifter som behandlas ska ha en laglig grund. Vid publicering i sociala medier är det troligt att SAMTYCKE måste användas och det ska vara dokumenterat. Samtycket ska samlas in före behandlingen och personen i fråga har rätt att säga nej. Samtycket kan också återkallas när som helst.

Läs mer här – Samtycke som laglig grund
Lyssna på en pod – GDPR och sociala medier