Dataskydd

GDPR i skolan: elevuppgifter i skolor och förskolor

GDPR i skolan: rättslig grund för elevuppgifter, foton och publicering, molntjänster i klassrummet och elevhälsa som känsliga uppgifter – med Skellefteå-fallet.

Also available in:Français·Deutsch·Español

GDPR i skolan innebär att en kommunal skola behandlar elevuppgifter med stöd av uppgift av allmänt intresse eller myndighetsutövning (art. 6.1 e), inte samtycke. Det är den vanligaste missuppfattningen: skolor och förskolor tror ofta att de behöver elevers eller vårdnadshavares samtycke för sin ordinarie verksamhet, men skolplikten och skollagen ger den rättsliga grunden. Samtycke behövs bara för det som ligger utanför uppdraget – typiskt fotografering för publicering. Den här guiden reder ut grunderna, foton, molntjänster i klassrummet och elevhälsans känsliga uppgifter.

Viktigaste punkterna

  • Kommunala skolor behandlar elevuppgifter på allmänt intresse eller myndighetsutövning (art. 6.1 e) – inte samtycke.
  • Foton för publicering (webbplats, sociala medier) ligger utanför skoluppdraget och kräver oftast samtycke från vårdnadshavare.
  • Elevhälsans uppgifter är känsliga personuppgifter (art. 9) och kräver strikt åtkomstbegränsning.
  • Molntjänster och edtech i klassrummet kräver biträdesavtal och kontroll av var uppgifterna behandlas.
  • Sveriges första GDPR-sanktion gällde en skola: Skellefteå kommun fick 200 000 kronor (2019) för ansiktsigenkänning vid närvarokontroll.

Rättslig grund för elevuppgifter

För en kommunal skola är den ordinarie behandlingen av elevuppgifter – antagning, betyg, närvaro, schemaläggning, kommunikation med vårdnadshavare – behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 e, med stöd i skollagen. Fristående skolor utför samma uppgift av allmänt intresse. Det innebär att skolan varken behöver eller bör be om samtycke för sådan behandling – att göra det vore missvisande, eftersom eleven eller vårdnadshavaren i praktiken inte kan säga nej. Samtycke är fel rättslig grund i en beroendesituation, precis som i arbetslivet. Att felaktigt be om samtycke skapar dessutom en falsk förväntan hos vårdnadshavaren om att behandlingen är frivillig, vilket blir problematiskt när skolan ändå måste behandla uppgifterna för att fullgöra sitt uppdrag.

När samtycke faktiskt behövs

Samtycke har en plats i skolan – men bara för det som ligger utanför själva utbildningsuppdraget. Det tydligaste exemplet är fotografering för publicering. Att fotografera elever för en avslutning, lägga ut bilder på skolans webbplats eller i sociala medier är inte nödvändigt för undervisningen, och kräver därför normalt ett giltigt samtycke från vårdnadshavaren (och för äldre elever från eleven själv). Samtycket ska vara frivilligt, specificerat och möjligt att återkalla. En färdig struktur finns i vår mall för samtyckesblankett. Skilj tydligt på fotografering för internt pedagogiskt bruk och för extern publicering – det senare är det som kräver samtycke.

Elevhälsa och känsliga uppgifter

Elevhälsan – skolsköterska, kurator, psykolog – behandlar uppgifter om elevers hälsa, som är känsliga personuppgifter enligt artikel 9. Detsamma gäller uppgifter om särskilt stöd, funktionsnedsättning och åtgärdsprogram. Dessa uppgifter kräver:

Krav Innebörd i skolan
Uttryckligt lagstöd Behandling enligt art. 9.2 med stöd i skollag och hälsolagstiftning
Åtkomstbegränsning Bara elevhälsans personal, inte all skolpersonal
Sekretess Elevhälsan omfattas av särskild sekretess
Dataminimering Bara det som behövs för stödet dokumenteras

En vanlig brist är att känsliga uppgifter om enskilda elever sprids i lärarkollegiet eller lagras i vanliga administrativa system utan åtkomstkontroll. Bygg in begränsningen enligt principen om inbyggt dataskydd.

Ett typiskt problem är dokumentation om särskilt stöd och åtgärdsprogram. Sådana uppgifter behövs för att eleven ska få rätt stöd, men de ska bara vara tillgängliga för den personal som är involverad i stödet – inte för alla lärare eller i öppna delade dokument. Att lärare mejlar känsliga uppgifter om en elev mellan sig, eller lägger dem i ett gemensamt kalkylark, är en behandling som saknar tillräcklig säkerhet. Skolan bör ha tydliga rutiner för var sådana uppgifter får lagras och vem som får ta del av dem, och dessa rutiner bör vara kända hos personalen. Utan sådan styrning är risken stor att elevers mest skyddsvärda uppgifter sprids långt utanför den krets som behöver dem.

Molntjänster och edtech

Digitala läromedel, lärplattformar och molntjänster (dokumenthantering, e-post, videomöten) behandlar stora mängder elevuppgifter. Varje sådan leverantör är ett personuppgiftsbiträde, och skolan – eller kommunens utbildningsnämnd som personuppgiftsansvarig – måste ha ett personuppgiftsbiträdesavtal med var och en. Två frågor är särskilt viktiga: var behandlas uppgifterna, och sker överföring till tredjeland? Flera svenska kommuner har fått se över sin användning av amerikanska molntjänster efter Schrems II. Innan en ny edtech-tjänst införs i klassrummet bör skolan bedöma leverantörens behandling, underbiträden och överföringar – gärna som en del av en konsekvensbedömning om behandlingen är storskalig eller rör känsliga uppgifter.

Skellefteå: Sveriges första GDPR-fall

Det mest kända svenska skolärendet är också Sveriges första GDPR-sanktion. Skellefteå kommun genomförde 2019 ett försök med ansiktsigenkänning för att registrera elevers närvaro i gymnasiet, och IMY (då Datainspektionen) beslutade om en sanktionsavgift på 200 000 kronor. Motiveringen var att ansiktsigenkänning innebär behandling av biometriska känsliga uppgifter, att samtycke inte var en giltig grund i skolmiljöns beroendeförhållande, och att åtgärden var oproportionerlig – närvaro kan registreras på mindre integritetskänsliga sätt. Fallet är en principiell påminnelse: nya tekniker i skolan måste prövas mot proportionalitet och mot att elever inte kan lämna ett fritt samtycke.

Vårdnadshavare, myndiga elever och information

En särskild fråga i skolan är vem som får bestämma över elevens uppgifter. För yngre barn utövas rättigheterna – som att begära information eller invända mot en behandling – av vårdnadshavarna. Ju äldre och mognare eleven är, desto mer får eleven själv bestämma, och en myndig elev förfogar helt över sina egna uppgifter. Det innebär att ett samtycke till fotografering ska inhämtas från vårdnadshavaren för yngre barn men från eleven själv i gymnasiet. Skolan måste alltså anpassa hanteringen efter elevens ålder, inte tillämpa en enda rutin för alla.

Informationsplikten enligt artikel 13 gäller också gentemot elever och vårdnadshavare: de ska på ett begripligt sätt få veta vilka uppgifter skolan behandlar, för vilka ändamål, med vilken rättslig grund och hur länge uppgifterna sparas. Eftersom informationen ofta riktar sig till barn ska den vara särskilt tydlig och lättläst. En vanlig brist är att skolans integritetsinformation är skriven på myndighetsspråk eller saknas helt för vissa behandlingar, som lärplattformen eller elevhälsan. En genomtänkt information som täcker samtliga behandlingar – från antagning till edtech – är både ett rättsligt krav och ett sätt att skapa förtroende hos vårdnadshavarna.

Vad skolan behöver ha på plats

  1. Dataskyddsombud – obligatoriskt för offentliga myndigheter, inklusive kommunala skolor. Se när dataskyddsombud krävs.
  2. Registerförteckning över elevadministration, elevhälsa, molntjänster och publicering – se registerförteckning.
  3. Samtyckesrutiner för fotografering och publicering, åtskilda från den ordinarie behandlingen.
  4. Biträdesavtal med alla edtech- och molnleverantörer, med kontroll av överföringar.
  5. Åtkomstbegränsning för elevhälsans känsliga uppgifter.

Vanliga frågor

Behöver skolan samtycke för att behandla elevuppgifter?

Nej, inte för den ordinarie verksamheten. Kommunala och fristående skolor behandlar elevuppgifter på grunden uppgift av allmänt intresse eller myndighetsutövning enligt skollagen. Samtycke behövs bara för sådant som ligger utanför uppdraget, som fotografering för publicering.

Får skolan lägga ut bilder på elever på sociala medier?

Bara med giltigt samtycke från vårdnadshavare, och för äldre elever från eleven själv. Publicering av foton är inte nödvändig för undervisningen och kräver därför en egen rättslig grund. Samtycket ska vara frivilligt och möjligt att återkalla.

Måste en kommunal skola ha dataskyddsombud?

Ja. Offentliga myndigheter, inklusive kommunala skolor och förskolor, är skyldiga att utse dataskyddsombud enligt artikel 37.1 a. Ombudet ska anmälas till IMY.

Slutsats

GDPR i skolan bygger på att den ordinarie behandlingen av elevuppgifter vilar på allmänt intresse, inte samtycke – samtycke reserveras för det som ligger utanför uppdraget, som publicering av foton. Skydda elevhälsans känsliga uppgifter med strikt åtkomst, säkra edtech-leverantörerna med biträdesavtal och pröva nya tekniker mot proportionalitet, som Skellefteå-fallet visar. Grunden finns i dataskyddsförordningen och i IMY:s vägledning för skolan.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →