Därför kan dina dokument vara olagliga
Uppkopplat
Det är svårt att hålla koll på alla elever. För en ämneslärare blir antalet ansikten snabbt tresiffrigt, och många av dem träffar han eller hon bara ett par timmar i veckan.
När det gäller formella saker som närvarorapportering har skolorna gemensamma system, men det finns även andra frågor som är viktiga: Vem är vegetarian och behöver specialkost under studieresan? Vem bor med två mammor, och vill slippa höra frasen ”mamma-och-pappa”? Vem har en oklar könsidentitet och vill kallas hon i stället för han? Vem är muslim, och mer intresserad av eid al-fitr än av jul?
Frestelsen kan bli stor att skapa klasslistor i Excel eller Google Drive och lägga in viktiga anteckningar där, men det här är ingen bra idé. Det understryker Daniel Westman som är forskare i IT-rätt vid Stockholms universitet och en av Sveriges främsta experter på ämnet:
– När arbetsgivaren erbjuder ett alltför dåligt IT-stöd hittar många sina egna lösningar. Jag har full förståelse för att man gör så, men det finns inget rättsligt utrymme för det.
Att skapa en digital klasslista med viktiga anteckningar kan verka oförargligt, men utifrån ett juridiskt perspektiv betraktas det som att upprätta ett personregister – och det är hårt reglerat i lag.
När medarbetare på det här sättet skapar privata lösningar i stället för dem som arbetsgivaren erbjuder brukar man prata om ”skugg-IT”. Det här kan vara problematiskt, säger Daniel Westman:
– Dataskydd kan verka lite löjligt, men ytterst handlar det om att den enskilde har rätt till sina personuppgifter.
Han tycker framför allt att det är viktigt att bara använda skolans officiella verktyg när man hanterar personuppgifter. Att skapa en klasslista i Google Drive med sin privata gmail-adress är med andra ord helt fel.
– Du får inte använda en utrustning eller en tjänst som du själv äger när du behandlar personuppgifter, säger han.
Det här gäller i synnerhet känslig information om exempelvis hälsa, politisk åsikt och sexuell läggning.
– Det finns ingen rättslig grund att lagra sådana uppgifter, poängterar han. Att läraren tycker att det är ”bra att ha” är inte tillräckligt.
Det räcker inte heller att ersätta namnen med exempelvis en signatur i ett sådant register.
– Begreppet personuppgift är ganska brett. Om du med hjälp av annan information kan veta vem någon är så räknas det som en personuppgift – även om inte namnet står.
När det gäller känsliga personuppgifter är det inte heller tillåtet att använda mejl. Säkerheten är helt enkelt för låg.
– Integritetskänsliga personuppgifter får inte skickas utan kryptering och de får bara ligga i system där man har en bra behörighetskontroll.
Elevernas skolprestationer räknas däremot inte som en känslig personuppgift, så här finns det inget generellt förbud mot att mejla.
Detta kan dock komma att ändras. Den 25 maj 2018 träder EU:s dataskyddsförordning GDPR i kraft, och här skyddas den personliga integriteten hårdare. Framför allt blir reglerna för så kallad ostrukturerad information mer strikt och det betyder exempelvis tuffare regler för mejl.
Den nya dataskyddsförordningen ställer högre krav på rapportering. Den som bryter mot förordningen kan få betala en straffavgift.
Exakt vad de nya reglerna innebär för skolan är ännu oklart och utbildningsdepartementets betänkande har precis varit ute på remiss. Många är kritiska och efterlyser nu en speciell skoldatalag – på samma sätt som det i dag finns speciallagar för exempelvis polisen och Skatteverket.
De här frågorna berör dock sällan den enskilde läraren direkt. Om en lärare bryter mot lagen är det skolhuvudmannen som bär det juridiska ansvaret.
– Det du gör inom ramen för din anställning är skolan ytterst ansvarig för.
Kan en lärare aldrig bli personligt ansvarig?
– Jo, rent juridiskt är det möjligt, men då krävs att läraren har brutit grovt mot skolans regler. Gör du en felbedömning inom ramen för tjänsten är det ändå din arbetsgivare som är ansvarig.
Finns det några fall där en lärare har dömts?
– Jag har inte sett några fall där den enskilde läraren har ställts till svars. De fall som Datainspektionen har granskat handlar framför allt om övergripande frågor kring skolornas molntjänster.
Trots det manar Daniel Westman till försiktighet när det gäller hantering av personuppgifter. Om skolan inte har de IT-system som behövs är det bättre att försöka förändra skolans regler än att gå vid sidan om.
– Att bara använda mossiga och tråkiga system är förstås ingen bra lösning. Här kan man kräva att skolan skaffar de system som lärarna behöver.
